Actualizado el: 10 de agosto de 2020

Descripción general

Nuestra estrategia de seguridad incluye los siguientes componentes

  •   Seguridad organizacional
  •   Seguridad física
  •   Seguridad de la infraestructura
  •   Seguridad de los datos
  •   Control de accesos e identidades
  •   Seguridad operacional
  •   Gestión de incidentes
  •   Divulgación responsable
  •   Gestión de proveedores
  •   Controles de clientes para la seguridad

Seguridad organizacional

Tenemos un sistema para la gestión de la seguridad de la información (ISMS) que tiene en cuenta nuestros objetivos de seguridad y los riesgos y la mitigación en relación con todas las partes interesadas. Empleamos políticas y procedimientos estrictos que abarcan la seguridad, la disponibilidad, el procesamiento, la integridad y la confidencialidad de los datos de los clientes.

Verificación de los antecedentes de los empleados

Cada empleado se somete a un proceso de verificación de antecedentes. Contratamos a agencias externas de gran reputación para que realicen esta verificación en nuestro nombre. Hacemos esto para verificar sus antecedentes penales, sus empleos anteriores si los hay, y sus antecedentes educativos. Hasta que no se realice esta comprobación, no se asignan al empleado tareas que puedan suponer un riesgo para los usuarios.

Concienciación sobre la seguridad

Cada empleado, cuando se incorpora, firma un acuerdo de confidencialidad y una política de uso aceptable, después de lo cual recibe capacitación en seguridad de la información, privacidad y cumplimiento. Además, evaluamos su comprensión a través de pruebas y exámenes para determinar los temas en los que necesitan más formación. Proporcionamos formación sobre aspectos específicos de la seguridad que pueden requerir de acuerdo con sus funciones.

Educamos continuamente a nuestros empleados sobre la seguridad de la información, la privacidad y el cumplimiento en nuestra comunidad interna, donde nuestros empleados se registran regularmente para mantenerlos actualizados sobre las prácticas de seguridad de la organización. También organizamos eventos internos para concienciar e impulsar la innovación en seguridad y privacidad.

Personal dedicado a la seguridad y a la privacidad

Tenemos empleados dedicados a la seguridad y la privacidad que implementan y gestionan nuestros programas de seguridad y privacidad. Ellos diseñan y mantienen nuestros sistemas de defensa, desarrollan procesos de revisión para la seguridad y monitorean constantemente nuestras redes para detectar actividades sospechosas. Proporcionan servicios de consultoría y orientación específicos para nuestros equipos de ingeniería.

Auditoría interna y cumplimiento

Tenemos un equipo de cumplimiento dedicado a examinar los procedimientos y políticas en Zoho para alinearlos con las normas y determinar qué controles, procesos y sistemas son necesarios para cumplir las normas. Este equipo también realiza auditorías internas periódicas y facilita la realización de auditorías y evaluaciones independientes por parte de terceros.

Para más detalles, consulte nuestro portafolio de cumplimiento.

Seguridad en endpoints

Todas las estaciones de trabajo entregadas a los empleados de Zoho tienen una versión actualizada del sistema operativo y están configuradas con software antivirus. Están configurados de tal manera que cumplen con nuestras normas de seguridad, que requieren que todas las estaciones de trabajo estén debidamente configuradas, parcheadas y que las soluciones de gestión de endpoints de Zoho las supervisen y monitoreen. Estas estaciones de trabajo son seguras por defecto ya que están configuradas para codificar datos en reposo, tienen contraseñas fuertes y se bloquean cuando están inactivas. Los dispositivos móviles utilizados con fines comerciales se inscriben en el sistema de gestión de dispositivos móviles para garantizar que cumplan con nuestras normas de seguridad.

Seguridad física

En el lugar de trabajo

Controlamos el acceso a nuestros recursos (edificios, infraestructura e instalaciones), donde el acceso incluye el consumo, la entrada y la utilización, con la ayuda de tarjetas de acceso. Proporcionamos a los empleados, contratistas, vendedores y visitantes diferentes tarjetas de acceso que sólo permiten el acceso estrictamente específico al propósito de su entrada en las instalaciones. El equipo de Recursos Humanos (RR. HH.) establece y mantiene los propósitos específicos de las funciones. Mantenemos logs de acceso para detectar y tratar las anomalías.

En los centros de datos

En nuestros Centros de Datos, un proveedor de co-ubicación se encarga del edificio, la refrigeración, la energía y la seguridad física, mientras que nosotros proporcionamos los servidores y el almacenamiento. El acceso a los Centros de Datos está restringido a un pequeño grupo de personal autorizado. Cualquier otro acceso se considera como un ticket y sólo se permite después de la aprobación de los respectivos gerentes. Se requiere una autenticación adicional de dos factores y una autenticación biométrica para entrar en las instalaciones. Los logs de acceso, los registros de actividad y las grabaciones de las cámaras están disponibles en caso de que ocurra un incidente.

Monitoreo

Monitoreamos todos los movimientos de entrada y salida de nuestras instalaciones en todos nuestros centros de negocios y centros de datos a través de cámaras de CCTV implementadas de acuerdo con las regulaciones locales. Se dispone de material de respaldo hasta un cierto período, dependiendo de los requisitos de esa ubicación.

Seguridad de la infraestructura

Seguridad de red

La seguridad de nuestra red y las técnicas de monitoreo están diseñadas para proveer múltiples capas de protección y defensa. Utilizamos firewalls para evitar que nuestra red tenga acceso no autorizado y tráfico no deseado. Nuestros sistemas están segmentados en redes separadas para proteger los datos sensibles. Los sistemas que sustentan las actividades de prueba y desarrollo están alojados en una red separada de los sistemas que sustentan la infraestructura de producción de ManageEngine.

Monitoreamos el acceso al firewall con un horario estricto y constante. Un ingeniero de redes revisa todos los cambios hechos al firewall diariamente. Además, estos cambios se revisan cada tres meses para actualizar y revisar las reglas. Nuestro equipo dedicado de Network Operations Center monitorea la infraestructura y las aplicaciones para detectar cualquier discrepancia o actividad sospechosa. Todos los parámetros cruciales se monitorean continuamente utilizando nuestra herramienta patentada y se activan notificaciones en cualquier caso en que se produzcan actividades anormales o sospechosas en nuestro entorno de producción.

Redundancia de la red

Todos los componentes de nuestra plataforma son redundantes. Utilizamos una arquitectura de red distribuida para proteger nuestro sistema y servicios de los efectos de posibles fallos de los servidores. Si se produce una falla en el servidor, los usuarios pueden continuar como de costumbre porque sus datos y los servicios de la nube ManageEngine seguirán estando disponibles para ellos.

Además, utilizamos múltiples switches, routers y gateways de seguridad para garantizar la redundancia a nivel dispositivo. Esto previene las fallas de un solo punto en la red interna.

Prevención de DDoS

Utilizamos tecnologías de proveedores de servicios bien establecidos y confiables para prevenir los ataques DDoS en nuestros servidores. Estas tecnologías ofrecen múltiples capacidades de mitigación de DDoS para prevenir las interrupciones causadas por el mal tráfico, a la vez que permiten el paso de un buen tráfico. Esto mantiene nuestros sitios web, aplicaciones y API altamente disponibles y funcionando.

Fortalecimiento de servidor

Todos los servidores habilitados para actividades de desarrollo y prueba se fortalecen (deshabilitando sus puertos y cuentas no utilizados, eliminando las contraseñas predeterminadas, etc.). La imagen del Sistema Operativo (SO) base tiene el fortalecimiento del servidor incorporado, y esta imagen del SO se proporciona a los servidores para garantizar la consistencia a través de estos.

Detección y prevención de intrusiones

Nuestro mecanismo de detección de intrusos toma nota de las señales basadas en el host de los dispositivos individuales y de las señales basadas en la red de los puntos de monitoreo dentro de nuestros servidores. Se registra el acceso administrativo, el uso de comandos privilegiados y las llamadas al sistema en todos los servidores de nuestra red de producción. Las reglas y la inteligencia de máquina construidas sobre estos datos dan a los ingenieros de seguridad advertencias sobre posibles incidentes. En la capa de aplicación, tenemos nuestro WAF patentado que funciona con las reglas de lista blanca y lista negra.

A nivel proveedores de servicios de Internet (ISP), se aplica un enfoque de seguridad de múltiples capas con depuración, enrutamiento de la red, limitación de la velocidad y filtrado para manejar los ataques desde la capa de red hasta la capa de aplicación. Este sistema proporciona un tráfico limpio, un servicio de proxy fiable y una rápida notificación de los ataques, si los hubiera.

Seguridad de los datos

Seguro por diseño

Cada cambio y nueva función se rige por una política de gestión de cambios para garantizar que todos los cambios de aplicación se autoricen antes de su implementación en la producción. Nuestro Ciclo de Vida de Desarrollo de Software (SDLC) ordena el cumplimiento de las directrices de codificación segura, así como la revisión de los cambios de código en busca de posibles problemas de seguridad con nuestras herramientas de análisis de código, escáneres de vulnerabilidad y procesos de revisión manual.

Nuestro robusto marco de seguridad basado en las normas OWASP, implementado en la capa de aplicación, proporciona funcionalidades para mitigar amenazas como la inyección SQL, Cross site scripting y ataques DOS en la capa de aplicación.

Aislamiento de datos

Nuestro framework distribuye y mantiene el espacio en la nube para nuestros clientes. Los datos de servicio de cada cliente se separan lógicamente de los datos de otros clientes utilizando un conjunto de protocolos seguros en el framework. Esto garantiza que ningún dato del servicio del cliente sea accesible a otro cliente.

Los datos del servicio se almacenan en nuestros servidores cuando usted utiliza nuestros servicios. Sus datos son propiedad suya, no de Zoho. No compartimos estos datos con ningún tercero sin su consentimiento.

Cifrado

En tránsito: Todos los datos de los clientes que se transmiten a nuestros servidores a través de las redes públicas están protegidos por fuertes protocolos de cifrado. Obligamos que todas las conexiones a nuestros servidores utilicen la codificación de Seguridad de Capa de Transporte (TLS 1.2/1.3) con fuertes cifrados para todas las conexiones, incluyendo el acceso a la web, el acceso a la API, nuestras aplicaciones móviles y el acceso a los clientes de correo electrónico IMAP/POP/SMTP. Esto garantiza una conexión segura al permitir la autenticación de ambas partes involucradas en la conexión y al cifrar los datos que se transfieren. Además, en el caso del correo electrónico, nuestros servicios aprovechan las oportunidades que ofrece el TLS por defecto. TLS cifra y entrega el correo electrónico de forma segura, mitigando las interceptaciones entre los servidores de correo donde los servicios de pares admiten este protocolo.

Contamos con total compatibilidad para Perfect Forward Secrecy (PFS) con nuestras conexiones cifradas, lo que garantiza que incluso si nos viéramos comprometidos de alguna manera en el futuro, ninguna comunicación anterior podría decodificarse. Hemos habilitado el encabezado Seguridad estricta de transporte de HTTP (HSTS) a todas nuestras conexiones web. Esto les dice a todos los navegadores modernos que sólo se conecten a nosotros a través de una conexión cifrada, incluso si usted escribe una URL de una página insegura en nuestro sitio. Además, en la web marcamos todas nuestras cookies de autenticación como seguras.

En reposo: Los datos en reposo sensibles de los clientes se cifran usando el estándar avanzado de codificación (AES) de 256 bits. Los datos que se cifran en reposo varían según los servicios que se opten. Somos dueños y mantenemos las claves usando nuestro propio servicio de gestión de claves (KMS). Proporcionamos capas adicionales de seguridad al cifrar las claves de codificación de los datos utilizando las claves maestras. Las claves maestras y las claves de codificación de datos están físicamente separadas y almacenadas en diferentes servidores con acceso limitado.

Por favor, haga clic aquí para obtener información detallada sobre el cifrado en Zoho y consulte la siguiente tabla para entender qué datos codificamos en nuestros servicios.

Servicio Campos cifrados
ServiceDesk Plus Cloud Los campos personalizados que contienen información personal, todos los archivos
Desktop Central Cloud Tokens de autenticación, contraseñas, todos los archivos
Mobile Device Manager Plus Tokens de autenticación, contraseñas, todos los archivos
Patch Manager Plus Tokens de autenticación, contraseñas, todos los archivos
Remote Access Plus Tokens de autenticación, contraseñas, todos los archivos
Log360 Cloud Tokens, contraseñas para los informes exportados, información sensible incorporada en las URL de las invitaciones, credenciales de dominio y de máquina, identificadores únicos de los agentes
Identity Manager Plus Propiedades del directorio, tokens del directorio y código de autorización
Site24x7 ID de correo electrónico, número de móvil, nombre de host y dirección IP
Alarms One ID de correo electrónico, número de móvil, nombre de host del agente y dirección IP, detalles de autenticación de la aplicación de terceros integrada, claves API y tokens.

Retención y eliminación de datos

Mantenemos los datos en su cuenta mientras usted elija usar los servicios de la nube de ManageEngine. Una vez que cancele su cuenta de usuario Zoho, se eliminarán sus datos de la base de datos activa durante la siguiente limpieza que se realiza una vez cada 6 meses. Se eliminarán los datos borrados de la base de datos activa de las copias de seguridad después de 3 meses. En caso de que su cuenta sin pagar esté inactiva durante un período continuo de 120 días, la daremos por terminada después de darle un aviso previo y la opción de hacer una copia de seguridad de sus datos.

Un proveedor verificado y autorizado se encarga de la eliminación de los dispositivos no utilizables. Hasta entonces, los clasificamos y almacenamos en un lugar seguro. Toda la información contenida en el interior de los dispositivos se formatea antes de su eliminación. Desmagnetizamos los discos duros que fallan y los destruimos físicamente con una trituradora. Realizamos crypto-erase y destruimos las unidades de estado sólido (SSD) que fallan.

Control de accesos e identidades

Single Sign-On (SSO)

Zoho ofrece Single Sign-On (SSO) que permite a los usuarios acceder a múltiples servicios utilizando la misma página de inicio de sesión y las mismas credenciales de autenticación. Cuando usted ingresa a cualquier servicio Zoho, sucede sólo a través de nuestro servicio integrado de Gestión de Accesos e Identidades (IAM). También somos compatibles con SAML para el single sign-on, que hace posible que los clientes integren el proveedor de identidad de su empresa como LDAP, ADFS cuando inician sesión en los servicios de Zoho.

El SSO simplifica el proceso de inicio de sesión, garantiza el cumplimiento, proporciona un control de acceso e informes efectivos y reduce el riesgo de fatiga de las contraseñas y, por lo tanto, de contraseñas débiles.

Autenticación multi-factor

Proporciona una capa extra de seguridad al exigir una verificación adicional que el usuario debe poseer, además de la contraseña. Esto puede reducir en gran medida el riesgo de acceso no autorizado si la contraseña de un usuario se ve comprometida. Puede configurar la autenticación multi-factor utilizando Zoho One-Auth. Actualmente, tenemos compatibilidad con diferentes modos como el Touch ID o Face ID biométrico, Push Notification, código QR y OTP basado en el tiempo.

También tenemos compatibilidad con Yubikey Hardware Security Key para la autenticación multi-factor.

Acceso administrativo

Empleamos controles de acceso técnico y políticas internas para prohibir a los empleados el acceso arbitrario a los datos de los usuarios. Nos adherimos a los principios de mínimo privilegio y permisos basados en roles para minimizar el riesgo de exposición de datos.

El acceso a los entornos de producción se mantiene en un directorio central y se autentica mediante una combinación de contraseñas fuertes, autenticación de dos factores y claves SSH protegidas por contraseña. Además, facilitamos ese acceso a través de una red separada con reglas más estrictas y dispositivos fortalecidos. Además, registramos todas las operaciones y las auditamos periódicamente.

Seguridad operacional

Registro y monitoreo

Monitoreamos y analizamos la información obtenida de los servicios, el tráfico interno de nuestra red, el uso de dispositivos y terminales. Registramos esta información en forma de logs de eventos, de auditoría, de fallas, de administrador y de operador. Estos logs se monitorean y analizan automáticamente en una medida razonable que nos ayuda a identificar anomalías como la actividad inusual en las cuentas de los empleados o los intentos de acceder a los datos de los clientes. Almacenamos estos logs en un servidor seguro aislado del acceso total al sistema, para gestionar el control de acceso de forma centralizada y garantizar la disponibilidad.

En cada servicio de la nube de ManageEngine, los clientes disponen de un registro de auditoría detallado que cubre todas las operaciones de actualización y eliminación realizadas por el usuario.

Gestión de la vulnerabilidad

Disponemos de un proceso de gestión de la vulnerabilidad que analiza activamente en busca de amenazas a la seguridad utilizando una combinación de herramientas de análisis certificadas de terceros y herramientas internas, y con esfuerzos de pruebas de penetración automatizadas y manuales. Además, nuestro equipo de seguridad revisa activamente los informes de seguridad entrantes y monitorea las listas de correo públicas, las entradas de los blogs y los wikis para detectar incidentes de seguridad que puedan afectar a la infraestructura de la empresa.

Una vez que identificamos una vulnerabilidad que requiere solución, se registra, se prioriza según la gravedad y se asigna a un propietario. Además, identificamos los riesgos asociados y supervisamos la vulnerabilidad hasta que se cierra, ya sea parcheando los sistemas vulnerables o aplicando los controles pertinentes.

Protección contra el malware y el spam

Escaneamos todos los archivos de usuario usando nuestro sistema de análisis automatizado que está diseñado para evitar que el malware se propague a través del ecosistema de Zoho. Nuestro motor anti malware personalizado recibe actualizaciones regulares de fuentes de inteligencia de amenazas externas y analiza los archivos en función de las firmas de la lista negra y los patrones maliciosos. Además, nuestro motor de detección patentado, junto con las técnicas de machine learning, garantiza que los datos de los clientes estén protegidos contra el malware.

Zoho Corporation es compatible con Autenticación de mensajes, informes y cumplimiento basados en el dominio (DMARC) como una forma de prevenir el spam. DMARC utiliza SPF y DKIM para verificar que los mensajes sean auténticos. También utilizamos nuestro motor de detección patentado para identificar el abuso de los servicios de la nube de ManageEngine como las actividades de phishing y spam. Además, tenemos un equipo anti spam dedicado a monitorear las señales del software y manejar las quejas de abuso. Para obtener más información, haga clic aquí

Copia de seguridad

Hacemos copias de seguridad incrementales diarias y semanales de nuestras bases de datos usando Zoho Admin Console (ZAC) para los DC de ManageEngine. Los datos de respaldo en el DC se almacenan en el mismo lugar y se codifican usando el algoritmo AES-265 bit. Los almacenamos en formato tar.gz. Todos los datos respaldados se conservan durante un período de tres meses. Si un cliente solicita la recuperación de datos dentro del período de retención, restauraremos sus datos y le proporcionaremos un acceso seguro a los mismos. El plazo para la restauración de los datos depende del tamaño de estos y de la complejidad involucrada.

Para garantizar la seguridad de los datos respaldados, utilizamos una matriz redundante de discos independientes (RAID) en los servidores de respaldo. Todas las copias de seguridad son programadas y supervisadas regularmente. En caso de fallas, se inicia una repetición y se corrige inmediatamente. Las comprobaciones de integridad y validación de las copias de seguridad completas se hacen automáticamente con la herramienta ZAC.

Desde su extremo, le recomendamos encarecidamente que programe copias de seguridad periódicas de sus datos exportándolos desde los respectivos servicios de Zoho y almacenándolos localmente en su infraestructura.

Recuperación en caso de desastre y continuidad de las actividades

Los datos de la aplicación se almacenan en un almacenamiento resistente que se replica en los centros de datos. Los datos del DC primario se replican en el secundario casi en tiempo real. En caso de fallo del DC primario, el DC secundario toma el relevo y las operaciones se llevan a cabo sin problemas con una pérdida de tiempo mínima o nula. Ambos centros están equipados con múltiples ISP.

Tenemos energía de reserva, sistemas de control de temperatura y sistemas de prevención de incendios como medidas físicas para garantizar la continuidad de las actividades. Estas medidas nos ayudan a lograr la resistencia. Además de la redundancia de datos, tenemos un plan de continuidad de actividades para nuestras principales operaciones, como el apoyo y la gestión de la infraestructura.

Gestión de incidentes

Informes

Tenemos un equipo dedicado a la gestión de incidentes. Le notificamos los incidentes de nuestro entorno que le afectan, junto con las medidas adecuadas que pueda necesitar tomar. Supervisamos y cerramos los incidentes con las medidas correctivas adecuadas. Siempre que sea aplicable, le proporcionaremos las evidencias necesarias en relación con los incidentes que le conciernen. Además, aplicamos controles para evitar que se repitan situaciones similares.

Respondemos con alta prioridad a los incidentes de seguridad o privacidad que nos informan a través de incidents@zohocorp.com. Para incidentes generales, notificaremos a los usuarios a través de nuestros blogs, foros y redes sociales. En caso de incidentes específicos de un usuario individual o de una organización, notificaremos al interesado por correo electrónico (utilizando su dirección de correo electrónico principal del administrador de la organización registrado con nosotros).

Notificación de violaciones

Como controladores de datos, notificamos a la correspondiente Autoridad de Protección de Datos de una violación dentro de las 72 horas siguientes a que tengamos conocimiento de ella, de acuerdo con el Reglamento General de Protección de Datos (GDPR). Según los requisitos específicos, notificamos a los clientes también, cuando sea necesario. Como procesadores de datos, informamos a los controladores de datos interesados sin demoras indebidas.

Divulgación responsable

Se ha puesto en marcha un programa de información sobre la vulnerabilidad en "Bug Bounty" para llegar a la comunidad de investigadores, que reconoce y recompensa la labor de los investigadores en materia de seguridad. Nos comprometemos a trabajar con la comunidad para verificar, reproducir, responder, legitimar e implementar soluciones apropiadas para las vulnerabilidades notificadas.

Si por casualidad encuentra alguna, por favor envíela a https://bugbounty.zoho.com. Si quiere informarnos directamente de las vulnerabilidades, envíenos un correo electrónico a security@manageengine.com.

Gestión de proveedores y de terceros

Evaluamos y calificamos a nuestros proveedores en base a nuestra política de gestión de proveedores. Nos incorporamos con nuevos proveedores después de entender sus procesos para prestarnos servicio y de realizar evaluaciones de riesgo. Tomamos las medidas apropiadas para garantizar que nuestra postura de seguridad se mantenga estableciendo acuerdos que requieren que los proveedores se adhieran a los compromisos de confidencialidad, disponibilidad e integridad que hemos hecho con nuestros clientes. Monitoreamos el funcionamiento efectivo del proceso y las medidas de seguridad de la organización mediante la realización de revisiones periódicas de sus controles.

Controles de clientes para la seguridad

Hasta ahora, hemos discutido lo que hacemos nosotros para ofrecer seguridad en varios frentes a nuestros clientes. Estas son las cosas que usted como cliente puede hacer para garantizar la seguridad desde su extremo:

  •   Elija una contraseña única y fuerte y protéjala.
  •  Utilice la autenticación multi-factor
  •  Utilice las últimas versiones de los navegadores, el sistema operativo móvil y las aplicaciones móviles actualizadas para garantizar de que estén parcheadas contra las vulnerabilidades y para utilizar las últimas funciones de seguridad
  •  Tome precauciones razonables mientras comparte datos de nuestro entorno de nube.
  •  Clasifique su información en personal o sensible y etiquétela en consecuencia.
  •  Monitoree los dispositivos vinculados a su cuenta, las sesiones web activas y el acceso de terceros para detectar anomalías en las actividades de su cuenta, y gestione las funciones y los privilegios de su cuenta.
  •  Esté atento a las amenazas de phishing y malware buscando correos electrónicos, sitios web y enlaces desconocidos que puedan explotar su información sensible haciéndose pasar por Zoho u otros servicios en los que confíe.

Para más información acerca de cómo puede trabajar con Zoho para lograr un entorno de nube seguro, lea nuestro recurso Entendiendo la responsabilidad compartida con Zoho. Proporcionamos un análisis exhaustivo sobre el modelo de responsabilidad compartida y sobre cómo tanto nuestros clientes como Zoho pueden colaborar, así como asumir la responsabilidad individual hacia la seguridad y la privacidad en la nube.

Conclusión

La seguridad de sus datos es su derecho y una misión interminable de Zoho. Seguiremos trabajando duro para mantener sus datos seguros, como siempre lo hemos hecho. Para cualquier consulta sobre este tema, revise nuestras preguntas frecuentes o escríbanos a security@manageengine.com.