Caseware Cloud realiza auditorías independientes de manera continua para reforzar su compromiso con la seguridad y privacidad de los datos, y los controles de cumplimiento. Una serie de auditores externos examinan todo nuestro Sistema de Gestión de Seguridad de la Información (ISMS, por sus siglas en inglés) para verificar la entrega, operaciones y gestión de servicio de nuestra plataforma Caseware Cloud, con el fin de garantizar que la solución cumple con las normas del sector. Las siguientes certificaciones muestran el compromiso internacional de Caseware Cloud con la seguridad y la calidad.
ISO 27001:2013
ControlCase International, una empresa de auditoría independiente, confirma que Caseware Cloud cumple con los requisitos establecidos en la ISO 27001 y que su ISMS se ajusta a las mejores prácticas. Esta certificación es independiente de Amazon Web Services (AWS), el cual tiene su propia certificación ISO 27001 para sus centros de datos, infraestructura y operaciones. La ISO 27001:2013 es una norma internacional ampliamente reconocida, que establece los requisitos sobre cómo un ISMS identifica, analiza y aborda los riesgos de información, y cómo la organización se anticipa a los cambios de las amenazas y mitiga sus posibles efectos empresariales. El certificado está aquí.
SOC 2® Tipo 1 y Tipo 2
El Instituto Estadounidense de Contables Públicos Certificados (AICPA, por sus siglas en inglés), que es la mayor asociación de miembros del mundo que representa a la profesión contable, afirma que el ISMS de Caseware Cloud cumple con los criterios de servicios de confianza de SOC 2®.
SOC 2® de AICPA para organizaciones de servicios son encargos de examen que realiza un auditor de servicio. Estos informes, mediante criterios previamente definidos, se centran en una o varias categorías de servicios de confianza tales como la seguridad, la disponibilidad, la integridad de los procesos, la confidencialidad o la privacidad.
Caseware International ha obtenido con éxito la certificación SOC 2 Tipo 1 y Tipo 2.
Tipo 1
SOC 2 Tipo 1 es un informe sobre la descripción de la gestión del sistema de la organización de servicios y la idoneidad del diseño de los controles.
Tipo 2
SOC 2 Tipo 2 es un informe sobre la descripción de la gestión del sistema de la organización de servicios y la idoneidad del diseño y la eficacia operativa de los controles.
*Nuestro informe SOC 3 está disponible en formato PDF aquí.
Seguridad de la aplicación y la interfaz
Nuestro ciclo de vida de desarrollo de software (SDLC) garantiza que nuestras aplicaciones e interfaces de programación (API) se diseñen, implementen y prueben de conformidad con los estándares líderes del sector (como OWASP, ISO y SOC), y se ajusten a las obligaciones de cumplimiento legales, reglamentarias o regulatorias.
Una vez que todos los acuerdos y políticas se hayan aceptado para el uso del servicio. Usted es responsable de asegurarse de que el uso que hace de Caseware Cloud sea conforme a las leyes y reglamentos aplicables. Puede consultar los detalles legales en el Acuerdo de Servicios en la nube aquí: https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.
Hemos establecido y mantenemos políticas y procedimientos en apoyo a la seguridad de los datos para incluir confidencialidad, integridad y disponibilidad en diferentes interfaces del sistema, jurisdicciones y funciones empresariales con el fin de evitar la inadecuada divulgación, alteración o eliminación.
Cumplimiento y garantía de auditoría
Para nuestros servicios en la nube, y como parte de nuestro programa de cumplimiento de la ISO 27001 y SOC 2, se realizan auditorías independientes llevadas a cabo por terceros. Además, contamos con un programa de auditoría interna y pruebas externas de penetración, y planificamos con regularidad pruebas de vulnerabilidad interna. Los resultados de las pruebas de vulnerabilidad se comparten con los clientes tal como se indica en la Política de pruebas iniciadas por el cliente. Asimismo, a través de nuestro proceso de mejoras, se hace un seguimiento de los resultados de estos procesos. La metodología y las herramientas utilizadas para realizar las pruebas de penetración se ajustan de acuerdo a cada evaluación para objetivos específicos y perfiles de atacantes. Los informes SOC 2 se proporcionan a los clientes en virtud del Acuerdo de Confidencialidad (NDA, en inglés). Nuestro informe SOC 3 está disponible en formato PDF aquí.
Los datos de producción se almacenan en Amazon Web Services (AWS). La aplicación gestiona separación lógica de datos de clientes a través de un aislamiento de la base de datos. Los datos que se transfieren hacia y desde nuestro servicio (incluidas las copias de seguridad) están totalmente cifrados mediante una conexión SSL (AES de 256 bits, que es la que se utiliza en la banca online). La transmisión de datos tiene lugar entre el cliente y el servidor, y las bases de datos. Se realizan controles para garantizar que las transferencias de conjuntos masivos de datos se realizan de forma segura y cifrada. No hay transmisiones de correos electrónicos. Para obtener más información sobre seguridad, consulte: https://www.casewarecloud.com/security.html. Nuestro equipo legal supervisa nuestras obligaciones reglamentarias. Para conocer los requisitos legales, consulte nuestro contrato de servicios en la nube. https://docs.caseware.com/latest/webapps/en/Setup/Licenses/CaseWare-Cloud-Services-Agreement.htm.
Gestión de continuidad empresarial y resiliencia operativa
Caseware cuenta con un marco unificado coherente para la planificación de la continuidad empresarial y lo ha establecido, documentado y adoptado para garantizar que todos los planes de continuidad empresarial sean coherentes a la hora de abordar las prioridades en cuanto a pruebas, mantenimiento y requisitos de seguridad de la información. Los requisitos para los planes de continuidad empresarial incluyen los siguientes:
- Propósito y alcance definidos, ajustados a las dependencias pertinentes.
- Accesibles y comprensibles para aquellos que vayan a utilizarlos.
- Propiedad de una o varias personas designadas que serán responsables de su revisión, actualización y aprobación.
- Líneas definidas de comunicación, funciones y responsabilidades.
- Procedimientos detallados de recuperación, operación manual e información de referencia.
- Método para la invocación de planes
Nuestros planes de continuidad empresarial y de respuesta de incidentes de seguridad se prueban en intervalos planificados o tras cambios significativos a nivel de organización o del entorno. Los planes de respuesta de incidentes incluyen a clientes que se vean afectados (arrendatarios) y a otras relaciones empresariales que representan dependencias fundamentales de procesos empresariales de la cadena interna de suministros.
Nuestro servicio está alojado en el AWS de Amazon y los servicios de suministros y condiciones ambientales (por ejemplo, controles de agua, electricidad, temperatura y humedad, telecomunicaciones y conexión a internet) están protegidos, monitorizados, conservados y probados para una eficacia continuada a intervalos planificados para garantizar la protección ante daños u obstaculización no autorizada, y están diseñados con conmutación por error automatizada u otras redundancias en el caso de interrupciones planificadas o no.
Nuestro servicio en la nube es completamente virtual y está alojado en Amazon Web Services (AWS). Amazon también cumple con ISO y SOC2, y es responsable de que solo personas autorizadas accedan a las instalaciones que alojen los sistemas de producción. Asimismo, AWS es responsable de la protección ambiental y mantenimiento preventivo de los sistemas de producción. AWS ha publicado más detalles al respecto aquí: https://aws.amazon.com/compliance/data-center/controls. Estas certificaciones tratan cuestiones como la seguridad física, la disponibilidad del sistema, el acceso a la red y a la red central de IP, el aprovisionamiento de clientes y la gestión de problemas. El acceso físico y los controles ambientales los gestiona y controla AWS. La información de aseguramiento de protección física de AWS puede consultarse en: https://aws.amazon.com/compliance.
En Caseware, hemos ajustado nuestro programa de seguridad a la ISO 27001 y tenemos implementados procesos de continuidad empresarial para abordar las interrupciones en servicios esenciales. Hacemos seguimiento de todas las instancias de la nube en cuanto a rendimiento y disponibilidad, además de:
- Identificar productos y servicios esenciales.
- Identificar todas las dependencias, incluidos procesos, aplicaciones, socios empresariales y proveedores de servicios de terceros.
- Comprender las amenazas a los servicios y productos esenciales.
- Determinar el impacto resultante de interrupciones planificadas o no, y cómo varían en el tiempo.
- Establecer el periodo máximo tolerable de la interrupción.
- Establecer prioridades para la recuperación.
- Establecer objetivos de tiempo de recuperación para la reanudación de productos y servicios esenciales dentro de su periodo de interrupción máximo tolerable.
- Estimar los recursos requeridos para la reanudación.
Los clientes pueden ver nuestro estado operativo en tiempo real en nuestra página de estado aquí: https://caseware.statuspage.io/. Mantenemos un sistema central para la documentación y formación de los procesos para todo el personal. Los procedimientos incluyen gestión de cambios, procesos de seguridad y funciones y responsabilidades de los usuarios internos. Nuestros procedimientos se actualizan según sea necesario y se registran historiales de revisiones. Además, las políticas y procedimientos incluirán funciones y responsabilidades definidas, y el personal recibirá formación al respecto de forma periódica.
Caseware mantiene una política de conservación y registro para los servicios en la nube. La política de conservación no es específica del cliente. Los procedimientos de recuperación y de copias de seguridad están documentados y cada día se envían alertas automatizadas al personal de operaciones. Las medidas de recuperación y de copias de seguridad se han incorporado a la planificación de continuidad empresarial y se ha probado su eficacia de la manera pertinente. A continuación, puede consultar la política de conservación de cada categoría de registros. Registros de transacciones del sistema Descripción: Diarios de bases de datos y otros registros utilizados para la recuperación de bases de datos. Periodo de conservación: 30 días. Motivo de la conservación: se basa en la estrategia de recuperación y de copia de seguridad. Medios de almacenamiento admitidos: electrónicos. Registros de auditoría Descripción: registros de seguridad, por ejemplo, registros de inicio/cierre de sesión y cambios de permisos. Periodo de conservación: 30 días. Motivo de la conservación: periodo máximo de retraso antes de investigación forense. Medios de almacenamiento admitidos: electrónicos. Procedimientos operativos Descripción: registros asociados con la finalización de los procedimientos operativos. Periodo de conservación: 2 años. Motivo de la conservación: periodo máximo transcurrido en relación a la disputa. Medios de almacenamiento admitidos: electrónicos. Cliente Descripción:Copias de seguridad del cliente. Periodo de conservación: 90 días. Motivo de la conservación: requisito de protección de datos. Medios de almacenamiento admitidos: electrónicos.
Control de cambios y gestión de configuración
Los controles de gestión de cambios se han establecido para cualquier nuevo desarrollo o adquisición de nuevos datos, aplicaciones físicas o virtuales, componentes de sistemas y red de infraestructura, o para cualquier instalación corporativa, operativa o centro de datos que la gerencia empresarial de la organización o cualquier otra función o rol empresarial haya autorizado previamente. Nuestro SDLC dispone de un proceso definido de pruebas y de control de cambios de calidad con referencias establecidas, pruebas y normas de publicación, que se centran en la disponibilidad del sistema y en la confidencialidad e integridad de los sistemas y servicios.
Se han establecido políticas y procedimientos, y se han implementado medidas técnicas y procesos empresariales de apoyo, para limitar la instalación de software no autorizado en componentes de sistemas y red de infraestructura de TI y en dispositivos terminales gestionados por el usuario o propiedad de la organización, dentro del entorno de la nube de producción. Nuestras políticas y procedimientos de gestión de cambios incluyen la gestión de riesgos asociados con la aplicación de cambios en aplicaciones que impactan en el cliente o que son esenciales para la empresa, y en diseños y configuraciones de interfaz sistema a sistema (API). También se han implementado medidas técnicas para garantizar que todos los cambios se corresponden directamente con una solicitud de cambio registrada, ya sea esencial para la empresa o para el cliente, o el cliente las ha autorizado según lo acordado antes de la implementación.
Gestión del ciclo de vida de la información y seguridad de los datos
Caseware tiene implementadas políticas y procedimientos, además de medidas técnicas y procesos empresariales de soporte, para realizar inventarios y mantener los flujos de datos dentro de los sistemas y la red SaaS en cada ubicación geográfica. Los controles implementados garantizan que dichos datos se ubiquen en la zona geográfica determinada por el cliente. Los datos de suscriptores dentro del entorno de la nube de producción residen en arquitectura de dos niveles y no se puede acceder directamente desde internet.
Nuestra política de seguridad define cuatro niveles de clasificación de datos: confidencial, restringido, operativo y público. Todos los datos almacenados dentro de la infraestructura de la nube de producción se consideran confidenciales, que es nuestro máximo nivel de seguridad, y solo personal autorizado puede acceder a este entorno. El acceso lógico al entorno de la nube de producción se limita únicamente al equipo de operaciones.
Todos los datos de los suscriptores se almacenan en el entorno de la nube de producción. El uso de datos de clientes en entornos que no sean el de producción se controla a través de procesos seguros de gestión de datos, que requieren una aprobación explícitamente documentada de los clientes cuyos datos se ven afectados, y deben cumplir con los requisitos legales y reglamentarios para la limpieza de elementos de datos confidenciales. Hay un equipo de operaciones específico responsable de todas las funciones operativas en lo referente a la infraestructura y el almacenamiento, y tiene responsabilidades asignadas que se han definido, documentado y comunicado. Caseware Cloud se aloja en servidores web de Amazon en todo el mundo. Tras realizar la suscripción en los Servicios Caseware Cloud, CWC informa a los clientes acerca de la jurisdicción en la que se encuentra ubicado el servidor que se ha designado para que aloje sus datos de suscriptor y su información personal. Puede dar su consentimiento para dicha asignación o rechazarla. Por motivos de rendimiento, lo habitual será que la configuración se realice en:
- Estados Unidos/Virginia del Norte, si usted se encuentra en los Estados Unidos o Sudamérica
- Canadá/Montreal, si se encuentra en Canadá
- Australia/Nueva Gales del Sur, si se encuentra en la región de Asia-Pacífico
- Irlanda/Leinster, si se encuentra en cualquier otra región
Seguridad de los centros de datos
La infraestructura de producción se aloja por completo dentro de AWS de Amazon. AWS es responsable de permitir que solo las personas autorizadas accedan a las instalaciones que alojen los sistemas de producción. Asimismo, AWS es responsable de la protección ambiental y mantenimiento preventivo de los sistemas de producción. El acceso físico lo controla AWS en el perímetro y en puntos de ingreso al edificio. Puede encontrar todos los detalles aquí: https://aws.amazon.com/whitepapers/#security. AWS ha publicado más detalles al respecto aquí: https://aws.amazon.com/compliance/data-center/controls/.
Nuestra infraestructura de producción se aloja por completo dentro de AWS de Amazon. AWS tiene informes SOC 2, que se revisan cada año. Los procesos de gobernanza de AWS puede encontrarlos aquí: https://aws.amazon.com/compliance/.
Gestión de claves y cifrado
Nuestras políticas y procedimientos de cifrado se diseñan para dar soporte al proceso empresarial. Se han implementado medidas técnicas con base en los requisitos empresariales para la protección de datos en reposo y datos en tránsito de acuerdo a las obligaciones de cumplimiento legales, reglamentarias y regulatorias aplicables.
Nuestra política de cifrado requiere que todas las claves de cifrado tengan propietarios identificables dentro de la organización. La gestión del ciclo de vida de claves cifradas garantiza que los controles de acceso estén funcionando para la generación, intercambio y almacenamiento seguros de claves, lo que incluye segregación de claves utilizadas para sesiones o datos cifrados.
Los datos almacenados a nivel de servidor (datos en reposo) se cifran mediante el algoritmo AES-256, estándar de la industria. Los datos que se transfieren hacia y desde nuestro servicio (datos en tránsito) se cifran mediante TLS con intercambio de claves efímeras y paquetes de cifrado seguros aceptados por la industria. Los certificados utilizan una seguridad mínima de clave de 2048 bits con SHA-2 o un algoritmo de firma más seguro. Las claves privadas se generan y almacenan en nuestros sistemas de gestión de secretos y, según sea necesario, se implementan y usan en los sistemas de producción a través de nuestro proceso de control de cambios. Los certificados se obtienen a través de un proveedor reconocido y siguen el proceso de renovación/rotación, incorporado y estándar del sector, que se basa en el vencimiento o revocación según sea necesario.
Gestión de riesgos y gobernanza
- Conocimiento de dónde se almacenan y transmiten los datos confidenciales en las aplicaciones, bases de datos, servidores e infraestructura de red.
- Cumplimiento con los periodos de conservación definidos.
- Clasificación y protección de datos ante el uso y acceso no autorizados, pérdida, eliminación y falsificación.
Hemos implementado un sistema de gestión de seguridad de la información (ISMS) basado en controles de ISO 27001 y SOC 2. Nuestro ISMS incluye las siguientes áreas en la medida en que se relacionan con las características de la empresa:
- Política de seguridad de la información (este documento)
- Política de control de acceso
- Gestión de disponibilidad
- Política de escritorio limpio (clean desk)
- Política criptográfica
- Política de gestión de proveedores de seguridad de la información
- Política de registros y supervisión
- Política de dispositivos móviles
- Política de seguridad de redes
- Política de gestión de contraseñas
- Política de gestión de parches
- Política de software
- Política de gestión de vulnerabilidad técnica
- Metodología de gestión de riesgos
- Política de ISMS, malware y correos electrónicos
- Política de uso aceptable de internet
- Política de pruebas de penetración
- Política de teletrabajo
- Conservación y protección de registros
Los gerentes de los departamentos son responsables de mantenerse informados y cumplir con las políticas, procedimientos y normas de seguridad que sean relevantes para su área de responsabilidad. Los niveles de aceptación de riesgos se han definido dentro de la metodología de gestión de riesgos, y todos los riesgos se mitigan a un nivel aceptable con plazos razonables para su resolución y con la aprobación de las partes interesadas.
Nuestras políticas y procedimientos de seguridad de la información se publican y estarán disponibles para que todo el personal al que afecten, así como las relaciones empresariales externas, puedan revisarlos. El Comité Directivo de Seguridad de la Información es responsable de desarrollar, conservar y hacer cumplir las políticas de seguridad de la información de nuestro servicio, además de revisarlas y aprobarlas cada año. Los directivos ejecutivos e intermedios proporcionan apoyo para la seguridad de la información a través de un compromiso y dirección claramente documentados; además, se asegurarán de asignar las tareas pertinentes. El responsable de las operaciones y gobernanza de la seguridad de la información, lo que incluye la protección de los datos de los clientes, será un miembro de alto nivel de la dirección, quién deberá mantener informado al director financiero.
Con el fin de garantizar que se sigan cumpliendo la estrategia de seguridad, eficacia, precisión, relevancia y aplicabilidad conforme a las obligaciones de cumplimiento legales, reglamentarias o regulatorias, el Comité Directivo de Seguridad de la Información revisa la política anualmente o cuando se producen cambios en la organización.
Las evaluaciones formales de riesgos se realizan anualmente y cuando se produce cualquier cambio en los sistemas de información para determinar la probabilidad e impacto de todos los riesgos identificados. La probabilidad y el impacto asociados con el riesgo inherente y residual se determina de forma independiente, teniendo en cuenta todas las categorías de riesgo según los resultados de auditoría, el análisis de amenazas y vulnerabilidad, y el cumplimiento reglamentario. Los resultados de la evaluación de riesgos pueden incluir actualizaciones en las políticas, procedimientos, normas y controles de seguridad para garantizar que sigan siendo relevantes y eficaces. Los resultados de las evaluaciones de riesgos:
- se informan a la alta gerencia, que participa en un proceso de tratamiento de riesgos;
- se actualizan en un registro de riesgos; y
- se priorizan según el posible impacto en los sistemas de producción
Nuestro departamento de RR. HH. tiene un proceso de selección definido para todo el personal. En el momento de la contratación, se obtienen verificaciones de referencia con respecto a todos los empleados y se realizan comprobaciones de antecedentes penales y crediticios para aquellos que realizan funciones operativas en el entorno de la nube de productos. Todo el personal debe firmar un acuerdo de confidencialidad antes de la contratación para garantizar la protección de la información del cliente con fines de protección de datos. Durante el periodo de incorporación del empleado, se proporciona formación de concienciación en materia de seguridad de la información, se brinda una formación específica a desarrolladores sobre prácticas de cifrado seguro y se conservan registros formales para la finalización de la formación del personal interno. Por su parte, los gerentes de departamento son los encargados de iniciar rescisiones de contrato de empleados y cambios en los puestos de trabajo, y nuestro equipo de R.R. H.H. revisa estas solicitudes y las envía a través de nuestro sistema de tickets para los requisitos de aprovisionamiento y desaprovisionamiento. Asimismo, el equipo de R.R. H.H. cuenta con un proceso para los empleados que dejan la empresa, cuya finalidad es garantizar que todo el equipo se devuelve y las cuentas se cancelan, y asegurar que se ha retirado el acceso a los entornos de producción.
Se establece un programa de formación de concienciación en materia de seguridad para todos los empleados, contratistas y terceros usuarios, el cual es obligatorio. Todas las personas con acceso a datos confidenciales y restringidos reciben una adecuada formación de concienciación y actualizaciones periódicas sobre los procedimientos, procesos y políticas de la organización en relación a su puesto de trabajo en la organización. Las funciones y responsabilidades de empleados, contratistas y terceros usuarios se documentan en la medida que se relacionan con la seguridad y los activos de información.
Las responsabilidades de todo el personal se definen dentro de las descripciones del puesto de trabajo y se han realizado teniendo en cuenta sus funciones y responsabilidades con respecto a lo siguiente:
- Tener conocimiento en todo momento y cumplir con las políticas y procedimientos establecidos y las obligaciones de cumplimiento legales, reglamentarias o regulatorias.
- Mantener un entorno laboral seguro.
- Informar, si se detecta, de cualquier actividad sospechosa.
Contamos con una política de control clara que requiere que los espacios de trabajo desatendidos no tengan a la vista documentos confidenciales y las sesiones de ordenador se desactiven tras un periodo establecido de inactividad.
Tenemos implementada una política de control de acceso que especifica cómo gestionar el control de acceso a todos los componentes del sistema y a información confidencial en la organización. En la política de privacidad de Caseware (https://www.caseware.com/privacy-statement/) encontrará las políticas que rigen el uso o acceso aceptable a los datos y metadatos de los suscriptores. Caseware recopila, usa y divulga información solo con los siguientes fines:
- Verificar su identidad.
- Proporcionarle los servicios de Caseware Cloud.
- Comunicarse con usted para informarle de productos, actualizaciones del servicio, notificaciones de facturas o notificaciones relacionadas con los servicios de Caseware Cloud.
- Para controlar o mejorar el uso del sistema, el servidor y el rendimiento del software.
- Para asistir con cuestiones de soporte técnico.
- Para cumplir con cualquier ley, reglamento, órdenes judiciales, citaciones o cualquier otro proceso legal de investigación, y para proteger a CWC, sus afiliados y otras personas de cualquier perjuicio.
- Para mejorar y aumentar la oferta de servicios de CWC.
Gestión de identidad y acceso
Se han establecido políticas y procedimientos para almacenar y gestionar información de identidad sobre cada persona que accede a la infraestructura de la nube de producción, así como para determinar su nivel de acceso. Se han establecido políticas y procedimientos de control de acceso, y se han implementado medidas técnicas y procesos empresariales de apoyo para restringir el acceso de usuarios, de acuerdo a una segregación de tareas definida con el fin de abordar riesgos empresariales asociados a un conflicto de intereses en las funciones de usuarios. El repositorio de control de acceso lo gestiona el proveedor. Usamos un administrador de identidades con privilegios y un sistema de gestión de contraseñas.
El acceso a, y el uso de, herramientas de auditoría que interactúan con el entorno de la nube de producción está segmentado y restringido para evitar poner en riesgo los datos de registro y un uso inadecuado de estos. El acceso de usuario a puertos de diagnóstico y configuración está restringido a personas y aplicaciones autorizados.
Hay controles implementados para garantizar que solo se instale software aprobado dentro de la infraestructura de la nube de producción.
El acceso a las aplicaciones desarrolladas por la propia organización, al programa o al código fuente del objeto, o a cualquier otra forma de propiedad intelectual (PI), así como el uso de software propietario, se controla mediante la regla de privilegios mínimos basada en la función del puesto de trabajo según las políticas y procedimientos establecidos de acceso de usuarios.
Caseware Cloud Service requiere autenticación de contraseña para acceder al sistema base. Una vez dentro del sistema, a los usuarios se les asignan roles de seguridad para realizar las operaciones adicionales y acceder a contenido específico. Con los roles de seguridad, puede controlar quién tiene acceso a ese contenido. Su organización es responsable de desarrollar políticas de seguridad adecuadas en torno a las contraseñas y roles de seguridad que usan funciones de seguridad suministradas en Caseware Cloud. Caseware proporciona acceso a los clientes, quienes tendrán entonces el control de sus propios usuarios y cuentas de administración, incluido el aprovisionamiento y desaprovisionamiento. Se emplea la autenticación en dos fases. El acceso de usuarios se autoriza y valida de nuevo cada trimestre para garantizar la regla de privilegios mínimos basada en la función del puesto de trabajo. Para infracciones de acceso identificadas, se adoptan actividades de corrección basadas en las políticas y procedimientos establecidos para el acceso de usuarios. El desaprovisionamiento oportuno (revocación o modificación) del acceso de usuarios a datos o aplicaciones gestionadas, sistemas de infraestructura y componentes de red, se ha establecido de acuerdo a las políticas y procedimientos establecidos y según los cambios de estado del usuario, tales como finalización del contrato o de otra relación empresarial, cambio de puesto de trabajo o traslado. El proveedor gestiona el aprovisionamiento y desaprovisionamiento de cuenta del servicio. La autenticación de cuenta del servicio utiliza autenticación de varias fases.
Seguridad de virtualización e infraestructura
Caseware Cloud, para todos los hosts de su infraestructura, implementa un punto de conexión de seguridad de detección y respuesta de puntos de conexión basado en Saas. Todo usuario, proceso y actividad de red se recopila y almacena en una ubicación central segura y se analiza prácticamente en tiempo real para detectar comportamientos sospechosos o realizar análisis forenses manuales. La protección, conservación y gestión del ciclo de vida de los registros de auditoría son conformes a las obligaciones de cumplimiento legales, reglamentarias o regulatorias aplicables, y proporcionan responsabilidad del acceso único de usuario para detectar comportamientos de red potencialmente sospechosos y anomalías en la integridad de los archivos, que se requieren para asistir a capacidades de investigación forense en el caso de una infracción de la seguridad. Nuestras herramientas tienen la capacidad detectar y prevenir comportamientos no autorizados o anómalos según el tráfico de red o la actividad de host. Todos los eventos de autenticación, correctos y erróneos, se registran.
Nuestros entornos de producción están separados del resto de entornos para evitar el acceso no autorizado o cambios en los activos de información. La separación de los entornos incluye separación lógica y segregación de tareas para el personal que accede a estos entornos como parte de las tareas de su puesto de trabajo.
Nuestro sistema de producción y entorno de red se protege por firewalls gestionados a nivel central y garantiza la separación de los entornos de producción del resto de entornos. Nuestro entorno de producción se ha diseñado, desarrollado, implementado y configurado para garantizar que el equipo de operaciones y el acceso de usuarios clientes esté adecuadamente segmentado de otros usuarios clientes, según las siguientes consideraciones:
- Políticas y procedimientos establecidos
- Aislamiento de activos esenciales empresariales y sesiones y datos confidenciales de usuarios, que obliga a controles internos más seguros y altos niveles de seguridad
- Seguimiento de las obligaciones de cumplimiento legales, reglamentarias y reguladoras
La infraestructura de la nube de producción tiene un origen de la hora externo, fiable y mutuamente acordado, que se utiliza para sincronizar los relojes del sistema de todos los sistemas de procesamiento de información relevantes para facilitar el seguimiento y la reconstitución de líneas de tiempo de actividades.
Gestión de la cadena de suministro, transparencia y rendición de cuentas
Las políticas y procedimientos se han implementado para garantizar una revisión continuada de los acuerdos de servicios entre los proveedores y los clientes en toda la cadena de suministro que proceda. Las revisiones se realizan como mínimo anualmente e identifican disconformidades con los acuerdos establecidos. Cualquier disconformidad se identifica como medidas para abordar inconsistencias o conflictos a nivel de servicio.
Gestión de amenazas y vulnerabilidad
Se han establecido políticas y procedimientos, y se han implementado medidas técnicas y procesos empresariales de apoyo, para evitar la ejecución de malware dentro del entorno de la nube de producción o en dispositivos de usuarios finales, red de infraestructura de TI y componentes de sistemas. Se han establecido políticas y procedimientos, y se han implementado medidas técnicas y procesos de apoyo, para la detección oportuna de vulnerabilidades dentro de las aplicaciones gestionadas o propiedad de la organización, red de infraestructura y componentes de sistemas. Además, realizamos evaluaciones continuas de vulnerabilidad de código y aplicación en nuestros productos, así como revisiones duales de código del mismo nivel de todos los cambios de código con el fin de garantizar la eficiencia de los controles de seguridad implementados. Nuestra metodología de gestión de riesgos se utiliza para priorizar la corrección de vulnerabilidades identificadas. Los cambios se gestionan a través de nuestro proceso de cambios de gestión definidos para todas las revisiones suministradas por el vendedor, cambios de configuración o cambios en nuestras aplicaciones. Nuestra solución antimalware se gestiona a nivel central y se ejecuta en todos los sistemas. La solución antimalware incluye mecanismos para detectar o prevenir el phishing. Las actualizaciones de firma de malware se implementan en un plazo de 1 día a partir de su lanzamiento.