Documentacion de seguridad
Updated by Federico Nieves
Políticas de seguridad de la información en sus servidores y en su red
AWS: Se encuentran los servicios separados por medio de AWS VPC, se cuenta Web Application Firewalls y mitigación de ataques de denegación de servicio integrados en la misma red.
ServerLoft: Se utilizan VLANs separadas por responsabilidad de servicios, así como también conexiones cifradas mediante SSL entre dispositivos de la misma red.
Las normativas nacionales y certificaciones internacionales que cumplen
AWS:ISO / IEC 27001: 2013 es un estándar de administración de seguridad que especifica las mejores prácticas de administración de seguridad y los controles de seguridad integrales.
ServerLoft: Auditoría según SOC1 Tipo II, garantizando que se han definido correctamente y puesto en práctica medidas para proteger los datos albergados en la nube.
La arquitectura de sus aplicaciones (sin violar sus políticas de privacidad)
Tenemos una arquitectura lambda con 3 bases de datos. Una transaccional, y otras dos analíticas, una time-series y la otra es un full-text search. Además tenemos un datalake con high-availability (replication), y un backup storage en S3 de AWS.
Las revisiones de seguridad que realizan periódicamente
Tenemos un sistema de monitoreo 24/7 que mide el estado de cada servidor que pertenece a nuestro cluster. Además tenemos alertas para diferentes procesos internos que nos alertan ante cualquier falla en el sistema y posibles vulnerabilidades desde el exterior.
Su política de protección de datos
Nuestra política de protección de datos forma parte de nuestro privacy policy, presente en este link: http://retargetly.com/privacy-policy/. Además, por ser parte del NAI recibimos auditorias anuales para cumplir con sus políticas de protección de datos. Para más información: https://www.networkadvertising.org/.
Política de privacidad con terceros, por ejemplo si alojan sus servicios en Cloud
Nuestros datos están alojados en dos centros de datos diferentes, uno perteneciente a ServerLoft y el otro a AWS.
Para el primero, existe un acuerdo de privacidad que se puede descargar desde esta página: https://www.serverloft.com/legal-notice/.
Para el segundo, también existe un acuerdo de privacidad que se puede ver acá: https://aws.amazon.com/compliance/data-privacy-faq/.
En ambos casos, se estipula que el cliente de ellos (Retargetly) es el dueño de los datos y aquellos servicios no pueden acceder al contenido que pueda existir en su infraestructura (excepto por razones de investigación gubernamental).
Niveles de monitoreo
Tenemos dos herramientas de monitoreo 24/7, en donde se observan diferentes métricas:
- Relacionadas al hardware.
- Relacionadas al funcionamiento del sistema.
- Relacionadas a vulnerabilidad de nuestros servicios.
Estas se comunican con el equipo de soporte de Retargetly por diferentes canales y emiten un mensaje diferente de acuerdo a la gravedad del problema.
Items a ir detallando
• Accesos de Usuarios a plataformas
3
• Accesos de usuarios a servidores
Aquellos usuarios que acceden a parte de la infraestructura, ya se trate de ambientes de produccion como de testing/staging deberan hacerlo a través de un tunel VPN provisto junto con el alta respectiva del usuario y sus claves.
• Dispositivos de la empresa con información sensible
Todos los dispositivos provistos por la empresa a utilizar por las actividades diarias de los empleados, son entregados con el cifrado de disco del sistema operativo a utilizar.
En los casos que aplica, se realiza el logueo al equipo mediante password, rotado por politicas cada 6 meses e informacion biometrica de estar disponible.
• ACLS a informacion / servicios
Se definen listas de control de acceso de acuerdo a las competencias de cada area y dentro de ellas el nivel de acceso que debe tener cada usuario.
• Medidas de seguridad ante desafectacion de un miembro de la compañia
• Medidas de seguridad ante desafectacion de equipos de la compañia
• Rotacion de passwds y llaves
Se realiza una rotación semestral de todos los accesos a infraestructura
• Aplicacion de patches
• Politica de seguridad en backups
Todos los backups de informacion sensible almacenada en la Infraestructura de Retargetly se realizan tanto en equipos on-site como off-site, cifrados