Seguridad

Cultura de seguridad

En Webdox sabemos lo sensible que es la información que procesamos, es por eso que cada año trabajamos un RoadMap de Seguridad más riguroso, con auditorías externas de entidades reconocidas en el mercado, implementando nuevas normas y controles de protección para que tu experiencia en Webdox sea la más confiable.

  • Webdox está certificado en ISO 27001 por A-LIGN
  • Desde el año 2019 contamos con un Sistema de Gestión de Seguridad de la Información según lo definido por ISO 27001, para sistemas y procesos tecnológicos y operacionales.
  • Cada integrante de Webdox cuenta con capacitaciones de seguridad y con contratos de confidencialidad, siguiendo las políticas de seguridad requeridas para desempeñar sus funciones.

Compliance

El cumplimiento a las distintas normativas de cada zona y país nos han orientado a entregar un servicio personalizado a los requerimientos técnicos y legales de las empresas. Webdox cuenta con una Política de Privacidad sobre cómo procesamos tus datos personales, medimos su impacto en nuestra evaluación de riesgos y reportamos a todos nuestros clientes sobre el estado de sus datos sensibles.

  • Webdox tiene como objetivo 2021 certificarse en norma ISO 27701 (Privacidad y Protección de Datos Personales) y en ISO 27018 (controles de seguridad para procesamiento de datos personales desde la nube).
  • Con ello Webdox busca cumplir con la normativa vigente de cada país, correspondiente a Privacidad y Protección de Datos personales, tales como la GDPR (Reglamento General de Protección de Datos) en Europa y la LGPD (Ley General de Protección de Datos Personales) en Brasil.

Arquitectura Robusta

Toda gran solución está respaldada por un gran partner estratégico. Google Cloud Platform, junto con otros partners reconocidos, nos brindan todas las funcionalidades de seguridad que se requieren en el mercado.

  • Webdox es Google Cloud Partner, la infraestructura y seguridad son heredadas de servicios Google, con alta disponibilidad en todas sus capas.
  • Cloudflare, Gitlab y HackerOne son algunos de los servicios que utilizamos para la creación y uso de Webdox.
  • Sistemas diseñados para un objetivo de nivel de servicio (SLO) del 99,99% y acuerdos de nivel de servicio (SLA) se adaptan, generalmente al 99,5%.
  • Backups se ejecutan cada 24 horas con una retención de 30 días y las réplicas de conmutación por error se activan mejorando la Alta Disponibilidad.
  • Disaster Recovery Planning (DRP) con RTO (Recovery Time Objective) de 1 hora y RPO (Recovery Point Objective) de hasta 24 horas.
  • Toda la metadata en reposo es encriptada usando AES 256.
  • Toda la metadata en tránsito es encriptada usando TLS 1.2 o 1.3.
  • Webdox cuenta con herramientas de monitoreo y generación de alarmas ante eventos anómalos.

Desarrollo Seguro

A nivel aplicativo Webdox cuenta con una serie de características de seguridad que podrás integrar con tu infraestructura tecnológica y si deseas apoyo técnico contamos con un equipo de especialistas que resolverán todas tus consultas. Hoy en día nos basamos en las buenas prácticas entregadas por OWASP (Top Ten) para tratar los riesgos más recurrentes y además trabajamos directamente con hackers éticos para la mejora continua de la aplicación.

  • Configuración de parámetros de sesión de usuarios: Tiempo de inactividad, duración de sesión, formato de contraseñas.
  • Gestión de acceso perimetral, se configura desde donde se puede acceder y desde donde no, a través de direcciones IP.
  • Mecanismos de Single Sign On via SAML V2
  • Integración de OAUTH a través de API y APP otorgando robustez en las integraciones que se puedan generar.
  • Segundo factor de autenticación
  • Los accesos y permisos son controlados por roles asignados a los usuarios.
  • Logs de Auditorías con todas las acciones generadas por los usuarios.
  • DevSecOps en todo el ciclo de desarrollo.
  • Identificación de cada proceso interno (UUID), otorgando un mejor funcionamiento y auditoría de la plataforma.

Monitoreo y Deployment

Periódicamente Webdox solicita a entidades externas especializadas en Ciberseguridad ensayos de tipo Ethical Hacking y Pentest, para trabajar cualquier nueva vulnerabilidad que sea detectada sobre el producto.

Adicionalmente, el equipo de Tecnología y Seguridad lleva a cabo pruebas de Disaster Recovery Planning (DRP) para cada uno de sus sistemas críticos, que junto con las auditorías internas y externas programadas durante el año, alimentan nuestro proceso de mejora continua tanto a nivel de procesos como de producto Webdox.

En Webdox trabajamos arduamente en el descubrimiento de nuevas vulnerabilidades y su tratamiento, es por ello que contamos con el servicio recurrente y especializado de Unitti para ensayos Pentesting y Ethical Hacking, trabajando en conjunto la resolución de los hallazgos evidenciados. Esto nos permitirá seguir fortaleciendo el servicio a los niveles más exigentes del mercado.