Politica de seguridad
En Finance Active nos tomamos muy en serio la seguridad de la información. Estamos orgullosos de participar lo más posible cuando el desafío es proteger los datos que nuestros clientes nos confían. Por eso queremos aclarar nuestro enfoque en materia de seguridad.
Resumen:
¿Cómo se enmarca nuestro enfoque de seguridad de la información?
¿Cómo se garantiza la confidencialidad de los datos de los usuarios?
¿Cómo se controla el nivel de seguridad de nuestro sistema de información?
¿Cómo conocen los empleados nuestra política de seguridad?
¿Cuáles son nuestros compromisos respecto a la disponibilidad de nuestras aplicaciones?
¿Qué se implementa para asegurar el acceso a nuestras aplicaciones?
¿Qué tecnologías utilizamos para el cifrado de datos?
¿Cómo nos protegemos del malware y las vulnerabilidades?
¿Qué se implementa para proteger nuestra red informática?
¿Cómo se garantiza la seguridad física de nuestras infraestructuras?
¿Cómo se enmarca nuestro enfoque de seguridad de la información?
Hemos definido una Política de Seguridad de los Sistemas de Información y un Sistema de Gestión de Seguridad de la Información alineado con la norma ISO/IEC 27001. Además, se ha implementado una clasificación de la información en función de su nivel de confidencialidad. Con el objetivo de definir una respuesta adaptada y medida a los riesgos relacionados con la información manipulada, todos los documentos que elaboramos se clasifican según esta escala. Se aplica un conjunto de medidas de seguridad a cada nivel de confidencialidad, durante todo el ciclo de vida del soporte de información. También nos aseguramos de que la seguridad de nuestro sistema de información se considere en todas las fases de nuestros proyectos, desde las fases de diseño y especificación del sistema hasta su retirada del servicio.
¿Cómo se garantiza la confidencialidad de los datos de los usuarios?
Imponemos controles estrictos sobre el acceso de nuestros empleados a los datos que usted nos confía. Nos aseguramos de que a estos datos no acceda nadie que no tenga acceso legítimo a ellos. Sin embargo, el funcionamiento de nuestros servicios requiere que ciertos empleados tengan acceso a sistemas que almacenan y procesan datos de los clientes. Por ejemplo, para poder analizar un problema que está encontrando, es posible que nuestro equipo de soporte tenga que acceder a sus datos. Todos nuestros empleados deben cumplir con nuestras normas de seguridad y nuestra empresa trata estas cuestiones con la máxima atención: el uso de cuentas genéricas está prohibido y se lleva a cabo una revisión periódica de los derechos de acceso de los empleados para garantizar que los procesos de cambio han funcionado correctamente en caso de un cambio en la situación de nuestro personal.
¿Cómo se controla el nivel de seguridad de nuestro sistema de información?
Para garantizar el mejor nivel de seguridad, solicitamos periódicamente a proveedores de servicios cualificados que lleven a cabo misiones de auditoría de nuestro sistema de información. De forma no exhaustiva, estas misiones se llevan a cabo para comprobar el cumplimiento de la norma ISO/IEC 27001 en nuestro perímetro certificado, o para realizar pruebas de penetración de caja negra y caja gris en nuestros sistemas SaaS.
El perímetro certificado ISO/IEC 27001 de Finance Active
La norma ISO/IEC 27001 define los requisitos para establecer un Sistema de Gestión de Seguridad de la Información (SGSI). El SGSI identifica medidas de seguridad para garantizar la protección de los activos de Finance Active . El objetivo es proteger las funciones e información de cualquier robo, pérdida o alteración, y los sistemas informáticos de cualquier intrusión o desastre.
Finance Active ha sido certificada según la norma ISO/IEC 27001 en el siguiente alcance:
Edición de software, integración, soporte y provisión en modalidad SaaS de las soluciones Fairways para gestión de deuda, garantías y riesgo cambiario.
Finance Active se compromete a proteger su privacidad. Para la protección de datos personales, Finance Active designó un Delegado de Protección de Datos (DPO) que garantiza que se respete la seguridad de los datos personales y que los procesos cumplan con las leyes europeas (incluido el RGPD). Los datos que recopilamos son utilizados principalmente por los servicios de Finance Active y en ningún caso se transfieren a un tercero, excepto por los estrictos requisitos de la ejecución del contrato. Todos los proveedores seleccionados por Finance Active cumplen con la normativa en materia de protección de datos personales.
Subprocesador | Objetivo | Ubicación |
|---|---|---|
Equinix | Alojamiento | Francia |
Autenticación0 | Autenticacion de usuario | UE |
zendesk | Gestión de solicitudes de soporte | UE |
Fuerza de ventas | CRM | UE |
Microsoft (Oficina 365) | TI corporativa colaborativa | UE |
Servicios web de Amazon | Retención de copia de seguridad | UE |
¿Cómo conocen los empleados nuestra política de seguridad?
Todo nuestro personal participa a lo largo de sus actividades en nombre de la organización en acciones de sensibilización y formación adaptadas a su perfil y misiones. Esto nos permite garantizar que las buenas prácticas de seguridad se difundan entre los diferentes equipos.
¿Cuáles son nuestros compromisos respecto a la disponibilidad de nuestras aplicaciones?
Nuestra estrategia para asegurar la disponibilidad de nuestras aplicaciones y los datos de nuestros clientes se basa en un conjunto de elementos complementarios:
Distribución de los servidores de producción y respaldo en dos centros de datos respondiendo a buenas prácticas de gestión empresarial.
Duplicación de datos en estos dos centros de datos
Uso de almacenamiento tolerante al hardware
Copia de seguridad periódica del sistema de información:
Copia de seguridad diaria mantenida durante 2 semanas
Copia de seguridad semanal mantenida durante 2 meses
Copia de seguridad mensual mantenida durante 2 años.
Copia de seguridad anual mantenida durante 10 años.
Excepto en los casos de fuerza mayor, nuestro:
El objetivo del punto de recuperación, es decir, el período máximo objetivo en el que se pueden perder datos, es de 24 horas.
El objetivo de tiempo de recuperación, es decir, el tiempo objetivo en el que se debe restaurar nuestra aplicación, es de 4 horas hábiles.
¿Qué se implementa para asegurar el acceso a nuestras aplicaciones?
Todo acceso a las aplicaciones y servicios ofrecidos por Finance Active está sujeto a la autenticación del usuario. Delegamos la gestión de la autenticación de usuarios a proveedores especializados implementando los siguientes estándares:
Delegación de autorización: OAuth 2.0 (RFC 6749 y RFC 6750)
Intercambio seguro de tokens de autorización: JSON Web Tokens (RFC 7519)
A nivel de aplicación, en cada solicitud se realiza una verificación de la autenticación del usuario y de los derechos de acceso a los datos. Los usuarios sólo pueden acceder a su espacio y datos desde el espacio al que está vinculada su cuenta.
¿Qué tecnologías utilizamos para el cifrado de datos?
Los intercambios entre las estaciones de trabajo de los usuarios y nuestras aplicaciones están completamente encriptados desde su navegador a nuestros servidores mediante el Protocolo seguro de transferencia de hipertexto (RFC 2818).
Las suites criptográficas son implementaciones reconocidas como estándares del mercado, y la autenticación de nuestros servicios orientados a Internet se basa en certificados firmados por una autoridad de certificación pública reconocida.
¿Cómo nos protegemos del malware y las vulnerabilidades?
Los sistemas operativos y el software que utilizamos son mantenidos firmemente por su editor, una comunidad activa (para software de código abierto) o un proveedor de servicios. Para reducir la superficie de ataque, en nuestros servidores solo se instalan los servicios y aplicaciones necesarios. Además, se implementan sistemáticamente actualizaciones importantes y de seguridad.
También supervisamos la identificación de nuevas vulnerabilidades siguiendo los flujos de lanzamiento de varios CERT, como CERT-FR o CERT-US, y nos aseguramos de que todas las máquinas dentro de nuestro sistema de información estén protegidas por un sistema de prevención de malware (antivirus, etc.) mantenido adecuadamente.
¿Qué se implementa para proteger nuestra red informática?
Nuestra red informática está segmentada según áreas de seguridad homogénea. Se realiza un filtrado de los flujos de entrada y salida de cada zona. Cualquier interconexión entre nuestra red y una red externa (red de terceros, Internet, etc.) está cifrada y pasa por una infraestructura dedicada que incluye los elementos de seguridad adecuados (firewalls, etc.).
¿Cómo se garantiza la seguridad física de nuestras infraestructuras?
Centro de datos
Nuestros servidores están alojados en centros de datos europeos de última generación para seguridad física y control de acceso. Nos aseguramos de que:
Las empresas seleccionadas para alojar nuestros servidores cuentan con la certificación ISO/IEC 27001.
Se respeta la organización en pasillos fríos/pasillos cálidos.
Se dispone del sistema autónomo de detección y extinción de incendios.
La redundancia de la fuente de alimentación está presente.
Se realiza el seguimiento y filtrado del acceso físico.
Se utiliza el control de acceso multifactor.
Control de acceso físico a las instalaciones de Finance Active
La entrega de acceso físico a nuestras instalaciones sigue un proceso para asegurar la identidad de la persona. Las credenciales de acceso son personales e intransferibles. El personal distinto del expresamente autorizado pero llamado a intervenir en áreas sensibles (mantenimiento o reparación de edificios, equipos no informáticos, visitantes, etc.), interviene sistemática e imperativamente bajo vigilancia.
El acceso al local está sujeto a videovigilancia y el recinto está vigilado fuera del horario laboral.