Seguridad desde el diseño en MN program
Confías en MN program y nos lo tomamos en serio.
Nuestras certificaciones y los estándares que cumplimos son una forma de demostrar nuestro compromiso.
RGPD
- Toda tu información está en la UE cumpliendo con el RGPD.
- Tus Archivos (Documentos, Adjuntos, Imágenes, etc) están almacenados y custodiados en Servidores seguros de Microsoft OneDrive y sincronizados con tu ordenador.
- Tus Datos (Bases de Datos, Ficheros, Historial, Facturación, etc) están almacenados de forma segura en Microsoft SQL Server y son respaldados de forma periódica.
- Todos nuestros clientes disponen de un contrato de encargado de tratamiento firmado con nosotros.
- De forma anual revisamos nuestros procesos internos y encargamos un informe de cumplimiento en materia de Protección de Datos.
- Formamos y certificamos a todo nuestro personal en RGPD y LSSI.
- Disponemos de un DPO registrado en la Agencia Española de Protección de Datos. Ponte en contacto con él en privacidad@mnprogram.com
Seguridad de las comunicaciones y cifrado de datos
- Las comunicaciones entre tu equipo y nuestros servidores están cifradas mediante TLS.
- Disponemos de herramientas de detección o de prevención de intrusión (IDS/IPS).
- Registramos las entradas y salidas de soportes y equipos utilizados para la prestación del servicio, así como la persona que lo autoriza.
- Se encuentra la red debidamente segmentada a través de los mecanismos necesarios (firewalls/cortafuegos, VLANs, etc.) de modo que el tráfico existente entre la red interna-externa e interna-interna quede filtrado adecuadamente en base a los flujos previamente autorizados.
- Disponemos de medidas preventivas ante ataques activos de las comunicaciones (alteración de la información en tránsito, inyección de información espuria, secuestro de la sesión por una tercera parte…) que puedan alterar la prestación del servicio.
- La red interna se encuentra segregada para evitar la propagación de incidentes.
Documentos
Seguridad de las Instalaciones
- Trabajamos con proveedores de primer nivel, con presencia nacional y data centers localizados en la UE.
- Existen controles de acceso y/o vigilancia en las distintas áreas
- Identificamos a todas las personas que acceden a los locales donde hay equipamiento utilizado para la prestación del servicio.
- En las instalaciones se registran las entradas y salidas de personas físicas.
- Disponemos de sistemas que aseguran las condiciones de temperatura y humedad de los equipos y soportes utilizados para la prestación del servicio.
- Disponemos de sistemas que aseguren el suministro de potencia eléctrica de los equipos y soportes utilizados en la prestación del servicio y también en caso de fallo de suministro general.
- Disponemos de sistemas de protección frente a incendios fortuitos o deliberados, que puedan garantizar el mantenimiento de la prestación del servicio.
- Disponemos de sistemas de protección frente a incidentes fortuitos o deliberados causados por el agua, que puedan garantizar el mantenimiento de la prestación del servicio.
- Realizamos análisis de seguridad de los sistemas, productos o equipos utilizados en la prestación del servicio.
Accesos y ceses de actividad
- Cuando un empleado de MN program que prestaba servicios a nuestros clientes, cesa en el ejercicio de sus actividades, se procede a la modificación de permisos de usuario y/o se inhabilita su cuenta. Una vez inhabilitada la cuenta, se retienen durante el periodo necesario para atender la trazabilidad de los registros de actividad asociados a la misma.
- Existen controles de acceso y/o vigilancia en las distintas áreas
- Identificamos a todas las personas que acceden a los locales donde hay equipamiento utilizado para la prestación del servicio a nuestros clientes.
Permisos
- La asignación/modificación de permisos de usuario sobre el acceso se realiza bajo el principio de mínimo privilegio, necesidad de conocer y está debidamente autorizada.
- Los sistemas utilizados en la prestación del servicio requieren autenticación.
- La política de contraseñas aplicada en todos los sistemas empleados para la prestación del servicio exige reglas rigurosas de complejidad (mayúsculas, minúsculas, números, caracteres especiales, histórico…) y caducidad.
- Existe un registro de intentos de acceso de usuario (con o sin éxito).
- Se requiere autorización para acceder remotamente a los sistemas utilizados en la prestación del servicio.
Sistemas y registros
- Disponemos de un inventario de sistemas actualizado.
- Mantenemos una configuración segura de los equipos y sistemas utilizados para la prestación del servicio consistente en sólo mantener activas las funcionalidades requeridas para la finalidad del sistema.
- Hay registros de actividad en los sistemas y/o equipos que prestan servicio y éstos se revisan periódicamente.
- Se ha definido un periodo de retención de los registros de actividad lo suficientemente holgado como para dar cumplimiento a la normativa vigente.
Documentos
Análisis de vulnerabilidades
- Antes de pasar un desarrollo a producción se verifica que funcionan sus mecanismos de seguridad.
- Realizamos análisis de vulnerabilidades.
- Realizamos pruebas de penetración.
- Realizamos copias de seguridad periódicas de los sistemas de información.
- Aplicamos las mismas medidas de seguridad que tienen los datos originales a las copias de seguridad.
- Los servicios y aplicaciones web que dan servicio están protegidos para evitar: que el servidor ofrezca acceso a información por vías alternativas, ataques de manipulación de URL, ataques de manipulación de «cookies» y ataques de inyección de código.
- Los servicios y aplicaciones web que dan servicio están protegidos para evitar: los escalados de privilegios, los ataques de «Cross site scripting» y los ataques de manipulación de «proxies» y «cachés».
Desarrollo
- Realizamos los desarrollos y las pruebas en sistema diferentes de los entornos productivos.
- Aplicamos metodologías de desarrollo que se rigen, entre otros, por aspectos de seguridad en el ciclo de vida del software, uso de datos específicos para pruebas, revisión de código fuente o reglas de programación segura.
- Aplicamos a los desarrollos: mecanismos de identificación y autenticación, mecanismos de protección de la información, mecanismos de parcheado y mecanismos de auditoria.
Programación segura
- Realizamos los desarrollos y las pruebas en sistema diferentes de los entornos productivos.
- Aplicamos metodologías de desarrollo que se rigen, entre otros, por aspectos de seguridad en el ciclo de vida del software, uso de datos específicos para pruebas, revisión de código fuente o reglas de programación segura.
- Aplicamos a los desarrollos: mecanismos de identificación y autenticación, mecanismos de protección de la información, mecanismos de parcheado y mecanismos de auditoría.
- En los equipos y soportes utilizados para la prestación del servicio se realiza el borrado seguro del contenido, antes de su reutilización.
- Gestionamos la capacidad de los sistemas que prestan servicio a nuestros clientes para que ésta sea suficiente (procesamiento, almacenamiento, etc.).
- Analizamos los cambios anunciados por los fabricantes/proveedores de dichos sistemas para determinar la conveniencia de su aplicación.
- Las nuevas versiones (por ejemplo parches y actualizaciones de SQL Server) de fabricante se prueban fuera de producción antes de su aplicación.
- Se deshabilitan las cuentas o modifican las contraseñas por defecto establecidas por los fabricantes en todos aquellos sistemas que se utilizan en la prestación del servicio.
