El siguiente documento pretende ofrecer un resumen del enfoque de Prosci en materia de privacidad y protección de la información para nuestras soluciones de cara al cliente.

Nuestro compromiso con la privacidad y seguridad

Prosci se compromete a mantener seguros y protegidos todos y cada uno de los datos que recopilamos de los clientes seguros y protegidos, siguiendo los mejores estándares y protocolos de la industria. A fin de reforzar este compromiso, Prosci está certificada en la norma ISO 27001, una norma internacional de seguridad de la información. Por favor clic aquí para acceder al certificado o comuníquese con privacyandsecurity@prosci.com si tiene preguntas adicionales.

Enfoque de privacidad de datos

Prosci tiene el firme compromiso de mantener la integridad de la información que nos permites procesar y cuenta con una política de privacidad. Puedes encontrar información detallada sobre la información que recopilamos y cómo la utilizamos en la declaración de Política de Privacidad de Prosci.

Además, Prosci utiliza subprocesadores externos para ayudarnos a prestar nuestros servicios. Estos subprocesadores procesan los datos que tú introduces en los servicios, los cuales pueden incluir datos personales. Como Prosci, nuestros subprocesadores dan prioridad a la privacidad de los datos y, en su caso, han acordado contractualmente proteger los datos personales de los clientes de Prosci de conformidad con las normativas y estándares globales de privacidad de datos.

Seguridad para las Aplicaciones de Prosci con el Cliente

Cuando Prosci diseña y desarrolla soluciones de cara al cliente, la privacidad y la seguridad de los datos son prioridades absolutas. Por este motivo, seleccionamos cuidadosamente socios que pudieran trabajar con nosotros para proporcionar el nivel de protección que considerábamos necesario.

Elegimos el entorno de la plataforma de aplicaciones Heroku de Salesforce para alojar y gestionar nuestras soluciones. En concreto, decidimos invertir en Heroku Shield Private Spaces para ofrecer a nuestros clientes el protocolo de seguridad y privacidad más riguroso disponible a través de Salesforce.

Tras esa decisión, seleccionamos cuidadosamente plataformas y socios de desarrollo que igualaran este nivel de compromiso con la seguridad de la información. Antes de conceder a cualquier proveedor acceso a los sistemas de Prosci, Prosci establece acuerdos de confidencialidad por escrito con el proveedor.

A continuación se presenta una visión general del enfoque de seguridad de las soluciones basada en la plataforma Heroku de Salesforce.

Visión General de Heroku

El código de la aplicación y la base de datos de información de nuestras soluciones basadas en hubs (actualmente Prework, Knowledge Hub, Research Hub y Proxima) están alojados en Heroku, una plataforma segura de alojamiento de software en la nube propiedad de Salesforce. Heroku es conocida por su énfasis en la seguridad.

Heroku es una plataforma de aplicaciones en la nube utilizada por organizaciones de todos los tamaños para desplegar y operar aplicaciones en todo el mundo. La plataforma está diseñada para proteger a los clientes de las amenazas mediante la aplicación de controles de seguridad en cada capa, desde la física hasta la aplicación, aislando las aplicaciones y los datos de los clientes, y con su capacidad para desplegar rápidamente actualizaciones de seguridad sin interacción con el cliente ni interrupción del servicio.

Evaluaciones de seguridad y cumplimiento de Heroku

Centros de Datos

La infraestructura física de Heroku está alojada y gestionada en los centros de datos seguros de Amazon y utiliza la tecnología de Amazon Web Services (AWS). Amazon gestiona continuamente los riesgos y se somete a evaluaciones recurrentes para garantizar el cumplimiento de las normas del sector o industria. Las operaciones del centro de datos de Amazon han sido acreditadas bajo:

  • ISO 27001
  • SOC 1 and SOC 2/SSAE 16/ISAE 3402 (Antes SAS 70 Tipo II)
  • PCI Nivel 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)
  • PCI

Seguridad física

Heroku utiliza centros de datos con certificación ISO 27001 y FISMA, gestionados por Amazon. Los centros de datos de AWS se alojan en instalaciones anodinas, y las instalaciones críticas cuentan con amplios retranqueos y bermas de control perimetral de grado militar, así como otras protecciones naturales de los límites. El acceso físico está estrictamente controlado tanto en el perímetro como en los puntos de entrada al edificio por personal de seguridad profesional que utiliza videovigilancia, sistemas de detección de intrusos de última generación y otros medios electrónicos. El personal autorizado debe pasar una autenticación de dos factores no menos de tres veces para acceder a las plantas del centro de datos. Todos los visitantes y contratistas deben presentar un documento de identidad, entrar y ser escoltados continuamente por personal autorizado.

Para más información, consulte: https://aws.amazon.com/es/security/

Pruebas de penetración y evaluaciones de vulnerabilidad

Las pruebas de seguridad de terceros de la aplicación Heroku son realizadas por empresas independientes de consultoría en seguridad, de reputación intachable. Los resultados de cada evaluación se revisan con los evaluadores, se clasifican según el riesgo y se asignan al equipo responsable.

Protección medioambiental

  • Detección y Extinción de Incendios

    Se han instalado equipos automáticos de detección y extinción de incendios para reducir el riesgo. El sistema de detección de incendios utiliza sensores de detección de humo en todos los entornos de los centros de datos, espacios de infraestructura mecánica y eléctrica, salas de enfriamiento y salas de equipos generadores. Estas zonas están protegidas por sistemas de rocío de tipo tubo húmedo, preacción de doble enclavamiento o sistemas de rocío gaseosos.
  • Energía

    Los sistemas de alimentación eléctrica del centro de datos están diseñados para ser totalmente redundantes y poder mantenerse sin afectar a las operaciones, 24 horas al día y siete días a la semana. Las unidades de alimentación ininterrumpida (SAI) proporcionan energía de reserva en caso de fallo eléctrico para las cargas críticas y esenciales de la instalación.

  • Control de Clima y Temperatura

    El control del clima es necesario para mantener una temperatura de funcionamiento constante para los servidores y otros equipos, lo que evita el sobrecalentamiento y reduce la posibilidad de interrupciones del servicio. Los centros de datos se acondicionan para mantener las condiciones atmosféricas en niveles óptimos. Los sistemas de control y el personal del centro de datos garantizan que la temperatura y la humedad se mantengan en los niveles adecuados.

  • Manejo

    El personal del centro de datos supervisa los sistemas y equipos eléctricos, mecánicos y de soporte vital para detectar inmediatamente cualquier problema. Se realiza un mantenimiento preventivo para mantener la operatividad de los equipos.

  • Para más información, consulte: https://aws.amazon.com/es/security/.

Seguridad de la Red

  • Cortafuegos

    Los cortafuegos se utilizan para restringir el acceso a los sistemas desde redes externas y entre sistemas internos. Por defecto, se deniega todo acceso y sólo se permiten los puertos y protocolos permitidos explícitamente en función de las necesidades de la empresa. Desde una perspectiva de red y con el fin de mitigar el riesgo, los grupos de seguridad restringen el acceso sólo a los puertos y protocolos necesarios para la función específica de un sistema.

    Los cortafuegos basados en host impiden que las aplicaciones de los clientes establezcan conexiones localhost a través de la interfaz de red loopback para aislar aún más las aplicaciones de los clientes. Los cortafuegos basados en host también ofrecen la posibilidad de limitar aún más las conexiones entrantes y salientes, según sea necesario.

Seguridad del Sistema Heroku

  • Configuración del Sistema

    La configuración y consistencia del sistema se mantiene a través de imágenes estándar actualizadas, software de gestión de configuración, y reemplazando sistemas con despliegues actualizados. Los sistemas son desplegados usando imágenes actuales que son actualizadas con cambios de configuración y actualizaciones de seguridad antes del despliegue. Una vez desplegados, los sistemas existentes se desmantelan y se sustituyen por sistemas actualizados.

Aislamiento de Aplicaciones de Clientes de Heroku

Las aplicaciones en la plataforma Heroku corren dentro de su propio ambiente aislado y no pueden interactuar con otras aplicaciones o áreas del sistema para prevenir problemas de seguridad y estabilidad. Estos entornos autónomos aíslan los procesos, la memoria y el sistema de archivos, mientras que los cortafuegos basados en host restringen a las aplicaciones el establecimiento de conexiones de red locales. Para más información visite: https://devcenter.heroku.com/articles/dyno-isolation.

Autenticación del Sistema Heroku

El acceso al sistema operativo está limitado al personal de Heroku y requiere autenticación de nombre de usuario y clave. Los sistemas operativos no permiten la autenticación de contraseñas para prevenir ataques de fuerza bruta, robo y compartición de contraseñas.

Gestión de Vulnerabilidades de Heroku

El proceso de gestión de vulnerabilidades está diseñado para remediar los riesgos sin interacción o impacto en el cliente. Heroku es notificado de vulnerabilidades a través de evaluaciones internas y externas, monitoreo de parches del sistema, y listas de correo y servicios de terceros. Cada vulnerabilidad se revisa para determinar si es aplicable al entorno de Heroku, se clasifica en función del riesgo y se asigna al equipo adecuado para su resolución.

Los nuevos sistemas se despliegan con las últimas actualizaciones, correcciones de seguridad y configuraciones de Heroku y los sistemas existentes se retiran a medida que los clientes migran a las nuevas instancias. Este proceso permite a Heroku mantener el entorno actualizado. Dado que las aplicaciones de los clientes se ejecutan en entornos aislados, no se ven afectadas por estas actualizaciones del sistema central.

Seguridad de la Aplicación Heroku

Heroku se somete a pruebas de penetración, evaluaciones de vulnerabilidad y revisiones de código fuente para evaluar la seguridad de nuestra aplicación, arquitectura e implementación. Las evaluaciones de seguridad de terceros cubren todas las áreas de nuestra plataforma, incluyendo pruebas de vulnerabilidades de aplicaciones web OWASP Top 10 y aislamiento de aplicaciones de clientes. Heroku trabaja estrechamente con evaluadores de seguridad externos para revisar la seguridad de la plataforma y las aplicaciones Heroku, y aplicar las mejores prácticas.

Los problemas encontrados en las aplicaciones de Heroku se clasifican en función del riesgo, se priorizan y se asignan al equipo responsable para su corrección, y el equipo de seguridad de Heroku revisa cada plan de corrección para garantizar una resolución adecuada.

Copias de Seguridad de Heroku

  • Aplicaciones del Cliente

    Las aplicaciones desplegadas en la plataforma de Heroku se respaldan automáticamente como parte del proceso de despliegue en un almacenamiento seguro, de acceso controlado y redundante. Heroku utiliza estas copias de seguridad para desplegar nuestras aplicaciones de Prosci a través de nuestra plataforma y para volver a poner en línea de forma automática las aplicaciones en caso de una interrupción.

  • Bases de Datos Postgres del Cliente

    Los datos se almacenan y gestionan en Heroku Postgres. La protección continua mantiene los datos seguros en Heroku Postgres. Cada cambio en sus datos se escribe en registros de escritura anticipada, que se envían a centros de datos múltiples, almacenamiento de alta durabilidad. En el improbable caso de un fallo de hardware irrecuperable, estos registros pueden ser automáticamente 'reproducidos' para recuperar la base de datos a segundos de su último estado conocido. Para más información, consulte: https://devcenter.heroku.com/articles/pgbackups.

Información adicional sobre la plataforma Heroku

Desde nuestras imágenes de instancia hasta nuestras bases de datos, cada componente está respaldado en un almacenamiento seguro, de acceso controlado y redundante. Nuestra plataforma permite recuperar bases de datos a segundos del último estado conocido, restaurar instancias del sistema a partir de plantillas estándar y desplegar aplicaciones y datos de clientes. Además de las prácticas de copia de seguridad estándar, la infraestructura de Heroku está diseñada para escalar y ser tolerante a fallos mediante la sustitución automática de instancias fallidas y la reducción de la probabilidad de tener que restaurar a partir de una copia de seguridad.

Recuperación en Caso de Catástrofe

Aplicaciones y Bases de Datos del Cliente

En caso de una interrupción, nuestra plataforma restaura automáticamente las aplicaciones de los clientes y las bases de datos Postgres de Heroku. La plataforma de Heroku está diseñada para desplegar aplicaciones de forma dinámica dentro de la nube Heroku, monitorizar los fallos y recuperar los componentes de la plataforma que hayan fallado, incluyendo las aplicaciones y bases de datos de los clientes.

Privacidad de Heroku

Además de la política de privacidad de Prosci, Heroku cuenta con una política de privacidad publicada que define claramente qué datos se recopilan y cómo se utilizan. Heroku y Salesforce están comprometidos con la privacidad de los clientes y la transparencia.

Tomamos medidas para proteger la privacidad de nuestros clientes y proteger los datos almacenados en la plataforma. Algunas de las protecciones inherentes a los productos de Heroku incluyen autenticación, controles de acceso, cifrado de transporte de datos, soporte HTTPS para las aplicaciones de los clientes y la posibilidad de que los clientes cifren los datos almacenados. Para más información, consulta: https://www.heroku.com/policy/privacy

Acceso a los Datos del Cliente

Heroku y el personal de nuestro equipo de desarrollo no acceden ni interactúan con los datos o aplicaciones de los clientes como parte de las operaciones normales. Puede haber casos en los que Heroku o nuestros desarrolladores tengan que interactuar con los datos o aplicaciones del cliente, a petición del cliente, con fines de soporte o cuando sea requerido por la ley. El acceso a los datos del cliente está controlado y todo acceso del personal de Heroku va acompañado de la aprobación del cliente o de un mandato gubernamental, el motivo del acceso, las acciones realizadas por el personal y la hora de inicio y finalización de la asistencia.

El personal de Prosci sólo tiene acceso en función de la necesidad de conocer los datos y de la concesión específica de acceso. Prosci no extraerá ni utilizará datos específicos del cliente, excepto cuando tengamos una base legal para hacerlo con el fin de cumplir el propósito para el que se recopilaron los datos. Prosci examinará los metadatos para poder comprender qué partes de los sistemas se están utilizando y así poder estudiar la mejor manera de satisfacer las necesidades de los clientes.

Mejores Prácticas de Seguridad para Clientes de Prosci

Cifrar Datos Sensibles en Reposo y en Tránsito

Los datos de los clientes se cifran tanto en tránsito a través de HTTPS / SSL como en reposo en la base de datos. Los atributos de datos comunes, como contraseñas y secretos de autorización de dos factores, se cifran en reposo y se filtran de los registros de datos como parte de los respectivos esquemas utilizados para implementar esas funciones.

Registro

Private Space Logging (Registro de Espacio Privado) es una función que nos permite configurar la captura de registros a nivel de espacio en lugar de a nivel de aplicación, proporcionando así la capacidad de separar los registros para entornos de clientes específicos cuando se solicita un entorno Private Shield (Escudo Privado) específico del cliente. Para obtener información técnica adicional, consulta: https://devcenter.heroku.com/articles/logging

Jerarquía de Aplicaciones

El conjunto de soluciones basadas en concentradores de Prosci se construyó sobre la pila Heroku-20. El periodo de soporte actual de Heroku es como mínimo hasta abril de 2025.