Home > Centro de confianza

Centro de confianza

El programa de seguridad de BIGDAVI se basa en los siguientes principios básicos:

Entregar confianza

Tenemos más de 5 años de experiencia operando como proveedor de servicios de confianza. Aprovechando esta experiencia y conocimientos, brindamos confianza en todas las aplicaciones orientadas al consumidor y a la empresa.

Tecnología de vanguardia para potenciar la seguridad

La tecnología de BIGDAVI utiliza técnicas líderes en la industria en criptografía, los últimos sistemas que protegen los puntos finales junto con una serie de medidas de seguridad a nivel de aplicación, red y base de datos para proteger los datos confidenciales. Esto está respaldado por programas de monitoreo, registro y capacitación continua y concientización las 24 horas.

Seguridad

BIGDAVI utiliza las mejores prácticas y los estándares de la industria para lograr el cumplimiento de los marcos generales de seguridad y privacidad aceptados por la industria, lo que a su vez ayuda a nuestros suscriptores a cumplir con su propio estándar de cumplimiento. Como parte de nuestras medidas de acreditación y cumplimiento, BIGDAVI se evalúa continuamente según los siguientes estrictos estándares de seguridad:

Seguridad en la nube

BIGDAVI sigue un modelo de seguridad por niveles en el que se basa en los mejores proveedores de alojamiento en la nube para los arreglos de alojamiento, infraestructura y seguridad de la red, al tiempo que garantiza que un equipo dedicado de profesionales de la seguridad realice una supervisión continua. Como parte de nuestros esfuerzos de cumplimiento de la privacidad, se lleva a cabo una capacitación y concientización integral de los empleados de manera continua, que se complementa con la Evaluación de impacto de la protección de datos junto con auditorías internas y externas.

Seguridad, Cumplimiento de la Industria

Seguridad física del centro de datos

INSTALACIONES

BIGDAVI está alojado en centros de datos de AWS que han sido certificados como ISO 27001, PCI DSS Service Provider Level 1 y/o SOC 2. Para obtener más información sobre el cumplimiento de las instalaciones de AWS, haga clic aquí .

Los servicios de infraestructura de AWS incluyen energía de respaldo, sistemas HVAC y equipos de supresión de incendios para ayudar a proteger los servidores y, en última instancia, sus datos. Para obtener más información sobre el cumplimiento de las instalaciones de AWS, haga clic aquí .

SEGURIDAD EN EL SITIO

La seguridad en el sitio de AWS incluye funciones como guardias de seguridad, cercas, fuentes de seguridad, tecnología de detección de intrusos y otras medidas de seguridad. Para obtener más información sobre el cumplimiento de las instalaciones de AWS, haga clic aquí .

UBICACIÓN DE ALOJAMIENTO DE DATOS

BIGDAVI aprovecha los centros de datos de AWS en la región de Estados Unidos. BIGDAVI ofrece múltiples opciones de ubicación de datos, incluidos Estados Unidos yEuropa. Para obtener más información.

Seguridad de la red

EQUIPO DE SEGURIDAD DEDICADO

Nuestro equipo de seguridad dedicado está disponible las 24 horas del día, los 7 días de la semana para monitorear y responder a cualquier evento y alerta de seguridad.

PROTECCIÓN

Nuestra red está protegida a través de auditorías regulares y tecnologías de inteligencia de red, que monitorean y/o bloquean el tráfico malicioso y los ataques a la red.

ARQUITECTURA

Nuestra arquitectura de seguridad de red consta de varias zonas de seguridad. Los sistemas confidenciales, como los servidores de bases de datos, están protegidos con subredes privadas con controles y restricciones sobre el tráfico que surge desde o hacia la subred. Dependiendo de la zona, se implementarán controles de acceso y monitoreo de seguridad adicionales. Las DMZ se utilizan entre Internet e internamente entre las diferentes zonas de confianza.

ESCANEO DE LA VULNERABILIDAD DE LA RED

El escaneo de seguridad de la red se lleva a cabo regularmente para una rápida identificación de los sistemas potencialmente vulnerables o fuera de cumplimiento.

DETECCIÓN Y PREVENCIÓN DE INSTRUSIONES

Implementamos AWS GuardDuty que monitorea continuamente nuestras redes para brindar análisis de seguridad inteligente e inteligencia sobre amenazas, lo que brinda una solución única para la detección de ataques, la visibilidad de amenazas, la búsqueda proactiva y la respuesta ante amenazas.

MITIGACIÓN DE DDOS

Hemos implementado AWS Shield, un servicio de protección de denegación de servicio distribuido (DDoS) administrado, para proteger BIGDAVI. AWS Shield proporciona detección siempre activa y mitigaciones automáticas en línea que minimizan el tiempo de inactividad y la latencia de la aplicación.

ACCESO LÓGICO

El acceso a la red de producción de BIGDAVI está restringido en función de la necesidad explícita de saberlo. Nuestro equipo de seguridad audita, monitorea y controla continuamente el acceso con privilegios mínimos. Los empleados que acceden a la red de producción BIGDAVI deben utilizar múltiples factores de autenticación para garantizar la seguridad.

Seguridad y privacidad de datos

CIFRADO DE DATOS EN REPOSO

Tanto los datos como los documentos se cifran y almacenan en la base de datos de BIGDAVI. BIGDAVI utiliza estándares de cifrado avanzados para cifrar los datos que incluyen claves de cifrado AES de 256 bits.

CIFRADO DE DATOS EN MOVIMIENTO

Todas las comunicaciones con la interfaz de usuario y las API de BIGDAVI se cifran a través de HTTPS/TLS estándar de la industria (TLS 1.2 o superior) a través de redes públicas. Esto garantiza que todo el tráfico entre usted y BIGDAVI sea seguro durante el tránsito. Las excepciones para el cifrado pueden incluir cualquier uso de la funcionalidad de SMS en el producto, cualquier otra aplicación, integración o servicio de terceros, que los suscriptores pueden optar por aprovechar a su propia discreción. Además, BIGDAVI también ofrece una opción para que el usuario cifre documentos dentro de la interfaz de usuario de la plataforma antes de compartirlos con terceros.

Resistencia

TIEMPO DE ACTIVIDAD

BIGDAVI mantiene una página web de estado de servicio del sistema disponible públicamente , que incluye detalles de disponibilidad del sistema, mantenimiento programado, historial de incidentes de servicio y eventos de seguridad relevantes.

ALTA DISPONIBILIDAD

BIGDAVI está alojado en la nube de AWS con la aplicación y la base de datos alojadas en dos zonas de disponibilidad separadas. Se garantiza que proporcionará un tiempo de actividad del 99% para garantizar que no haya interrupciones en los servicios. Se envían notificaciones/comunicaciones oportunas a los clientes y usuarios finales en caso de tiempo de inactividad planificado o no planificado del servicio.

REDUNDANCIA

BIGDAVI emplea agrupación de servicios y redundancias de red para eliminar un único punto de falla. El sistema realiza las copias de seguridad de los datos automáticamente con la replicación síncrona. Nuestro proceso de copia de seguridad nos permite ofrecer un alto nivel de disponibilidad del servicio, ya que los datos del servicio se replican en todas las zonas de disponibilidad.

RECUPERACIÓN DE DESASTRES

Como parte de nuestro programa Disaster Recovery (DR), BIGDAVI aprovecha un riguroso análisis de riesgo e impacto comercial para identificar aplicaciones/servicios que son críticos para cada uno de nuestros productos. El programa asegura que nuestros servicios permanezcan disponibles y sean fácilmente recuperables en caso de un desastre. Esto se logra mediante la creación de un entorno técnico sólido, la creación de planes de recuperación ante desastres y actividades de prueba.

RESPUESTA A INCIDENTES DE SEGURIDAD

En caso de una alerta del sistema, los eventos se escalan a nuestros equipos internos que brindan cobertura de operaciones, ingeniería de redes y seguridad. Los empleados están capacitados en los procesos de respuesta a incidentes de seguridad, incluidos los canales de comunicación y las rutas de escalamiento.

Seguridad de la aplicación

Gestión de vulnerabilidades

ESCANEO DE VULNERABILIDADES

Empleamos herramientas de seguridad de terceros para escanear incesante y dinámicamente nuestras aplicaciones principales contra los riesgos de seguridad comunes de las aplicaciones web, incluidos, entre otros, los 10 principales riesgos de seguridad de OWASP. Mantenemos un equipo de seguridad de productos interno dedicado para probar y trabajar con equipos de desarrollo para solucionar cualquier problema descubierto. También empleamos equipos de seguridad de terceros para realizar análisis detallados de vulnerabilidades anualmente.

PRUEBAS DE PENETRACIÓN DE TERCEROS

BIGDAVI es probado intensamente por nuestro producto interno y equipo de pruebas antes de cada lanzamiento importante. También empleamos equipos de seguridad de terceros para realizar pruebas de penetración detalladas anualmente.

Concientización y capacitación de los empleados

ENTRENAMIENTO DE CÓDIGO SEGURO

Todos los códigos que se escriben y publican pasan por un proceso de desarrollo iterativo centrado en la codificación segura. Se pone un gran énfasis en las pautas de OWASP durante el desarrollo del software.

SEGURO DE CALIDAD

Nuestro equipo de control de calidad (QA) revisa y prueba nuestra base de código. Contamos con un equipo de seguridad de aplicaciones dedicado que identifica, prueba y garantiza que no haya vulnerabilidades de seguridad en el código.

ENTORNOS

BIGDAVI utiliza entornos independientes para producción, control de calidad y desarrollo. Los entornos de producción y ensayo están aislados entre sí con entornos de control de calidad y desarrollo dedicados, lo que garantiza que el código pase por un proceso de lanzamiento adecuado con un enfoque claro en las prácticas de DevOps.

Seguridad del producto

Seguridad de autenticación

MODOS DE AUTENTICACIÓN

BIGDAVI tiene múltiples modos de autenticación; los usuarios pueden usar la autenticación nativa de BIGDAVI, protocolos como SAML 2.0 y Open ID connect para SSO, o la integración con sistemas externos de autenticación de múltiples factores a través de REST API, Office 365 Cloud AD y cuentas de Google para la autenticación de usuarios.

POLÍTICA DE CONTRASEÑAS

La autenticación nativa de BIGDAVI permite a los administradores (solo) configurar políticas de contraseñas que se impondrán a través de la configuración del administrador. Los administradores pueden elegir la complejidad de la contraseña (longitud, letras, números, mayúsculas y minúsculas, etc.), la antigüedad y los intentos de inicio de sesión.


AUTENTICACIÓN DE DOS FACTORES (2FA)

La autenticación nativa de BIGDAVI permite la autenticación de dos factores para los usuarios a través de OTP basadas en correo electrónico/SMS o mediante la aplicación Google/Microsoft/BIGDAVI Authenticator.
Seguridad de credenciales
Seguimos las mejores prácticas de almacenamiento de credenciales y nunca almacenamos contraseñas en un formato legible por humanos. El almacenamiento de credenciales es siempre el resultado de un hash unidireccional seguro.

SEGURIDAD DE CREDENCIALES

Seguimos las mejores prácticas de almacenamiento de credenciales y nunca almacenamos contraseñas en un formato legible por humanos. El almacenamiento de credenciales es siempre el resultado de un hash unidireccional seguro.

Seguridad adicional del producto

CONTROLES DE ACCESO BASADOS EN ROLES (RBAC)

El acceso a flujos de trabajo y documentos dentro de BIGDAVI se rige por controles de acceso basados en funciones (RBAC) y se puede configurar a nivel granular. BIGDAVI admite varios niveles de permisos: a nivel de usuario y de departamento para iniciadores, firmantes/revisores, administradores, etc. También se pueden imponer restricciones a nivel de documento para flujos de trabajo predefinidos y flujos de trabajo de nivel ad-hoc, incluido el documento cargado para firma, archivos adjuntos (si los hay) y certificados de finalización.


REGISTROS DE AUDITORÍA

BIGDAVI ofrece registros de auditoría para cuentas, con detalles relacionados con cambios de cuenta, cambios de usuario, acciones realizadas, etc. El registro de auditoría está disponible en la configuración del administrador y se puede exportar en formato Excel/PDF para un análisis más detallado. Para obtener más información sobre los registros de auditoría y ver qué información se captura dentro de los registros.


REGISTRO DE DOCUMENTOS

BIGDAVI captura varias acciones realizadas por los usuarios en un documento, que incluye los datos Enviado, Visto y Firmado/Revisado junto con la marca de tiempo. También captura el Sistema Operativo, el navegador y la dirección IP utilizada por el usuario mientras realiza la(s) acción(es) asignada(s) al participante.


SEGURIDAD DE CREDENCIALES

Seguimos las mejores prácticas de almacenamiento de credenciales y nunca almacenamos contraseñas en un formato legible por humanos. El almacenamiento de credenciales es siempre el resultado de un hash unidireccional seguro.

Seguridad de recursos humanos

Conciencia de seguridad

POLÍTICAS

BIGDAVI mantiene una Política de seguridad de la información integral que se publica para los empleados y contratistas que se unen a nosotros.


CAPACITACIÓN

Todos los empleados y contratistas de BIGDAVI están sujetos a sesiones obligatorias de capacitación en seguridad en intervalos periódicos de tiempo. Todos los desarrolladores reciben capacitación sobre metodologías de codificación segura, mientras que el equipo de seguridad recibe capacitación de seguridad adicional sobre las mejores prácticas de la industria.

Verificación de empleados y contratistas

COMPROBACIONES DE VERIFICACIÓN DE ANTECEDENTES

BIGDAVI realiza verificaciones de antecedentes de todos los nuevos empleados y contratistas de acuerdo con las leyes locales. La verificación de antecedentes incluye verificación penal, educativa y laboral.

ACUERDOS DE NO DIVULGACIÓN Y CONFIDENCIALIDAD

Todos los empleados y contratistas de BIGDAVI
tienen la obligación de firmar un Acuerdo de confidencialidad y un Acuerdo de empleo, incluidos los términos de confidencialidad de la propiedad intelectual. También se les sensibiliza sobre la importancia de la seguridad con regularidad.

¿Quiere saber más?
Hable con nuestros expertos