Portal de seguridad
Puede encontrar el portal de seguridad de Athento en https://athento.trustcenter.sprinto.com
Prevención de vulnerabilidades
Para la prevención de vulnerabilidades, Athento toma las siguientes medidas:
- Código Seguro
- Medidas de Seguridad de los Datacenters utilizados
- Medidas de hardening
- Política Antivirus
- Test automatizados de hacking ético: Athento utiliza herramientas como Detectify que realizan pruebas de seguridad automatizadas sobre la aplicación y bases de datos y escanean los activos en busca de vulnerabilidades, incluyendo OWASP Top 10, CORS, Amazon S3 Bucket y configuraciones incorrectas de DNS.
- Bug Bounty Program: Athento recluta de forma activa hackers éticos que tienen el objeto de descubrir vulnerabilidades del software.
- Test de pentración de clientes Enterprise: Clientes en planes Enterprise pueden solicitar la realización de ataques éticos programados para que sus equipos de seguridad comprueben que Athento cumple con los principales estándares de seguridad del mercado.
Evaluación de Riesgos
Athento dispone un sistema de evaluación de riesgos de acuerdo a la norma ISO 27001 y SOC 2 Type 2. Así mismo, dispone de un self-assessment report de acuerdo con lo establecido por la Cloud Security Alliance. Este reporte es revisando anualmente. Este reporte está disponible únicamente para los clientes enterprise de Athento previa firma de un NDA.
Procedimiento ante posibles vulnerabilidades
Si usted encuentra una vulnerabilidad técnica, por favor, repórtelo lo antes posible a soporte@athento.com
El alcance de los incidentes de seguridad que debe reportar a Athento son aquellos que afecten a cualquier sistema mantenido por Athento y aquellos que puedan comprometer información que pueda facilitar acceso a Athento o información que pueda ser explotada en un potencial ataque a los sistemas de Athento. Por ejemplo, si se compromete un sistema que no es mantenido por Athento pero en éste se almacenan credenciales o datos que pueden comprometer a Athento, debe reportar el incidente de seguridad. También se incluye en el alcance cualquier incidente relacionado con las tecnologías del stack tecnológico de Athento.
No debe divulgar información sobre el incidente a ninguna persona o medio que no sea Athento o los responsables de seguridad de su compañía.
Athento responderá en el periodo de tiempo objetivo según el ANS contratado por el cliente o establecido en los estándares de seguridad.
Cuando se detecte un potencial problema de seguridad, Athento tomará los siguientes pasos frente a la incidencia:
- Evaluar el alcance y la gravedad del problema
- Realizar una actualización del producto lo antes posible que resuelva el posible riesgo.
- Una vez la vulnerabilidad sea detectada conocida, informaremos a nuestros clientes sobre la actualización y/o remediación realizada.
Procedimiento para informar sobre eventos de seguridad
Para informar sobre un evento de seguridad, envíe un correo a soporte@athento.com para crear un ticket de soporte.
Sobre dicho correo se le mantendrá informado de cualquier evento reportado.
Si Athento necesita informarle a un cliente sobre un evento de seguridad, creará un ticket de soporte incluyendo entre los destinatarios al contacto de seguridad del cliente.
Procedimiento para solicitar evidencias digitales
Si el cliente necesita alguna evidencia digital (logs), puede consultarlos en la propia herramienta o enviar un correo a soporte@athento.com para crear un ticket de soporte sobre el que se le dará información para obtener dicha evidencia.
Procedimiento para solicitar información sobre requisitos legales
Si el cliente necesita alguna información sobre la legislación aplicable al servicio cloud, puede consultarlos enviando un correo a soporte@athento.com para crear un ticket de soporte sobre el que se le dará información de la legislación aplicable al servicio.
Procedimiento para quejas de derechos de propiedad intelectual
Si necesita realizar una queja sobre derechos de propiedad intelectual aplicable al servicio cloud, puede realizarla enviando un correo a soporte@athento.com para crear un ticket de soporte. Sobre este ticket de soporte se le dará respuesta y seguimiento.
Notificaciones de Seguridad
Para nuestro equipo, la prioridad es resolver lo antes posible cualquier vulnerabilidad del servicio. En cuanto estas sean detectadas, se publicarán en las Release Notes de la versión que presenta dicha vulnerabilidad.
Una vez solucionada la posible vulnerabilidad, llevaremos a cabo una notificación vía correo electrónico en la que se avisará a los clientes de que la vulnerabilidad ha sido resuelta y detalles sobre su resolución.
El email se enviará a todos los contactos autorizados de soporte.
En caso de que se detecten posibles pérdida de datos, los clientes afectados serán notificados de inmediato, y se les notificará de las medidas a llevar a cabo para resolver su situación.
Nivel de Gravedad de las Notificaciones
Las notificaciones indicarán así mismo la gravedad de la vulnerabilidad resuelta. Los niveles de vulnerabilidad se describen a continuación.
|
Gravedad
|
Descripción
|
|---|---|
| Blocker |
Este tipo de vulnerabilidades pueden comprometer al sistema en cualquiera de los siguientes aspectos:
|
| Critical | Se ha detectado alguna de las vulnerabilidades anteriores pero sólo a nivel del cliente que las ha reportado. |
| Mayor | Bajo esta categoría de gravedad se agrupan todas las vulnerabilidades que no cumplan con las características de las dos categorías anteriores. |
Cómo Reportar Posibles Vulnerabilidades
Cualquier incidente o vulnerabilidad detectada deberá ser comunicada de inmediato por los mecanismos de contacto de nuestro servicio de soporte.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.