Seguridad

Infraestructura segura

Nuestros servicios se alojan en la infraestructura de Amazon Web Services (AWS). No alojamos ni gestionamos nuestros propios routers, equilibradores de carga, servidores DNS ni servidores físicos. Los centros de datos de Amazon cuentan con seguridad con personal las 24 horas del día, control de acceso biométrico, videovigilancia y cerraduras físicas. Todos los sistemas, dispositivos en red y circuitos se supervisan constantemente. Las instalaciones de AWS cuentan con las certificaciones ISO 27001, SOC 1 y SOC 2/SSAE 16/ISAE 3402 (anteriormente SAS 70 Tipo II), PCI Nivel 1, FISMA Moderate y Sarbanes-Oxley (SOX). Obtenga más información sobre la seguridad de AWS.

Alojado en EE. UU. o en la UE: usted elige

Estados Unidos: prestamos servicio a través de centros de datos y subencargados del tratamiento ubicados en EE. UU., y nuestros servicios principales se alojan en el norte de Virginia; y la Unión Europea: prestamos servicio a través de centros de datos y subencargados del tratamiento ubicados exclusivamente en países miembros de la UE, y nuestros servicios principales se alojan en Fráncfort, Alemania.

Siempre cifrado

Cifrado en tránsito – Todos los datos que se envían hacia o desde nuestra infraestructura se cifran en tránsito siguiendo las mejores prácticas del sector mediante el protocolo Transport Layer Security (TLS 1.2 o 1.3). Nuestra configuración SSL ha obtenido una calificación de seguridad A+ en Qualys SSL Labs.

Cifrado en reposo: todos los datos de nuestros usuarios se cifran en nuestras bases de datos mediante el algoritmo de cifrado AES-256, de probada eficacia.

Pagos seguros

Nuestra plataforma cumple con la norma PCI DSS, lo que garantiza un tratamiento seguro de los datos de pago mediante medidas de protección y cumplimiento líderes en el sector. Nosotros no nos dedicamos a gestionar ni almacenar números de tarjetas de crédito: los datos de su tarjeta son capturados y almacenados de forma segura directamente por Braintree (una empresa de PayPal), nuestro proveedor de pagos. Braintree cuenta con la certificación de cumplimiento de la norma PCI Nivel 1 y figura en la lista de proveedores conformes a nivel mundial de Visa® y de MasterCard® (SDP). Obtenga más información sobre la seguridad y el cumplimiento normativo de Braintree.

Supervisión de la seguridad de las aplicaciones

• Utilizamos una solución de supervisión de la seguridad para obtener una visión clara de la seguridad de nuestras aplicaciones, identificar ataques y responder con rapidez ante una filtración de datos.
• Utilizamos tecnologías para supervisar excepciones y registros, así como para detectar anomalías en nuestras aplicaciones.
• Recopilamos y almacenamos registros exhaustivos para disponer de un registro de auditoría de la actividad de nuestras aplicaciones. Nuestro equipo de seguridad revisa periódicamente nuestros registros para detectar anomalías.
• Los incidentes de seguridad se registran y se envían notificaciones en caso de ataques graves para permitir una rápida resolución.

Protección de la seguridad de las aplicaciones

• Utilizamos Amazon Web Application Firewall para proteger a nuestros usuarios frente a una amplia variedad de vulnerabilidades. AWS WAF integra protecciones contra las categorías de ataques más graves, como las inyecciones SQL y el cross-site scripting. Bloquea los ataques en tiempo real y nos avisa cuando los atacantes comienzan a sobrecargar nuestras aplicaciones.
• Utilizamos encabezados de seguridad para proteger a nuestros usuarios frente a posibles ataques. Nuestros servicios han obtenido una calificación de A+ en SecurityHeaders.io.

Gestión de incidentes

Los presuntos incidentes de seguridad, incluidas las brechas de seguridad tanto lógicas como físicas, se registran, se supervisan y se resuelven de conformidad con nuestra política y nuestros procedimientos de respuesta a incidentes. Cuando así lo exige la legislación aplicable, incluida la Ley de Ciberresiliencia de la UE, notificamos a las autoridades pertinentes (como la ENISA) los incidentes de seguridad significativos dentro de los plazos establecidos. Si tiene alguna pregunta o sospecha que puede haberse producido un incidente, póngase en contacto con security@teamretro.com.

Informes sobre tiempos de inactividad

Los clientes empresariales pueden optar por recibir notificaciones de cualquier incidencia por correo electrónico. Nuestra plataforma de alojamiento suele evitar el tiempo de inactividad cuando realizamos cambios en nuestros servicios. No obstante, notificaremos a los clientes por correo electrónico con al menos 24 horas de antelación cualquier interrupción programada del servicio.

Su privacidad, protegida

Sus datos siguen siendo de su propiedad y solo podrán acceder a ellos aquellas personas con las que decida compartirlos. TeamRetro (y el equipo de GroupMap Technology) solo podrán acceder a sus datos en circunstancias limitadas, como cuando lo exija la ley o para prestar asistencia técnica. Encontrará toda la información al respecto en la Política de privacidad de TeamRetro.

Conservación y eliminación de datos

Conservamos los datos de nuestros usuarios durante un periodo de 365 días tras la finalización de su periodo de prueba o suscripción. A continuación, todos los datos se eliminan por completo de la aplicación. Los usuarios pueden solicitar la eliminación de sus datos en cualquier momento eliminando su cuenta o poniéndose en contacto con el servicio de asistencia de TeamRetro. Para obtener más información sobre nuestra política de privacidad, consulte nuestra Política de privacidad.

Continuidad del negocio y recuperación ante desastres

Realizamos copias de seguridad de todos nuestros activos críticos y probamos periódicamente la restauración de dichas copias para garantizar una recuperación rápida en caso de desastre. Realizamos una copia de seguridad completa de los datos de los clientes cada 24 horas. Las copias de seguridad se cifran de forma segura y se conservan durante 30 días, tras lo cual se destruyen de forma segura. Hemos establecido planes de continuidad del negocio y de recuperación ante desastres, y los revisamos anualmente.

Programación segura

Nuestros desarrolladores deben cumplir nuestra Política de Seguridad de Aplicaciones, debidamente documentada, y seguir las mejores prácticas y marcos de seguridad (OWASP Top 10, SANS Top 25). Aplicamos las siguientes mejores prácticas para garantizar el máximo nivel de seguridad en nuestro software:

• Los desarrolladores participan en cursos de formación periódicos sobre seguridad para conocer las vulnerabilidades y amenazas más comunes
• Revisamos nuestro código en busca de vulnerabilidades de seguridad
• Actualizamos periódicamente nuestras dependencias y nos aseguramos de que ninguna de ellas presente vulnerabilidades conocidas
• Utilizamos pruebas estáticas de seguridad de aplicaciones (SAST) para detectar vulnerabilidades de seguridad básicas en nuestro código fuente
• Utilizamos pruebas dinámicas de seguridad de aplicaciones (DAST) para analizar nuestras aplicaciones
• Mediante el uso de Datadog podemos corregir de forma más eficaz las vulnerabilidades detectadas en pruebas de seguridad, auditorías o programas de divulgación de vulnerabilidades. Además, se nos avisa cuando se utilizan en producción componentes de aplicaciones que presentan vulnerabilidades conocidas (dependencias).

Análisis de vulnerabilidades

TeamRetro se somete a análisis de seguridad mensualmente, así como tras lanzamientos importantes, mediante intruder.io con el fin de identificar posibles vulnerabilidades en la infraestructura, la plataforma y las aplicaciones. Las vulnerabilidades detectadas se clasifican y se mitigan de acuerdo con nuestras políticas de seguridad de las aplicaciones.

Pruebas de penetración

Periódicamente encargamos pruebas de penetración independientes para verificar la seguridad de la plataforma TeamRetro. Solucionamos todos los problemas críticos en un plazo de 48 horas y los de alta gravedad en un plazo de 7 días.

Evaluaciones de riesgos

Se lleva a cabo una evaluación de riesgos anual para identificar las amenazas y vulnerabilidades de los sistemas de TeamRetro. A partir de los resultados de dicha evaluación, se elaboran estrategias de mitigación.

Fortalecimiento del sistema

CONTAINERIZACIÓN DE SERVIDORES – TeamRetro utiliza la containerización del sistema operativo a través de AWS Fargate para garantizar que el acceso a los datos y al código de TeamRetro esté debidamente restringido. Todos los servicios de TeamRetro se ejecutan en recursos informáticos dedicados, aislados en su propia red virtual.

SISTEMAS DE ARCHIVOS EFÍMEROS DEL SERVIDOR – Los servidores de TeamRetro funcionan con un sistema de archivos efímero, que se restaura con una copia nueva del código implementado más recientemente al menos una vez al día, o cada vez que se implementa una nueva versión.

ACTUALIZACIONES DEL SISTEMA – Las actualizaciones a nivel de plataforma (sistema operativo, bibliotecas del sistema y servicios) de los servidores de aplicaciones y bases de datos de TeamRetro se llevan a cabo de forma continua.

ACTUALIZACIONES DE APLICACIONES – TeamRetro se encarga de aplicar las actualizaciones de las aplicaciones (bibliotecas de aplicaciones, etc.) de forma continua.

ORDENADORES – Todos los equipos del equipo (como los portátiles y ordenadores de sobremesa destinados al desarrollo) cuentan con almacenamiento cifrado y están protegidos por un software antivirus actualizado.

Registro exhaustivo

Mantenemos registros exhaustivos de todas las transacciones realizadas en el sistema, con registros específicos de los intentos de inicio de sesión. Nuestro equipo de seguridad revisa periódicamente estos registros para detectar posibles intentos de acceso no autorizado.

El acceso de nuestro equipo

• Nuestro estricto procedimiento interno impide que cualquier empleado o administrador pueda acceder a los datos de los usuarios. Solo podemos acceder a sus datos en circunstancias limitadas, como cuando así lo exige la ley o para prestar asistencia técnica. Encontrará toda la información al respecto en nuestra Política de privacidad.
• Nuestros empleados y contratistas firman un acuerdo de confidencialidad y no divulgación para proteger la información sensible de nuestros clientes.
• Nuestros empleados y contratistas son sometidos a un proceso de selección por parte de un servicio líder en verificación de antecedentes.
• El nivel de acceso de cada uno de nuestros empleados se determina en función de las necesidades, se revisa periódicamente y se revoca si ya no es necesario. Aplicamos la autenticación multifactorial en todos los sistemas críticos de TeamRetro.
• Para acceder al panel de administración es necesario utilizar la autenticación de dos factores.

Divulgación responsable

Animamos a todas aquellas personas que practiquen la divulgación responsable y cumplan con nuestras políticas y condiciones de servicio a participar en nuestro programa de divulgación de vulnerabilidades. Le rogamos que evite las pruebas automatizadas y que realice pruebas de seguridad únicamente con sus propios datos. Le rogamos que no divulgue ninguna información relativa a las vulnerabilidades hasta que las hayamos solucionado. Las recompensas se otorgan a nuestra discreción, en función de la gravedad de la vulnerabilidad notificada. Obtenga más información sobre el programa de divulgación responsable de TeamRetro.