Resumen sobre seguridad y cumplimiento
Protocolos generales del programa de cumplimiento
Iterable ha establecido un programa de seguridad que demuestra su compromiso con el cumplimiento de todas las leyes, regulaciones y estándares éticos que se aplican a la actividad de su negocio y su papel como plataforma de marketing de crecimiento. Cualquier empleo está condicionado a la aplicación de controles y la verificación de antecedentes previos a la contratación, y al cumplimiento de los estándares de seguridad de Iterable. Iterable ofrece a sus empleados las herramientas que necesitan para cumplir los requisitos establecidos en las leyes y estándares establecidos por Iterable. A medida que el panorama regulatorio cambia, se espera que todos los empleados cumplan con el contenido, así como con el espíritu de todas las leyes, regulaciones y políticas de Iterable que afectan las operaciones comerciales. El programa de seguridad de Iterable incluye:
- El cumplimiento de todas las políticas y procedimientos corporativos y departamentales aplicables.
- Las políticas corporativas cubren una amplia gama de temas relacionados con la privacidad, seguridad y cumplimiento de carácter general, mientras que las políticas departamentales y los documentos de orientación sobre procedimientos están exclusivamente dirigidos a grupos individuales dentro de Iterable.
- Las políticas se formalizan y documentan a través de un proceso de implementación de políticas y se revisan/actualizan en función de los cambios regulatorios y en las operaciones.
- Los empleados y otras partes relevantes deben reconocer que comprenden y están de acuerdo con el cumplimiento de todas las políticas y normas.
- La asistencia a todos los cursos obligatorios ofrecidos por Iterable.
- Los cursos se asignan en base a la función o el puesto de trabajo, según lo definido por el supervisor inmediato de un empleado, o se implementan en todo Iterable por parte del equipo de seguridad y cumplimiento.
- Los cursos obligatorios incluyen sesiones anuales de formación online y en persona, trabajo remoto y manejo seguro de la información de identificación personal («PII»), y se hace hincapié en la importancia de la privacidad y la seguridad de los datos y la información.
- PII significa cualquier información relacionada con una persona física o jurídica identificada o identificable.
Control de acceso
Para proteger los activos de datos confidenciales (p. ej., la PII), Iterable emplea una serie de controles de autenticación y autorización que están diseñados para impedir accesos no autorizados.
- Autenticación – Iterable requiere el uso de un identificador de usuario único para cada empleado.
- Se utilizan cuentas para identificar la actividad de cada persona en la red y los sistemas de Iterable, incluyendo el acceso a los datos de los clientes (PII).
- Esta cuenta única se utiliza en todos los sistemas de Iterable.
- Tras la contratación, el equipo de Seguridad de la Información de Iterable asigna al empleado una ID de usuario y se le otorga un conjunto predeterminado de privilegios, que se describe a continuación.
- Al finalizar su empleo, se desactiva la ID de usuario y el acceso de la cuenta a los recursos de red de Iterable.
- Cuando se usan contraseñas para la autenticación (p. ej., para iniciar sesión en un equipo), los sistemas aplican las directivas de contraseñas de Iterable, incluyendo la caducidad de las contraseñas, las restricciones a la reutilización de contraseñas y el nivel mínimo de complejidad de las contraseñas.
- En aquellos casos en los que es relevante, Iterable emplea y aplica el uso de la autenticación de doble factor, lo que incluye el acceso a entornos y recursos de producción.
- El inicio de sesión de aplicaciones de terceros y no esenciales se controla mediante el sistema de inicio de sesión único de Okta, que también utiliza la autenticación de dos factores.
- Autorización – Los derechos y niveles de acceso se basan en la función y el puesto de trabajo del empleado, utilizando los conceptos de «privilegios mínimos» y «necesidad de conocer» para hacer coincidir los privilegios de acceso con las responsabilidades definidas.
- A los empleados de Iterable solo se les concede un conjunto limitado de permisos predeterminados para acceder a los recursos de la empresa, como su buzón de correo y la intranet.
- A los empleados se les concede acceso a ciertos recursos adicionales en función de sus obligaciones laborales específicas.
- Los administradores propietarios de datos o sistemas, u otros ejecutivos especificados en la directiva de seguridad de Iterable, deben aprobar las solicitudes de recursos adicionales y esto solo después de seguir el procedimiento de solicitud de acceso.
- Iterable registra el acceso administrativo a todos los sistemas de producción y datos.
- El equipo de Seguridad de la Información de Iterable revisa estos registros cada vez que es necesario.
Gestión de los activos de datos
Los activos de datos de Iterable, compuestos por la PII de los clientes y datos corporativos, se rigen por las políticas y procedimientos de seguridad de Iterable. Todo el personal de Iterable que maneje los activos de datos está obligado a cumplir con las políticas y procedimientos de Iterable, que han sido redactadas para asegurar el cumplimiento de diferentes regulaciones, incluyendo el Reglamento General de Protección de Datos («RGPD»). Activos de información – Cada capa de la aplicación y el stack de Iterable requiere que las solicitudes procedentes de otros componentes estén siempre autenticadas y autorizadas. La autenticación de servicio-a-servicio se basa en un protocolo de seguridad, que se deriva de los certificados x509 emitidos por una entidad de certificación conocida. El acceso de los ingenieros de administración de aplicaciones de producción a los entornos de producción se controla de forma similar. Se utiliza una plataforma centralizada de gestión de identidades para definir y controlar el acceso del personal a los servicios de producción, utilizando una extensión del protocolo de seguridad anteriormente mencionado que autentica los certificados de personal mediante el uso de certificados x509 únicos y persistentes; la emisión de estos certificados está a su vez protegida mediante la autenticación multifactor. Todas las conexiones a entornos de producción pasan a través de Redes Privadas Virtuales («VPN») que actúan como proxies; estos proxies proporcionan cifrado AES de 256 bits, así como auditoría centralizada de las conexiones, a los entornos de producción.
Eliminación de medios de almacenamiento
Cuando un dispositivo de almacenamiento (físico o virtual) ha llegado al final de su vida útil, los procedimientos de Iterable incluyen un proceso de retirada de uso diseñado para evitar que los datos de los clientes queden expuestos a personas no autorizadas. Iterable utiliza las técnicas detalladas en los métodos DoD 5220.22-M («National Industrial Security Program Operating Manual») o NIST 800-88 («Guidelines for Media Sanitization») para destruir los datos como parte del proceso de retirada del uso. Todos los dispositivos de almacenamiento magnético desmantelados son desmagnetizados y destruidos físicamente siguiendo las prácticas estándar del sector.
Supervisión y auditoría
El programa de supervisión y auditoría del cumplimiento de Iterable analiza las políticas y la orientación sobre procedimientos utilizada por los departamentos mediante entrevistas, recorridos y observaciones, y verifica el conocimiento y la adhesión a las políticas y procedimientos anteriormente mencionados. Mediante sus esfuerzos de supervisión y auditoría, Iterable garantiza que los representantes de Iterable están adecuadamente formados y equipados para llevar a cabo los objetivos externos e internos de Iterable, y que respetan todas las leyes, reglamentos y documentos de orientación exigidos.
El programa de supervisión de la seguridad de Iterable analiza la información recopilada del tráfico de la red interna y las acciones de los empleados en los sistemas. Se inspecciona el tráfico de Internet en busca de comportamientos sospechosos en las redes internas y de producción con el fin de detectar la presencia de cualquier tráfico que pudiera proceder de software malicioso o botnets. El análisis se realiza utilizando una combinación de herramientas comerciales y de código abierto. Se utiliza un sistema de correlación comercial para apoyar este análisis.
Seguridad de red
Iterable utiliza varias capas de defensa (defensa en profundidad) para ayudar a proteger la red virtual de ataques externos. Solo los servicios y protocolos autorizados que cumplan los requisitos de seguridad de Iterable pueden atravesar las redes corporativas y de producción. La estrategia de seguridad de red de Iterable está formada por los siguientes componentes:
- Segregación de red mediante tecnologías de firewall y control de acceso estándares del sector.
- Gestión del firewall de red y reglas de control de acceso que utilizan la gestión de cambios y la revisión por pares.
- Acceso restringido a los dispositivos en red al personal no autorizado.
- Enrutamiento de todo el tráfico externo a través de servidores proxy front-end personalizados para ayudar a detectar y detener el tráfico malicioso.
- Iterable ofrece servicios que hacen uso del Protocolo Seguro de Transferencia de Hipertexto (HTTPS) para conexiones de navegador más seguras.
- Servicios como app.iterable.com son compatibles por defecto con HTTPS para los clientes que inicien sesión en su cuenta.
- La información enviada a través de HTTPS se cifra desde el momento en que sale de Iterable hasta que llega al ordenador del visitante.
Seguridad física y ambiental
Iterable utiliza Amazon Web Services para sus necesidades de alojamiento de infraestructura. En consecuencia, Amazon es quien mantiene y aplica la seguridad física. El acceso físico al centro de datos de Amazon está estrictamente controlado tanto en el perímetro como en los puntos de entrada y salida del edificio por guardias de seguridad y videovigilancia, sistemas de detección de intrusos y otros medios lógicos. El personal del centro de datos tiene que utilizar la autenticación de doble factor al menos dos veces para acceder a las instalaciones del centro de datos. Solo los empleados con privilegios y los contratistas con necesidades justificadas tienen acceso al centro de datos.
Se han instalado equipos automáticos de detección y extinción de incendios para reducir el riesgo. El sistema de detección de incendios utiliza sensores de detección de humo en todos los entornos, espacios de infraestructuras mecánicas y eléctricas, salas de enfriadores y salas de equipos de generación del centro de datos. Estas áreas están protegidas por sistemas de tubería húmeda, de acción previa de doble enclavamiento o de rociadores gaseosos. Los sistemas de alimentación eléctrica del centro de datos están diseñados para ser totalmente redundantes y fáciles de mantener sin afectar a las operaciones, las 24 horas del día, los siete días de la semana. Se utilizan unidades de alimentación ininterrumpida (UPS) para proporcionan energía de respaldo en caso de avería eléctrica a las cargas críticas y esenciales de la instalación. Los centros de datos utilizan generadores para proporcionar energía de respaldo a toda la instalación.
La climatización es necesaria para mantener una temperatura de funcionamiento constante para los servidores y otros equipos, lo que evita su sobrecalentamiento y reduce la posibilidad de que se produzcan interrupciones en el servicio. Los centros de datos están acondicionados para mantener las condiciones atmosféricas en niveles óptimos.
Gestión de vulnerabilidades
El equipo de seguridad de la información de Iterable es responsable de gestionar las vulnerabilidades de manera oportuna. El equipo de seguridad de la información de Iterable busca amenazas para la seguridad utilizando herramientas desarrolladas comercialmente, intentos de penetración automatizados y manuales, revisiones de seguridad de software y auditorías externas. El equipo de seguridad de la información es responsable de llevar un seguimiento y dar una respuesta a las vulnerabilidades detectadas.
Confianza y aseguramiento
El Programa de Confianza y Aseguramiento de Iterable abarca la transparencia, la diligencia debida y la precisión en consonancia con la gobernanza del SOC 2 y el RGPD.
- Cumplimiento normativo – Iterable aborda sus compromisos en materia de tratamiento de datos a nivel mundial.
- Muchos de nuestros clientes tienen una presencia global. En este sentido, ofrecemos un Anexo de Tratamiento de Datos para garantizar el cumplimiento de regulaciones como el Reglamento General de Protección de Datos («RGPD»).
- Si tu organización está sujeta al RGPD, nuestro equipo de cumplimiento puede ayudarte a darte de alta el Anexo de Tratamiento de Datos.
- Privacidad de los datos – Los clientes de Iterable son los dueños de sus datos, no Iterable.
- Los datos que los clientes de Iterable suben a Iterable son suyos; como parte de los compromisos de privacidad de Iterable, no analizamos los datos de los clientes para ofrecer anuncios ni los vendemos ni compartimos con terceros.
- Además, nos comprometemos a eliminar los datos de nuestros sistemas cuando los clientes terminen su relación con Iterable.
- Por último, permitimos a nuestros clientes administrar fácilmente sus datos utilizando nuestra interfaz de programación de aplicaciones («API») para facilitar la portabilidad de los datos sin imponer cargos adicionales.
- SSAE-16 SOC 2 – Los clientes de Iterable pueden contar con una verificación independiente de nuestros controles de seguridad, privacidad y cumplimiento.
- Como parte de nuestro programa de aseguramiento, llevamos a cabo de manera regular una auditoría independiente por parte de terceros.
- El auditor independiente examina nuestro programa de gobernanza, infraestructura virtual y operaciones para certificar el cumplimiento de los estándares de auditoría y los criterios comunes según se describe en la SSAE-16 SOC 2.
- HIPAA – Los consumidores depositan su confianza en el sector de la salud y esperan que sus proveedores de asistencia y cobertura médica sean buenos administradores de su información sanitaria, incluyendo el cumplimiento de los estándares establecidos por la HIPAA para proteger la privacidad y la seguridad de la información sanitaria protegida.
- La confianza es uno de los valores fundamentales de Iterable.
- Nos asociamos con los clientes para proporcionar a los consumidores acceso en el momento a su información, al tiempo que les ofrecen el contenido personalizado que desean.
- Su información sanitaria protegida está segura con nosotros.
- Para obtener más información sobre el cumplimiento de la HIPAA por parte de Iterable y cómo firmar un Acuerdo de Socio Comercial (BAA), ponte en contacto con un miembro del equipo de Iterable.