Saltar al contenido principal

Política de Seguridad de Athento

Soporte L1
  • Actualización

Prevención de vulnerabilidades

Para la prevención de vulnerabilidades, Athento toma las siguientes medidas:

  • Código Seguro
  • Medidas de Seguridad de los Datacenters utilizados
  • Medidas de hardening
  • Política Antivirus
  • Test automatizados de hacking ético: Athento utiliza herramientas como Detectify que realizan pruebas de seguridad automatizadas sobre la aplicación y bases de datos y escanean los activos en busca de vulnerabilidades, incluyendo OWASP Top 10, CORS, Amazon S3 Bucket y configuraciones incorrectas de DNS. 
  • Bug Bounty Program: Athento recluta de forma activa hackers éticos que tienen el objeto de descubrir vulnerabilidades del software.
  • Test de pentración de clientes Enterprise: Clientes en planes Enterprise pueden solicitar la realización de ataques éticos programados para que sus equipos de seguridad comprueben que Athento cumple con los principales estándares de seguridad del mercado. 

Evaluación de Riesgos

Athento dispone de un self-assessment report de acuerdo con lo establecido por la Cloud Security AllianceEste reporte es revisando anualmente. Este reporte está disponible únicamente para los clientes enterprise de Athento previa firma de un NDA.

Procedimiento ante posibles vulnerabilidades

Cuando se detecte un potencial problema de seguridadAthento tomará los siguientes pasos frente a la incidencia:

  1. Evaluar el alcance y la gravedad del problema
  2. Realizar una actualización del producto lo antes posible que resuelva el posible riesgo.
  3. Una vez la vulnerabilidad sea detectada conocida, informaremos a nuestros clientes sobre la actualización realizada.

Notificaciones de Seguridad

Para nuestro equipo, la prioridad es resolver lo antes posible cualquier vulnerabilidad del servicio. En cuanto estas sean detectadas, se publicarán en las Release Notes de la versión que presenta dicha vulnerabilidad.

Una vez solucionada la posible vulnerabilidad, llevaremos a cabo una notificación vía correo electrónico en la que se avisará a los clientes de que la vulnerabilidad ha sido resuelta y detalles sobre su resolución.

El email se enviará a todos los contactos autorizados de soporte.

En caso de que se detecten posibles  pérdida de datos, los clientes afectados serán notificados de inmediatoy se les notificará de las medidas a llevar a cabo para resolver su situación.


Nivel de Gravedad de las Notificaciones

Las notificaciones indicarán así mismo la gravedad de la vulnerabilidad resuelta. Los niveles de vulnerabilidad se describen a continuación.

Gravedad
Descripción
Blocker

Este tipo de vulnerabilidades pueden comprometer al sistema en cualquiera de los siguientes aspectos:

  • Compromiso de los datos albergados en la nube
  • Compromiso del servidor en producción
  • Existe un riesgo de ataque de denegación de servicios (los usuarios legítimos ven impedido su acceso al sistema debido a un ataque).
Critical Se ha detectado alguna de las vulnerabilidades anteriores pero sólo a nivel del cliente que las ha reportado.
Mayor Bajo esta categoría de gravedad se agrupan todas las vulnerabilidades que no cumplan con las características de las dos categorías anteriores.

 

Cómo Reportar Posibles Vulnerabilidades 

Cualquier incidente o vulnerabilidad detectada deberá ser comunicada de inmediato por los mecanismos de contacto de nuestro servicio de soporte.

 

Artículos relacionados

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.