Prevención de vulnerabilidades
Para la prevención de vulnerabilidades, Athento toma las siguientes medidas:
- Código Seguro
- Medidas de Seguridad de los Datacenters utilizados
- Medidas de hardening
- Política Antivirus
- Test automatizados de hacking ético: Athento utiliza herramientas como Detectify que realizan pruebas de seguridad automatizadas sobre la aplicación y bases de datos y escanean los activos en busca de vulnerabilidades, incluyendo OWASP Top 10, CORS, Amazon S3 Bucket y configuraciones incorrectas de DNS.
- Bug Bounty Program: Athento recluta de forma activa hackers éticos que tienen el objeto de descubrir vulnerabilidades del software.
- Test de pentración de clientes Enterprise: Clientes en planes Enterprise pueden solicitar la realización de ataques éticos programados para que sus equipos de seguridad comprueben que Athento cumple con los principales estándares de seguridad del mercado.
Evaluación de Riesgos
Athento dispone de un self-assessment report de acuerdo con lo establecido por la Cloud Security Alliance. Este reporte es revisando anualmente. Este reporte está disponible únicamente para los clientes enterprise de Athento previa firma de un NDA.
Procedimiento ante posibles vulnerabilidades
Cuando se detecte un potencial problema de seguridad, Athento tomará los siguientes pasos frente a la incidencia:
- Evaluar el alcance y la gravedad del problema
- Realizar una actualización del producto lo antes posible que resuelva el posible riesgo.
- Una vez la vulnerabilidad sea detectada conocida, informaremos a nuestros clientes sobre la actualización realizada.
Notificaciones de Seguridad
Para nuestro equipo, la prioridad es resolver lo antes posible cualquier vulnerabilidad del servicio. En cuanto estas sean detectadas, se publicarán en las Release Notes de la versión que presenta dicha vulnerabilidad.
Una vez solucionada la posible vulnerabilidad, llevaremos a cabo una notificación vía correo electrónico en la que se avisará a los clientes de que la vulnerabilidad ha sido resuelta y detalles sobre su resolución.
El email se enviará a todos los contactos autorizados de soporte.
En caso de que se detecten posibles pérdida de datos, los clientes afectados serán notificados de inmediato, y se les notificará de las medidas a llevar a cabo para resolver su situación.
Nivel de Gravedad de las Notificaciones
Las notificaciones indicarán así mismo la gravedad de la vulnerabilidad resuelta. Los niveles de vulnerabilidad se describen a continuación.
Gravedad
|
Descripción
|
---|---|
Blocker |
Este tipo de vulnerabilidades pueden comprometer al sistema en cualquiera de los siguientes aspectos:
|
Critical | Se ha detectado alguna de las vulnerabilidades anteriores pero sólo a nivel del cliente que las ha reportado. |
Mayor | Bajo esta categoría de gravedad se agrupan todas las vulnerabilidades que no cumplan con las características de las dos categorías anteriores. |
Cómo Reportar Posibles Vulnerabilidades
Cualquier incidente o vulnerabilidad detectada deberá ser comunicada de inmediato por los mecanismos de contacto de nuestro servicio de soporte.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.