Seguridad y Privacidad de Datos
Aplin mantiene las siguientes prácticas para proteger y cuidar los datos de sus clientes, así como evitar el acceso no privilegiado a la aplicación.
Respaldo de bases de datos
Protegemos las bases de datos con infraestructura que permite el respaldo y restablecimiento de los datos a momentos en el pasado. Mantiene y conserva estos respaldos contínuamente.
Protección de datos del cliente
Guardamos los datos de sus clientes con proveedores de nube que cuentan con normas rigurosas como SOC II, PCII, e ISO 27001.
Los datos se transmiten cifrados entre el destino y el origen y se toman las medidas necesarias para limitar al máximo el acceso a secretos y llaves sensibles.
Auditoría y acceso
Mantenemos registros a nivel usuario y marca de tiempo sobre el acceso, consulta, modificación, y borrado a los registros de la base de datos así como registros de uso de sistema.
Tercerizamos la autenticación de usuarios con proveedores especializados con certificación SOC II e HIPAA.
Nuestra tecnología se desarrolla con el principio de privilegio mínimo.
Control de equipos y accesos de empleados
Los equipos utilizados por los empleados de la organización están enrolados a softwares de seguridad, gestión de parches y software antivirus.
Los empleados de Aplin cuentan con cuentas corporativas que siguen el principio de privilegio mínimo y doble factor de autenticación.
Medidas adicionales de seguridad:
Realizamos las siguientes medidas de seguridad adicional para protección de nuestros clientes:
Implementación de WAF.
Ambientes y bases de datos aisladas para pruebas.
Manejador de secretos.
Auditoría estática y dinámica de llaves, vulnerabilidades y secretos en el código.
Segmentación de redes.
Política de respuesta a incidentes
Ante un incidente que impacte la seguridad, privacidad, o funcionamiento de la plataforma, tomaremos las siguientes medidas.
Protocolo de respuesta
Evaluaremos de la situación existente para detectar recursos comprometidos o sin servicio.
Asignaremos un equipo de trabajo adecuado con suficiente nivel de experiencia para mitigar riesgos, errores, y vulnerabilidades.
El equipo asignado creará un plan de acción que incluya el diagnóstico, mitigación, y prevención de incidentes futuros.
En base al nivel de impacto en las funciones operativas de la plataforma y privacidad de datos de nuestros clientes asignaremos un nivel de prioridad y tiempo de resolución al incidente.
Mantendremos una comunicación proactiva, cercana y transparente con los clientes
Política de prioridad y tiempos de respuesta objetivos
Prioridad | Descripción |
|---|---|
P0 | Brecha de seguridad, exposición de datos, o indisponibilidad total de la plataforma |
P1 | Degradación de la funcionalidad afectando la operación en funcionalidades clave que evitan. |
P2 | Bug aislado sin impacto operativo crítico. |
Tiempos de respuesta objetivos
P0 | P1 | P2 | |
|---|---|---|---|
Notificación a clientes | < 1 hora | Sobre demanda | No aplica |
Frecuencia de actualizaciones | Cada 1 hora | Cada 4 horas | Sobre demanda |
Contención | < 1 hora | < 4 horas | No aplica |