Seguridad de la información y privacidad de datos

SOC 2 Type I - Pasamos por auditorías de rutina para recibir reportes SOC 2 Tipo I, que están disponibles a pedido y de conformidad con un acuerdo de confidencialidad (NDA). El último informe SOC 2 Tipo I se puede solicitar a través del correo electrónico infosec@netlex.com.br.

SOC 2 Type II - Pasamos por auditorías de rutina para recibir informes SOC 2 Tipo II actualizados, que están disponibles a pedido y de conformidad con un acuerdo de confidencialidad (NDA). El último informe SOC 2 Tipo II puede solicitarse a través del correo electrónico infosec@netlex.com.br.

ISO 27001:2022  - Contamos con la certificación ISO 27001:2022. Para obtener más información haga clic aquí.

GPDR - Nuestras actividades cumplen con el Reglamento General de Protección de Datos de la Unión Europea (GDPR), que rige la protección de datos y la privacidad de todos los ciudadanos de la Unión Europea. 

LGPD - Nuestras actividades cumplen con la Ley General de Protección de Datos, LEY N° 13.709, DEL 14 DE AGOSTO DE 2018, publicada en Brasil, que prevé el tratamiento de datos personales, incluso en medios digitales, por parte de personas naturales o jurídicas públicas o privadas, con la finalidad de proteger los derechos fundamentales de libertad e intimidad y el libre desarrollo de la personalidad de la persona física. Para obtener detalles sobre qué información recopilamos y cómo la usamos, compartimos y almacenamos, consulte nuestra política de privacidad haciendo clic aquí.

Seguridad de la infraestructura - Los datos se alojan en centros de datos de AWS que cumplen estándares como ISO 27001, PCI DSS, SOC 2 y otros. Para obtener más detalles sobre el cumplimiento de AWS haga clic aquí.

Seguridad de la red - Nuestra red está protegida mediante los principales servicios de seguridad de AWS, auditorías regulares y monitoreo de la red. Para obtener más detalles sobre la infraestructura de seguridad de AWS haga clic aquí.

Disponibilidad y continuidad - netLex mantiene las mejores prácticas de supervisión activa y gestión de incidentes las 24 horas del día, los 7 días de la semana, además de la página de estado de disponibilidad del sistema y el historial de incidentes a los que se puede acceder aquí. Nuestro programa de recuperación ante desastres garantiza que nuestros servicios permanezcan disponibles y se recuperen rápidamente, minimizando el impacto en un escenario de desastre.

Registros de acciones y actividades - Los registros de acciones y actividades, como la modificación de la configuración, la creación y la eliminación de activos de las suscripciones de producción, se mantienen para permitir auditorías e investigaciones cuando sea necesario.

Monitoreo - Se realiza un seguimiento de las acciones a través de un tablero y alertas donde se inspecciona el cumplimiento del entorno con respecto a las políticas de seguridad vigentes.

Segregación de ambientes - Existe una separación de ambientes de desarrollo, aprobación y producción, considerando para cada uno sus respectivos permisos de acceso. El entorno de producción sigue el concepto de privilegios mínimos y no se utilizan datos de producción en nuestros entornos de desarrollo o prueba.

Ejecución de pentest -  Todos los años, contratamos a una empresa externa independiente para realizar un pentest de gray box.

Análisis de código estático - SAST - Cada canal de compilación se examina mediante una herramienta de análisis de código estático. Con esta herramienta, se evalúan categorías de defectos de software, que incluyen: code smells, vulnerabilidades y security hotspots.

Análisis SCA - Análisis de composición de software - Escanea en busca de software de componentes, bibliotecas y busca vulnerabilidade.

Almacenamiento de código fuente - Los códigos fuente se almacenan en un repositorio privado de Git, con acceso autorizado mediante autenticación integrada.

Gestión de secretos - La información confidencial de la aplicación, como las claves API y las contraseñas de la base de datos, se almacena en una bóveda de contraseñas con registro de actividad y acceso restringido a la red.

Equipo de seguridad dedicado - Nuestro equipo de seguridad está disponible para responder a alertas y eventos de seguridad.

Control de Acceso - Control de acceso granular basado en roles con niveles de permisos, siguiendo el modelo RBAC, con posibilidad de integración con SSO para autorización, además de autenticación.

Restricciones de IP - netLex se puede configurar, en el contexto de las integraciones, para permitir el acceso a la API solo desde rangos de direcciones IP definidos específicos.

Respuesta a incidentes de seguridad - En caso de incidente de seguridad, se activa el equipo responsable de la gestión de incidentes. Este equipo está capacitado en procesos de respuesta a incidentes de seguridad, con el objetivo de aplicar acciones rápidas para minimizar los impactos.

Comité de Seguridad de la Información y Cumplimiento - Contamos con un Comité de Seguridad de la Información y Cumplimiento con la participación de personas de diferentes equipos, con el objetivo de identificar necesidades de seguridad, para una acción proactiva ante posibles riesgos a los proyectos así como la discusión de Acciones de Seguridad de la Información en netLex.