Política de Seguridad

Auditoría y certificación:

Vmaker trabaja con empresas independientes de terceros para cumplir con prácticas de seguridad que constantemente cumplen con los mejores estándares de la industria. Somos una empresa certificada ISO 27001:2013. Vmaker está dispuesto a compartir la certificación ISO previa solicitud razonable de los clientes.

Vmaker utiliza la plataforma de procesamiento de pagos Stripe. Para más información sobre las prácticas de seguridad de Stripe, consulta https://stripe.com/docs/security/stripe.

Marco de Privacidad:

Vmaker se asegura de que sus procesos y procedimientos cumplan con el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA). Para más detalles, por favor visita nuestra Política de Privacidad aquí.

Pruebas de Vulnerabilidad:

Vmaker sigue un proceso estructurado de desarrollo y lanzamiento de código. Como parte de este proceso, todo el código es revisado por pares. Vmaker pone a disposición de los ingenieros herramientas de análisis de código diseñadas para ser utilizadas en el código de la aplicación. Vmaker también realiza pruebas continuas posteriores a la producción basadas en amenazas en tiempo real. Vmaker lleva a cabo rigurosas pruebas internas continuas de la superficie de su aplicación mediante varios tipos de ejercicios de pruebas de penetración. Además, Vmaker coordina pruebas de penetración externas de terceros utilizando probadores de penetración calificados y certificados.

Pruebas de penetración y escaneos de seguridad regulares:

El backend de Vmaker se escanea regularmente con herramientas de escaneo estándar de la industria para monitorear y detectar vulnerabilidades. Además, una vez al año, realizamos una prueba de penetración exhaustiva y detallada utilizando empresas de pruebas de penetración de terceros.

Capacitación en Seguridad para el Equipo de Vmaker:

Todos los miembros de nuestro equipo reciben capacitación en concienciación sobre seguridad de forma regular para aumentar la conciencia sobre la seguridad.

Cifrado de Datos:

Los datos en tránsito y en reposo están cifrados. Utilizamos AWS KMS (Key Management Service) para todas nuestras claves. La conexión de datos a nuestra aplicación está cifrada y autenticada utilizando un protocolo fuerte (TLS 1.2), un intercambio de claves fuerte (ECDHE_RSA con P-256) y un cifrado fuerte (AES_128_GCM). Usamos el certificado SSL firmado por GoDaddy. Todos los comandos de cifrado de clave simétrica utilizados dentro del HSA utilizan los Estándares Avanzados de Cifrado (AES), en modo de contador Galois (GCM) usando claves de 256 bits. Las llamadas análogas para descifrar usan la función inversa. El volumen EBS de Amazon EC2 está cifrado usando AES-256-XTS. Esto requiere dos claves de volumen de 256 bits, lo que equivale a una clave de volumen de 512 bits. La clave de volumen está cifrada bajo una Clave Maestra de Cliente y se almacena junto con los metadatos del volumen.

Capacitación / Concienciación:

Vmaker cuenta con un programa formal y documentado de capacitación en concienciación sobre seguridad durante el proceso de incorporación y otra capacitación, que se realiza una vez cada seis meses.

Sistema de Respuesta y Reporte de Incidentes:

Vmaker tiene un plan de respuesta a incidentes documentado y formal. Vmaker realiza pruebas anuales de sus procesos de respuesta a emergencias. Nuestros empleados están capacitados en cómo comunicar incidentes internamente y nuestros clientes son informados de los incidentes que afectan su servicio por correo electrónico. Vmaker tiene un proceso de gestión de incidentes bien definido y riguroso para eventos de seguridad. Si un incidente involucra datos de clientes, Vmaker informará al cliente y apoyará los esfuerzos de investigación a través de nuestro equipo de soporte dentro de las 72 horas. Después de solucionar un evento de seguridad, registramos un análisis detallado de la causa raíz. Esto luego es asimilado por Vmaker para que podamos detectar cualquier acción en el futuro. Vmaker puede apoyar solicitudes debidamente formadas para datos específicos de inquilinos cuando lo solicite la autoridad. Los clientes individuales son notificados si un incidente afecta sus datos.

Automatización del Proceso de Construcción:

Vmaker cuenta con un proceso de automatización establecido que nos permite implementar cambios en la aplicación y plataforma de Vmaker sin problemas. Esto nos permite abordar los problemas de seguridad lo antes posible.

Infraestructura de Vmaker:

Vmaker opera en Amazon Web Services (“AWS”); Todos nuestros datos y sistemas en alcance están alojados en AWS. Por lo tanto, la infraestructura y la seguridad de la red de AWS serán gestionadas por AWS como se detalla en el informe SOC2 de AWS. Además, el equipo de seguridad en la nube de Vmaker monitorea y revisa periódicamente la configuración de red y la seguridad del entorno en alcance.

Los servicios y datos de Vmaker están alojados en Amazon Web Services (AWS) (us-west-2 y us-east-1). Los datos de los clientes de Vmaker se almacenan en almacenes de datos multi-inquilino. Ejercemos controles de privacidad estrictos para asegurarnos de que los datos de un cliente estén aislados de los datos de otros clientes. Vmaker realiza pruebas de integración para verificar nuestros controles de privacidad. Estas pruebas se ejecutan cada vez que se actualiza nuestro código y si una sola prueba falla, se evita que el nuevo código se envíe a producción. Cada sistema de Vmaker utilizado para procesar datos de clientes está adecuadamente configurado y parcheado utilizando métodos comercialmente razonables de acuerdo con los estándares reconocidos de endurecimiento del sistema y las prácticas de seguridad de la industria.

Transferencia de Datos:

Los datos de Vmaker están cifrados en tránsito utilizando cifrado de 256 bits. Nuestros puntos finales de API y aplicación son solo TLS/SSL y obtienen una calificación "A+" en las pruebas de SSL Labs. Vmaker utiliza suites de cifrado fuertes y tiene funciones como HSTS y Perfect Forward Secrecy completamente habilitadas. Vmaker también cifra los datos en reposo utilizando un algoritmo de cifrado AES-256 estándar de la industria.

Autenticación:

Vmaker cree en el modelo de seguridad Zero Trust, basado en un estricto proceso de verificación de identidad. El marco dicta que solo los usuarios y dispositivos autenticados y autorizados pueden acceder a las aplicaciones y datos. Al mismo tiempo, protege esas aplicaciones y usuarios de amenazas avanzadas en Internet. Vmaker tiene un modelo de seguridad Zero Trust implementado. Vmaker no ofrece privilegios adicionales ni recursos corporativos por estar en la red de Vmaker. Vmaker ha establecido autenticación de dos factores (2FA) y políticas de contraseñas fuertes en GitHub, Google, AWS e Intercom para garantizar que el acceso a los servicios en la nube esté protegido.

Permisos y Controles de Administración:

Vmaker permite establecer niveles de permisos para cualquier empleado con acceso a los sistemas en alcance de Vmaker. Los permisos y el acceso pueden configurarse para incluir la configuración de la aplicación, la facturación y los datos de los usuarios.

Aplicación Monitoreada:

Vmaker se asegura de que cada acción en la red de Vmaker esté registrada y auditada. Las actividades de control de producción también se registran.