Tenemos un Programa de Seguridad de la Información en su lugar que se comunica en toda la organización. Nuestro Programa de Seguridad de la Información sigue los criterios establecidos por el Marco SOC 2. SOC 2 es un procedimiento de auditoría de seguridad de la información ampliamente conocido creado por el Instituto Americano de Contadores Públicos Certificados.

Nuestra organización se somete a evaluaciones independientes de terceros para probar nuestros controles de seguridad y cumplimiento.

Realizamos una prueba de penetración de terceros independiente al menos anualmente para garantizar que la postura de seguridad de nuestros servicios no esté comprometida.

Los roles y responsabilidades relacionados con nuestro Programa de Seguridad de la Información y la protección de los datos de nuestros clientes están bien definidos y documentados. Se requiere que los miembros de nuestro equipo revisen y acepten todas las políticas de seguridad.

Se requiere que los miembros de nuestro equipo realicen una capacitación en conciencia de seguridad del empleado que cubre prácticas estándar de la industria y temas de seguridad de la información como el phishing y la gestión de contraseñas.

Se requiere que todos los miembros del equipo firmen y se adhieran a un acuerdo de confidencialidad estándar de la industria antes de su primer día de trabajo.

Realizamos verificaciones de antecedentes a todos los nuevos miembros del equipo de acuerdo con las leyes locales.

Todos nuestros servicios y almacenamiento de datos se alojan en Google Cloud Platform (GCP) y MUX. Ambos emplean un programa de seguridad sólido con múltiples certificaciones. Para obtener más información sobre los procesos de seguridad de nuestros proveedores, visite Seguridad de GCP y MUX

Todos nuestros datos se alojan en las bases de datos de GCP y MUX. Estas bases de datos están todas ubicadas en los Estados Unidos. Consulte la documentación específica del proveedor vinculada anteriormente para obtener más información.

Todas las bases de datos están encriptadas en reposo.

Nuestras aplicaciones se encriptan en tránsito solo con TLS/SSL.

Monitoreamos activamente y registramos varios servicios en la nube.

Utilizamos los servicios de copia de seguridad de nuestro proveedor de alojamiento de datos para reducir cualquier riesgo de pérdida de datos en caso de falla de hardware. Utilizamos servicios de monitoreo para alertar al equipo en caso de fallas que afecten a los usuarios.

Tenemos un proceso para manejar eventos de seguridad de la información que incluye procedimientos de escalada, mitigación rápida y comunicación.

Utilizamos sistemas de IA que requieren datos para análisis, pero desactivamos todos los permisos de entrenamiento de datos en esos datos. Configuramos todas las configuraciones de privacidad para proteger los datos de los clientes. Para obtener más detalles, consulte las políticas de los siguientes proveedores: OpenAI Enterprise, OpenAI Trust y VertexAI

Utilizamos una Nube Privada Virtual (VPC) para todos los servicios y datos que gestionamos, aislandolos de otros usuarios de nuestro proveedor de nube y de Internet en general.

Dentro de nuestra VPC, estamos arquitectonicamente en un entorno compartido de múltiples inquilinos. Los datos de varios clientes pueden combinarse en una sola base de datos o cuenta de almacenamiento en la nube y procesarse en un recurso informático compartido.

Para el acceso del cliente a través de nuestra aplicación, la arquitectura de acceso a datos de nuestro servicio garantiza que el acceso a los datos fuera de nuestra VPC se limite únicamente a lo que el usuario autenticado ha sido autorizado a acceder, según los roles de RBAC otorgados por el cliente.

El acceso a la infraestructura en la nube y otras herramientas sensibles está limitado a empleados autorizados que lo requieran para su función.

Cuando esté disponible, utilizamos autenticación de dos factores (2FA) y políticas de contraseñas sólidas para garantizar que el acceso a los servicios en la nube esté protegido.

Seguimos el principio de privilegio mínimo con respecto a la identidad y gestión de accesos.

Realizamos revisiones de acceso trimestrales de todos los miembros del equipo con acceso a sistemas sensibles.

Se requiere que todos los miembros del equipo cumplan con un conjunto mínimo de requisitos de contraseña y complejidad para el acceso.

Todas las laptops proporcionadas por la empresa utilizan un gestor de contraseñas para que los miembros del equipo administren las contraseñas y mantengan la complejidad de las contraseñas.

Nos sometemos al menos a evaluaciones anuales de riesgos para identificar posibles amenazas, incluidas consideraciones de fraude.

El riesgo del proveedor se determina y se realizan las revisiones de proveedores apropiadas antes de autorizar un nuevo proveedor.