Medidas de seguridad de la plataforma Easypromos Seguir
Easypromos se compromete firmemente con la seguridad de la información, considerándola una parte intrínseca de todas las decisiones de cada persona, empleado o colaborador de la compañía. Esta dedicación se refleja en el diseño e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI).
Nuestro compromiso es asegurar la confidencialidad, integridad y disponibilidad de la información de nuestros clientes y de los participantes en las promociones.
Principios fundamentales de seguridad
Desde su inicio, Easypromos ha mantenido los siguientes principios en el diseño e implementación de sus prácticas de seguridad:
- Integridad de los Datos: Se aplica una política de protección y clasificación de datos desde el primer día, con un equipo de seguridad interno dedicado a asegurar la adherencia a estándares internacionales, entidades legales y protocolos de confidencialidad y privacidad específicos de la industria.
- Seguridad Operativa: La empresa cuenta con múltiples políticas interconectadas para la respuesta a incidentes, el cumplimiento de la seguridad y la gestión de proveedores.
- Infraestructura Automatizada: Con límites de seguridad claros, las máquinas se mantienen actualizadas, las dependencias están protegidas contra vulnerabilidades de seguridad y los sistemas son monitoreados y registrados continuamente.
Consulta la política de seguridad y protección de datos de Easypromos.
Certificaciones y cumplimiento normativo
Easypromos cuenta con certificaciones que avalan sus altos estándares de seguridad:
- ISO/IEC 27001: Certificada por AENOR/IQNET, esta norma establece los requisitos para un sistema de gestión de seguridad de la información (SGSI), especificando un conjunto de mejores prácticas y controles para la gestión de riesgos de la información.
- ISO/IEC 27018: También certificada por AENOR/IQNET, esta norma se enfoca en la protección de la información personal identificable (PII) en la nube pública, especialmente para proveedores de servicios que actúan como procesadores de PII.
- Esquema Nacional de Seguridad (ENS): Easypromos ha superado el proceso de autoevaluación conforme a las exigencias del Real Decreto 311/2022, de 3 de mayo, que regula el ENS de categoría básica en España.
- RGPD: Easypromos se compromete a cumplir con las obligaciones establecidas en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de datos personales (RGPD).
Descarga los certificados de seguridad de Easypromos
Infraestructura y protección de datos
- Alojamiento en la Nube: Toda la infraestructura tecnológica de Easypromos está alojada en Google Cloud Platform, específicamente en el centro de datos de Google en St. Ghislain, Bélgica (Europa). Google Cloud Platform cumple con las directivas de la UE sobre protección de datos y privacidad.
- Cifrado de Datos: Todos los datos se cifran en reposo utilizando AES-256. Las claves son gestionadas por Google Cloud Platform. Los datos en tránsito siempre viajan bajo un protocolo seguro utilizando SSL con TLS (TLS 1.2, TLS 1.3).
- Propiedad y Procesamiento de Datos: Los datos de los participantes de las promociones pertenecen al organizador de la promoción. Easypromos actúa como procesador de datos y bajo ninguna circunstancia utiliza los datos de los usuarios, solo los almacena. El acuerdo de procesamiento de datos se define en la cláusula 17 de los Términos y Condiciones de Easypromos.
- Subprocesadores de Datos: Easypromos trabaja con proveedores externos que pueden tener acceso a los datos de los participantes. Estos se consideran subprocesadores de datos y se exige que cumplan con altos estándares de seguridad. Contacta con security@easypromosapp.com para obtener el listado de todos los subprocesadores.
Seguridad operativa y gestión
- Gestión de Accesos: Se adhiere a los principios de mínimo privilegio y permisos basados en roles. El personal solo está autorizado a acceder a los datos necesarios para sus responsabilidades laborales. Todos los accesos a los sistemas están protegidos con autenticación multifactor (MFA) y se requiere el uso de un gestor de contraseñas aprobado para generar y almacenar claves únicas y complejas.
- Gestión de Vulnerabilidades: Easypromos implementa un proceso de gestión de vulnerabilidades que incluye evaluaciones internas y externas periódicas (pentesting). Se suscribe a servicios como opencve.io para recibir notificaciones en tiempo real sobre nuevas vulnerabilidades. Las actualizaciones y parches de seguridad críticos se aplican rápidamente.
- Respuesta a Incidentes: Los incidentes críticos son monitoreados y respondidos 24/7, los 365 días del año. Un equipo de seguridad dedicado monitorea la infraestructura y las alertas de proveedores. Easypromos utiliza una página de estado pública (https://status.easypromosapp.com) para informar en tiempo real sobre el estado de los servicios, mantenimientos e incidencias.
- Registro y Monitoreo de Actividades (Logging): Se registra y analiza una vista completa del estado de seguridad de la infraestructura de producción. El acceso administrativo y el uso de comandos privilegiados se registran. Se utilizan herramientas como ElasticSearch y Kibana para el almacenamiento y análisis de logs, y Grafana para el monitoreo de servicios críticos y alertas en tiempo real. Los logs se conservan un mínimo de 1 mes, y los críticos por auditorías o incidentes, 1 año. Se implementa detección de anomalías en el comportamiento de los usuarios para identificar amenazas.
- Copias de Seguridad y Recuperación ante Desastres: Easypromos guarda transacciones continuamente y realiza copias de seguridad completas diarias. Las bases de datos de los participantes se copian 4 veces al día y se almacenan en Google Cloud Storage. Se realizan instantáneas completas de los servidores (snapshots) con diferentes frecuencias, incluyendo cada 2 horas para el servidor Back-Master. Las copias de seguridad se prueban al menos trimestralmente para asegurar su restauración. Existe una réplica multi-proveedor de la base de datos MySQL en Amazon AWS y los buckets de almacenamiento son multi-zona para garantizar la disponibilidad. En caso de un fallo crítico, los sistemas pueden ser restaurados en menos de 24 horas, con un tiempo estimado de recuperación a partir de un snapshot de disco de 2 horas y de un dump SQL de 24 horas. Los datos personales de los participantes en las copias de seguridad se eliminan en un periodo máximo de 2 meses.
-
Seguridad Física:
- Oficinas: Se controlan los accesos con sistemas de alarma conectados a una central, y se identifican a las personas que intentan acceder. Se aplica una política de "mesas limpias" para evitar dejar información confidencial desatendida. Los equipos de trabajo se apagan al finalizar la jornada y están protegidos por contraseña con bloqueo automático tras 10 minutos de inactividad (5 minutos para teletrabajo).
- Centros de Datos (CPD): Los activos críticos están en áreas seguras con medidas especiales. Se aplican controles como seguridad perimetral (paredes, vallas, videovigilancia), acceso restringido con control electrónico 24/7, sistemas de detección y extinción de incendios, control de temperatura y humedad, y sistemas de alimentación eléctrica ininterrumpida.
- Desarrollo Seguro de Software: Se aplica una política de desarrollo seguro que incluye el uso de sistemas distribuidos, caché en memoria, bases de datos optimizadas, sistemas de colas con tareas asíncronas, y el uso de roles y permisos. Se prohíbe guardar contraseñas o credenciales de producción en el código. Las API Keys se guardan en Jenkins como variables de entorno, y los tokens de acceso de usuarios se almacenan cifrados en la base de datos. Todo el código se encuentra en repositorios GIT (Bitbucket) para control de versiones. Los nuevos desarrollos pasan por un entorno de preproducción para pruebas de QA.
- Seguridad del Correo Electrónico: Para minimizar el spoofing y el spam, Easypromos implementa políticas restrictivas de SPF, DKIM y DMARC.
- Protección de la Propiedad Intelectual: Se prohíbe la instalación de software sin licencia válida y el uso de contenido o herramientas de terceros sin permiso explícito. Se realizan controles periódicos para verificar el cumplimiento.
Compromiso con la formación y concienciación
Easypromos se asegura de que todo el personal y colaboradores estén continuamente formados en ciberseguridad, lo que les permite ser proactivos en la identificación de riesgos y amenazas, y en la aplicación de medidas preventivas.
Sistema antifraude integral en promociones
Easypromos ha desarrollado un sistema avanzado para controlar el fraude en las promociones online. Este sistema incluye:
- Mecanismos de seguridad en el registro e identificación del usuario: Mantenimiento de bases de datos de dominios de correos temporales, detección de direcciones mal escritas, doble validación de email y teléfono, uso de ReCaptcha, y múltiples sistemas de identificación del usuario (SSO, documentos de identidad, códigos de cliente).
- Control de la participación y límites de premios: Permite definir la frecuencia de participación y el número de premios que un usuario puede ganar.
- Centro de seguridad para administradores: Ofrece un indicador visual del nivel de seguridad de la configuración de la promoción, visualización de alertas de seguridad, herramientas para analizar y bloquear dominios de emails y direcciones IP sospechosas, y logs de auditoría de todas las acciones del administrador.
- Servicio proactivo de revisión de alarmas: Un equipo humano especializado supervisa constantemente la actividad de las promociones.
- Límites de concurrencia y 'Waiting Room': Sistemas para controlar picos de tráfico y prevenir problemas de disponibilidad, desviando el exceso de tráfico a una sala de espera.
- Medidas legales: Las bases legales de las promociones pueden incluir cláusulas para disuadir el fraude, permitiendo la descalificación unilateral y reclamaciones por daños.
- Mecanismos específicos por tipo de promoción: Incluye medidas para juegos de habilidad con tiempo, validación de tickets de compra (con IA y detección de duplicidades), concursos de votaciones (registro obligatorio, control de frecuencia, detección de patrones fraudulentos), canjeo de cupones digitales (códigos QR únicos, vinculación a usuario, PINs de seguridad) y sorteos aleatorios (certificación de resultados, generador de números aleatorios cifrado, exclusión de antiguos ganadores).
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.