Política de seguridad

Nuestra política de seguridad se actualizó por última vez el 18 de diciembre de 2024.

Esta política de seguridad describe el marco de seguridad de la información para Hubtype y su compromiso de proteger la confidencialidad, la integridad y la disponibilidad de sus activos de información. La política se aplica a todos los empleados, contratistas y proveedores externos que gestionan los activos de información de Hubtype o tienen acceso a ellos.

El comité de seguridad de Hubtype es responsable de definir metas y objetivos enfocados en la evaluación del desempeño en materia de seguridad de la información y el cumplimiento de la legislación vigente en materia de sistemas de información, así como de mejorar continuamente nuestras actividades, que están reguladas por el sistema de gestión que desarrolla esta política. La administración es responsable de proporcionar los recursos y el apoyo necesarios para implementar y mantener la política de seguridad.

Marco de políticas de seguridad de la información

Hubtype ha establecido un marco integral de políticas de seguridad de la información que incluye evaluaciones de riesgos periódicas, la implementación de controles de seguridad apropiados, la gestión de incidentes y el cumplimiento de las normas y normas pertinentes.

Gestión de activos

Hubtype cuenta con un proceso formal para identificar, clasificar y proteger sus activos de información. Este proceso incluye revisiones y actualizaciones periódicas para garantizar la protección continua de los activos de información críticos.

Seguridad de los recursos humanos

Hubtype lleva a cabo programas de concientización y capacitación en materia de seguridad para todos los empleados y contratistas a fin de garantizar que comprendan sus funciones y responsabilidades a la hora de mantener la confidencialidad, la integridad y la disponibilidad de los activos de información.

Comunicaciones

Los empleados, contratistas y proveedores de Hubtype deben seguir el proceso de comunicación segura para garantizar que la información se transmita de forma segura.

Control de acceso

Hubtype ha implementado procesos de control de acceso siguiendo el enfoque de privilegio de acceso mínimo para garantizar los permisos mínimos y que solo las personas autorizadas tengan acceso a sus activos de información. Esto incluye los procesos de registro, autenticación y autorización de usuarios.

Seguridad de infraestructuras

Todos los componentes se definen mediante Infraestructura como código (IaC) y el código fuente debe revisarse teniendo en cuenta la confidencialidad, la integridad y la disponibilidad de los datos antes de añadir el código a la producción. Hubtype supervisa los componentes críticos y los sistemas de alarma para asegurarse de que se notifique a una persona de guardia si se produce alguna irregularidad.

Seguridad de las aplicaciones

Todo el código fuente debe revisarse teniendo en cuenta la confidencialidad, integridad y disponibilidad de los datos. También debe seguir los estándares de codificación establecidos en Hubtype y superar todas las pruebas. Además, hemos implementado un análisis estático y un escaneo de imágenes para detectar cualquier vulnerabilidad.

Seguridad de los datos de los clientes

Hubtype usa TLSv1.2 para garantizar la seguridad de los datos en tránsito y el cifrado SHA-256 para los datos en reposo. También tenemos resiliencia al mantener una segunda réplica de nuestras bases de datos listas para su uso y al emplear múltiples AZ en nuestros componentes críticos. Todos nuestros proveedores críticos que procesan o almacenan información personal o datos considerados confidenciales cumplen con el RGPD.

Funciones y responsabilidades en relación con el cifrado de la información

Para garantizar la rendición de cuentas y la implementación adecuada de las prácticas de cifrado, se definen las siguientes funciones y responsabilidades:

  • Responsable de protección de datos (DPR):
    • Garantiza que todas las prácticas de protección y seguridad de datos se alineen con las normativas y políticas de privacidad de datos.
    • Actúa como enlace entre la empresa y los organismos reguladores en relación con el cumplimiento del cifrado.
  • Gerente de seguridad técnica:
    • Supervisa la implementación y la administración de las políticas de cifrado.
    • Garantiza el cumplimiento de las normas reglamentarias (por ejemplo, el RGPD) en relación con el cifrado de datos.
    • Revisa y actualiza periódicamente los protocolos de cifrado para hacer frente a las amenazas emergentes.
    • Actúa como propietario de las claves de cifrado, responsable de almacenarlas de forma segura y de conceder acceso a otros miembros del equipo cuando sea necesario.
  • Equipos de ingeniería:
    • Implemente y mantenga tecnologías de cifrado (por ejemplo, TLSv1.2 para datos en tránsito, SHA-256 para datos en reposo).
    • Realice pruebas periódicas para garantizar que los métodos de cifrado estén operativos y sean efectivos.
    • Colabore con el gerente de seguridad técnica para abordar las vulnerabilidades identificadas en los mecanismos de cifrado.
  • Equipo de operaciones de TI:
    • Administra y monitorea las funciones de resiliencia, incluidas las réplicas de bases de datos y las configuraciones Multi-AZ.
    • Garantiza que las claves de cifrado se almacenen y roten de forma segura según los requisitos de la política.
  • Todos los empleados:
    • Cumpla con las políticas de la organización en relación con el manejo y el cifrado de datos.
    • Informe inmediatamente al equipo de seguridad de TI sobre cualquier sospecha de violación o vulnerabilidad de seguridad.

Se llevan a cabo auditorías y capacitaciones periódicas para garantizar que todos los roles estén equipados para manejar sus responsabilidades de manera efectiva y mantener los más altos estándares de seguridad de los datos.

Gestión de incidentes

Hubtype ha establecido un proceso de gestión de incidentes para responder y denunciar los incidentes de seguridad, incluidas las filtraciones de datos, las intrusiones en la red y las fallas del sistema.

Gestión de la continuidad del negocio

Hubtype cuenta con un plan de continuidad empresarial para garantizar la continuidad de las operaciones comerciales en caso de una violación o interrupción de la seguridad.

Cumplimiento

Hubtype se compromete a cumplir con los requisitos legales y reglamentarios pertinentes, así como con los estándares y mejores prácticas de la industria, incluida la ISO 27001.

Revisión y revisión

Hubtype revisa y revisa periódicamente su política de seguridad para garantizar su eficacia y su alineación con las necesidades de la organización. Esta revisión se lleva a cabo al menos una vez al año o según sea necesario en función de los cambios en el entorno de seguridad de la información.