Seguridad

Seguridad

Seguridad de la información y privacidad de datos

Mucho más allá de sus contratos, netLex hace que sus operaciones comerciales sean más seguras en todos los sentidos. Desde el desarrollo de software hasta el uso del cliente, nuestro enfoque es proteger sus datos y garantizar la integridad de su información.

Converse con netLex
right
Seguridad

La seguridad de sus datos es nuestra prioridad

Utilizamos un conjunto de mejores prácticas y políticas para garantizar la protección y seguridad de los datos

De conformidad

ISO 27001: Es ampliamente conocido por proporcionar requisitos para un sistema de gestión de seguridad de la información (SGSI).
ISO 27001

Es ampliamente conocido por proporcionar requisitos para un sistema de gestión de seguridad de la información (SGSI).

SOC 2 Type 1: Informe SOC 2 Tipo 1, que abarca seguridad, disponibilidad, integridad y confidencialidad.
SOC 2 Type 1

Informe SOC 2 Tipo 1, que abarca seguridad, disponibilidad, integridad y confidencialidad.

SOC 2 Type 2: Informe SOC 2 Tipo 2, que abarca seguridad, disponibilidad, integridad y confidencialidad.
SOC 2 Type 2

Informe SOC 2 Tipo 2, que abarca seguridad, disponibilidad, integridad y confidencialidad.

Seguridad de la infraestructura

Amazon Web Services: netLex aloja todos sus servicios en centros de datos de AWS y garantiza la protección contra ataques DDoS mediante AWS Shield.
Amazon Web Services

netLex aloja todos sus servicios en centros de datos de AWS y garantiza la protección contra ataques DDoS mediante AWS Shield.

1

Compliance

Cumplimiento de seguridad

Utilizamos las mejores prácticas y estándares para garantizar la seguridad y la privacidad.

SOC 2 Type I - Pasamos por auditorías de rutina para recibir reportes SOC 2 Tipo I, que están disponibles a pedido y de conformidad con un acuerdo de confidencialidad (NDA). El último informe SOC 2 Tipo I se puede solicitar a través del correo electrónico infosec@netlex.com.br.

SOC 2 Type I - Pasamos por auditorías de rutina para recibir informes SOC 2 Tipo II actualizados, que están disponibles a pedido y de conformidad con un acuerdo de confidencialidad (NDA). El último informe SOC 2 Tipo II puede solicitarse a través del correo electrónico infosec@netlex.com.br.

ISO 27001:2013 - Contamos con la certificación ISO 27001:2013. Para obtener más información haga clic aquí.

La infraestructura de netLex está sobre Amazon Web Services (AWS), que cumple con los más estrictos requisitos de seguridad, los cuales son auditados y certificados. Para obtener más detalles sobre el cumplimiento de AWS haga clic aquí.

Cumplimiento y Regulaciones

netLex apoyo a sus clientes a cumplir con la LGPD facilitando la gobernanza de datos. Como operadores de datos personales, garantizamos seguridad y eficacia en la gestión. Además, netLex cuenta con una Política Interna de Protección de Datos que forma parte del onboarding de todos sus empleados y se refuerza periódicamente mediante capacitaciones.

GDPR - Nuestras actividades cumplen con el Reglamento General de Protección de Datos de la Unión Europea (GDPR), que rige la protección de datos y la privacidad de todos los ciudadanos de la Unión Europea .

LGPD - Nuestras actividades cumplen con la Ley General de Protección de Datos, LEY N° 13.709, DEL 14 DE AGOSTO DE 2018, publicada en Brasil, que prevé el tratamiento de datos personales, incluso en medios digitales, por parte de personas naturales o jurídicas públicas o privadas, con la finalidad de proteger los derechos fundamentales de libertad e intimidad y el libre desarrollo de la personalidad de la persona física. Para obtener detalles sobre qué información recopilamos y cómo la usamos, compartimos y almacenamos, consulte nuestra política de privacidad haciendo clic aquí.

2

Seguridad en la nube

Seguridad física - toda nuestra infraestructura está en Amazon Web Services (AWS) que administra la seguridad física y ambiental. AWS cuenta con recursos como fuentes de energía de emergencia, equipos contra incendios, guardias, cercas, un sistema de seguridad interno, entre otras medidas que se pueden analizar con más detalle a través de la hoja informativa de medidas de control y seguridad de AWS aquí. Además, nuestro programa de seguridad nacional cubre la seguridad física en nuestra oficina .

Seguridad de la infraestructura - Los datos se alojan en centros de datos de AWS que cumplen estándares como ISO 27001, PCI DSS, SOC 2 y otros. Para obtener más detalles sobre el cumplimiento de AWS haga clic aquí.

Seguridad de la red - Nuestra red está protegida mediante los principales servicios de seguridad de AWS, auditorías regulares y monitoreo de la red. Para obtener más detalles sobre la infraestructura de seguridad de AWS haga clic aquí.

Disponibilidad y continuidad - netLex mantiene las mejores prácticas de supervisión activa y gestión de incidentes las 24 horas del día, los 7 días de la semana, además de la página de estado de disponibilidad del sistema y el historial de incidentes a los que se puede acceder aquí. Nuestro programa de recuperación ante desastres garantiza que nuestros servicios permanezcan disponibles y se recuperen rápidamente, minimizando el impacto en un escenario de desastre .

Registros de acciones y actividades - Los registros de acciones y actividades, como la modificación de la configuración, la creación y la eliminación de activos de las suscripciones de producción, se mantienen para permitir auditorías e investigaciones cuando sea necesario .

Monitoreo - Se realiza un seguimiento de las acciones a través de un tablero y alertas donde se inspecciona el cumplimiento del entorno con respecto a las políticas de seguridad vigentes .

3

Seguridad de la aplicación

Desarrollo seguro (SDLC) - Además de los controles y las pruebas realizadas durante el proceso de implementación, desarrollamos la habilidad en el desarrollo seguro internamente. Con este fin, brindamos capacitación que incluye los 10 principales riesgos de seguridad de OWASP, los vectores de ataque comunes y los controles de seguridad .

Segregación de ambientes - Existe una separación de ambientes de desarrollo, aprobación y producción, considerando para cada uno sus respectivos permisos de acceso. El entorno de producción sigue el concepto de privilegios mínimos y no se utilizan datos de producción en nuestros entornos de desarrollo o prueba .

Ejecución de pentest - Todos los años, contratamos a una empresa externa independiente para realizar un pentest de gray box .

Análisis de código estático - SAST - Cada canal de compilación se examina mediante una herramienta de análisis de código estático. Con esta herramienta, se evalúan categorías de defectos de software, que incluyen: code smells, vulnerabilidades y security hotspots .

Análisis SCA - Análisis de composición de software - Escanea en busca de software de componentes, bibliotecas y busca vulnerabilidades .

Almacenamiento de código fuente - Los códigos fuente se almacenan en un repositorio privado de Git, con acceso autorizado mediante autenticación integrada .

Gestión de secretos - La información confidencial de la aplicación, como las claves API y las contraseñas de la base de datos, se almacena en una bóveda de contraseñas con registro de actividad y acceso restringido a la red .

Equipo de seguridad dedicado - Nuestro equipo de seguridad está disponible para responder a alertas y eventos de seguridad .

4

Seguridad del producto

Autenticación - netLex admite de forma nativa SSO con los protocolos SAML 2.0 y LDAP. Más detalles sobre esta configuración, haga clic aquí.

Control de Acceso - Control de acceso granular basado en roles con niveles de permisos, siguiendo el modelo RBAC, con posibilidad de integración con SSO para autorización, además de autenticación .

Restricciones de IP - netLex se puede configurar, en el contexto de las integraciones, para permitir el acceso a la API solo desde rangos de direcciones IP definidos específicos .

Respuesta a incidentes de seguridad - En caso de incidente de seguridad, se activa el equipo responsable de la gestión de incidentes. Este equipo está capacitado en procesos de respuesta a incidentes de seguridad, con el objetivo de aplicar acciones rápidas para minimizar los impactos .

5

Seguridad de datos

Criptografía - Utilizamos sólidos estándares de cifrado para proteger los datos en tránsito entre los clientes de netLex y el proveedor de servicios en la nube de AWS y en reposo.

  • Criptografía de datos en tránsito - Toda la comunicación con la interfaz netLex y las API se cifra mediante el estándar HTTPS/TLS (TLS 1.2 o posterior) a través de redes públicas.
  • Criptografía de datos en reposo - Los datos se cifran en reposo en AWS mediante el algoritmo criptográfico AES-256.

Copias de seguridad - Las copias de seguridad son automáticas y geográficamente dispersas. Se aplican fuertes controles de protección de copias de seguridad y se realizan frecuentes pruebas de restauración. .

Ubicación de almacenamiento de datos - Los datos se almacenan en los centros de datos de AWS en EE. UU., Europa y América del Sur. Los clientes pueden optar por definir la ubicación de almacenamiento de datos. .

6

Seguridad de los recursos humanos

Cultura y concientización - Nuestro programa de cultura y concientización tiene como objetivo capacitar a todos los empleados de netLex y hacer con que pensar en la seguridad de la información sea una parte natural de la vida cotidiana. Para ello contamos con un proceso de onboarding, en el cual los nuevos colaboradores son capacitados por el equipo de Seguridad de la Información antes de iniciar sus actividades, para conocer la Política de Seguridad de la Información (PSI), Ley General de Protección de Datos (LGPD) y otros temas.

Los equipos reciben de forma rutinaria capacitaciones en temas relacionados con la seguridad y privacidad por parte del equipo de Seguridad de la Información, en los cuales se utilizan los canales de comunicación interna de netLex para mantener informados a todos los colaboradores sobre temas relacionados con la seguridad, buscando sensibilizarlos y mantenerse actualizados en la Información. Política de seguridad (PSI). .

Comité de Seguridad de la Información y Cumplimiento - Contamos con un Comité de Seguridad de la Información y Cumplimiento con la participación de personas de diferentes equipos, con el objetivo de identificar necesidades de seguridad, para una acción proactiva ante posibles riesgos a los proyectos así como la discusión de Acciones de Seguridad de la Información en netLex .

7

Links útiles

Links de informações complementares:

El equipo de Seguridad de la Información de netLex está disponible para aclaraciones a través de la dirección electrónica: infosec@netlex.com.br

netLex tiene un comité de seguridad y privacidad de la información para respaldar las pautas de privacidad de datos. Las preguntas relacionadas con la privacidad de los datos pueden ser enviadas a la dirección de correo electrónico: compliance@netlex.com.br