Seguridad de los datos

Componentes de seguridad

1. Seguridad organizativa
2. Seguridad física
3. Control de acceso lógico
4. Seguridad de los datos
5. Seguridad de la red
6. Seguridad operativa
7. Respuesta a incidentes
8. Gestión del cambio
9. Gestión de vendedores y proveedores externos
10. Controles de seguridad del cliente

1. Seguridad organizativa
   Políticas y procedimientos de seguridad
   moonstride mantiene un conjunto de sólidas políticas y procedimientos de seguridad para guiar a la Organización y a sus empleados en la adhesión a los más altos estándares de prácticas de seguridad. Nuestras políticas se revisan y actualizan periódicamente para garantizar que están al día de las últimas amenazas y normativas.

   Formación de sensibilización

   Al incorporarse, todos los empleados firman un acuerdo de confidencialidad y una política de uso aceptable. A continuación, reciben una formación exhaustiva en seguridad de la información. Para aumentar aún más la concienciación, compartimos periódicamente las mejores prácticas de seguridad mediante publicaciones y blogs. Animamos activamente a nuestros empleados a informar de cualquier actividad sospechosa, fomentando un entorno de trabajo vigilante y seguro.

   Seguridad de los dispositivos

   moonstride implementa medidas avanzadas de seguridad en los puntos finales para proteger los dispositivos de posibles amenazas a la seguridad. Esto incluye un sólido software antivirus, protección contra el spam y el bloqueo de medios extraíbles para mejorar la seguridad general de los puntos finales. Además, aplicamos la encriptación de los dispositivos para evitar el acceso no autorizado en el desafortunado caso de robo.

   Los dispositivos de la empresa que almacenan datos confidenciales se someten a una eliminación segura, con un formateo exhaustivo y borrado de datos antes de su reutilización. En los casos de dispositivos dados de baja, los discos duros se destruyen físicamente antes de su eliminación.

   Auditoría interna y cumplimiento

   Nuestro equipo de cumplimiento revisa periódicamente nuestros controles y procedimientos de seguridad. También realizamos auditorías internas y externas periódicas para garantizar que cumplimos las normas del sector.
2. Seguridad física
   Acceso del personal
   El acceso a las instalaciones físicas de moonstride está estrictamente controlado, con medidas de seguridad como tarjetas o llaveros de acceso y vigilancia 24 horas al día, 7 días a la semana, para evitar accesos no autorizados.

   Acceso al Centro de Datos

   Nuestros servidores en la nube, alojados en centros de datos de confianza de todo el mundo, se rigen por estrictas normas de seguridad física, que incluyen perímetros restringidos, control de acceso biométrico o mediante tarjeta identificativa y supervisión continua por parte del personal de seguridad.
3. Control de acceso lógico
   Autenticación robusta:
   Se utiliza una combinación distintiva de un nombre de usuario, una contraseña y un código MFA únicos para restringir el acceso del front-end y del back-end al entorno de producción. El inicio de sesión se facilita a través del entorno de inicio de sesión único (SSO) del proveedor de la nube.

   Control de acceso basado en roles (RBAC):

   Los permisos de usuario se gestionan estrictamente mediante la Gestión de Identidades y Accesos (IAM) para aplicar el principio del mínimo privilegio, garantizando que los usuarios sólo tengan el acceso mínimo necesario para sus funciones laborales.

   Acceso Revisión

   moonstride realiza revisiones trimestrales del acceso de empleados, administradores y cuentas de servicio para garantizar que el acceso se limita a los sistemas necesarios para su función laboral. Se documentan las revisiones de acceso, y se identifica y desactiva cualquier acceso que se considere inactivo o que ya no sea necesario.
4. Seguridad de los datos
   Cifrado
   • En tránsito:
     Tu conexión a nuestro sitio web está fortificada con encriptación SSL, como indica el símbolo del candado en tu barra de direcciones. Empleamos los últimos conjuntos de cifrado para salvaguardar tus datos frente a las cambiantes amenazas en línea.
   • En reposo:
     Tus datos sensibles se encriptan en reposo utilizando el Servicio de Gestión de Claves (KMS) del proveedor de la nube. El método de encriptación que utilizamos es el ampliamente fiable Estándar de Encriptación Avanzada (AES), con una clave robusta de 256 bits.

   Conservación de datos

   Conservamos los datos de tu cuenta mientras utilices nuestros servicios para garantizar una continuidad sin fisuras. Al cancelar la cuenta, tus datos se conservan de forma segura durante 90 días antes de ser eliminados permanentemente de nuestras bases de datos activas.

   Aislamiento de datos

   Nuestra infraestructura está diseñada para distribuir y mantener el espacio en la nube para cada cliente, garantizando que los datos de servicio de los clientes individuales permanezcan lógicamente separados unos de otros. Esto significa que tus datos siguen siendo confidenciales y sólo tú puedes acceder a ellos.

   Seguridad de las tarjetas de crédito

   Ten la seguridad de que los datos de tu tarjeta de crédito nunca se almacenan en los sistemas de moonstride. Actuamos como facilitadores de la integración de pagos, tendiendo un puente entre nuestros clientes y sus respectivos proveedores de cuentas comerciales o adquirentes de tarjetas. Una vez que se les transfieren los datos de la reserva para procesar el pago, es responsabilidad del proveedor o adquirente garantizar la seguridad de la transacción.
5. Seguridad de las infraestructuras

   La postura de seguridad de moonstride adopta un enfoque multicapa de defensa en profundidad para salvaguardar su infraestructura y sus datos.

   En la capa de red, las solicitudes entrantes se enrutan a través de un proveedor de DNS líder, ocultando la identidad de la infraestructura subyacente. Las funciones de seguridad avanzadas, como el proxy, el cifrado SSL y el Cortafuegos de Aplicaciones Web (WAF), están habilitadas para proteger contra ataques DDoS y otras intrusiones a nivel de DNS y de red.

   En la Capa de Aplicación, un robusto sistema de detección de intrusos supervisa continuamente la actividad sospechosa. Sólo los hosts remotos de la lista blanca pueden conectarse en puertos específicos, como SSH o RDP, para un acceso controlado. Las aplicaciones y servicios centrales de moonstride se aíslan aún más dentro de esta capa para una comunicación interna segura.

   En la Capa de Almacenamiento de Datos, los datos se almacenan en un servicio de base de datos gestionado dentro de su red aislada. Las bases de datos se mantienen privadas y protegidas por grupos de seguridad, que sólo permiten el acceso desde hosts o redes autorizados.

   Además, realizamos evaluaciones de seguridad periódicas y aplicamos mejoras continuas para garantizar la protección de nuestros sistemas y de los datos de los usuarios.

6. Seguridad operativa
   Registro y supervisión
   Nuestros servidores de almacenamiento registran meticulosamente cada interacción de datos, proporcionando una imagen clara de quién accedió a qué y cuándo. Conservamos de forma segura los registros de los servidores en nube, cortafuegos y VPC Flow, lo que ofrece información valiosa sobre la actividad de la red y las posibles amenazas. Cada evento del sistema, actividad del usuario y registro específico de la aplicación se captura y analiza, sin dejar ningún rincón sin supervisar. Automatizamos las respuestas con tecnologías sin servidor para garantizar una respuesta rápida a los incidentes. Esta exhaustiva recopilación de datos alimenta la resolución eficaz de problemas, haciendo que la solución de problemas sea rápida y precisa.

   Exploración de vulnerabilidades

   moonstride da prioridad a la seguridad mediante una gestión proactiva de las vulnerabilidades. Los escaneos regulares de contenedores, instancias en la nube y aplicaciones web, impulsados por herramientas de confianza y un equipo especializado, identifican y abordan los posibles problemas con prontitud, garantizando que tus datos descansen en un entorno constantemente fortificado.

   Copias de seguridad y recuperación

   Las copias de seguridad se cifran mediante una potente encriptación AES-256 y se almacenan en un cubo de almacenamiento en la nube protegido. Las bases de datos de producción se benefician tanto de copias de seguridad incrementales en tiempo real como de copias de seguridad completas cada 8 horas, lo que garantiza una protección exhaustiva de los datos.

   Mantenemos copias de seguridad de la base de datos durante 15 días. La recuperación de datos sigue un proceso claro, que incluye la identificación del punto de copia de seguridad deseado, el inicio de la restauración a través de servicios en la nube y la verificación del éxito de la recuperación de datos.

   Continuidad empresarial

   Nuestro detallado plan de recuperación en caso de catástrofe describe las funciones críticas, los componentes de la infraestructura y los procedimientos de recuperación, definiendo Objetivos de Punto de Recuperación (OPR) y Objetivos de Tiempo de Recuperación (OTR) para guiar nuestra respuesta. Realizamos recorridos y simulacros periódicos para validar la eficacia de nuestro plan y asegurarnos de que nuestro equipo está preparado para actuar en caso de fallos del sistema.
7. Respuesta a incidentes

   moonstride tiene un Plan de Respuesta a Incidentes (IRP) a medida que especifica los procedimientos de contención, los protocolos de escalada y las estrategias de comunicación. Revisamos y actualizamos periódicamente nuestro IRP y comprobamos su eficacia mediante ejercicios prácticos. Nuestro Equipo de Respuesta a Incidentes (IRT) está formado por expertos en seguridad, redes y comunicaciones. Mantenemos registros detallados de los incidentes para su posterior análisis y mejora.

   Para informar de un incidente de seguridad, utiliza el formulario de contacto del centro de ayuda.

   Nos comprometemos a mantener la seguridad de la Moonstride para todos.

8. Gestión del cambio
   Desarrollo seguro:
   Nuestros procedimientos de control de cambios, meticulosamente documentados mediante un sistema de tickets, abarcan los procesos de inicio, las prácticas de desarrollo, las aprobaciones necesarias y los resultados de las pruebas. Además, nuestras actividades de desarrollo y pruebas se realizan en un entorno lógicamente separado del entorno de producción para mantener la integridad de tus datos.

   Control de versiones:

   Empleamos software de control de versiones para mantener eficazmente las versiones del código fuente, realizar un seguimiento de los cambios y facilitar la capacidad de reversión. moonstride utiliza la gestión de construcción y el servicio de Integración Continua/Despliegue Continuo (CI/CD) para automatizar el proceso de construcción y despliegue y conseguir actualizaciones controladas y fiables.
9. Gestión de vendedores y proveedores externos
   Selección de proveedores:
   Llevamos a cabo evaluaciones exhaustivas para valorar la postura de seguridad de nuestros proveedores, incluidas sus prácticas de tratamiento de datos, sus planes de respuesta a incidentes y su adhesión a las mejores prácticas del sector.

   Relaciones seguras con terceros:

   El acceso a los sistemas y datos de moonstride está estrictamente controlado y limitado al personal autorizado mediante la Gestión de Identidades y Accesos. Los datos compartidos con los proveedores o almacenados por ellos están sujetos a estrictas medidas de seguridad, como encriptación, enmascaramiento de datos y protocolos de transmisión seguros. Implementamos la autenticación multifactor, los controles de acceso basados en roles y el registro de acceso para restringir aún más el acceso y realizar un seguimiento de la actividad.

   Las responsabilidades de los proveedores en materia de seguridad de los datos, notificación de incidentes y cumplimiento de nuestras políticas de seguridad están claramente definidas en los contratos de servicios. Para garantizar el cumplimiento continuo de nuestras normas de seguridad, se realizan auditorías de seguridad periódicas y revisiones de las prácticas de los proveedores.

10. Controles de seguridad del cliente
    Aquí tienes los 10 conjuntos de controles que puedes seguir:
    1. Crea contraseñas complejas y evita utilizar información personal.
    2. Utiliza un gestor de contraseñas de confianza para almacenar y gestionar tus contraseñas de forma segura.
    3. Activa la opción MFA proporcionada por moonstride para añadir una capa adicional de protección.
    4. Instala regularmente los últimos parches y actualizaciones de seguridad para tu sistema operativo y aplicaciones.
    5. Utiliza software antivirus y antimalware para proteger tus dispositivos de virus, malware y otras amenazas.
    6. Conéctate a redes Wi-Fi de confianza y considera la posibilidad de utilizar una VPN para una protección adicional, especialmente en Wi-Fi públicas
    7. Nunca hagas clic en enlaces ni abras archivos adjuntos de remitentes desconocidos y comprueba dos veces la dirección de correo electrónico y las URL de los sitios web para asegurarte de que son legítimos.
    8. Revisa regularmente la actividad de tu cuenta para detectar transacciones o cambios no autorizados e informa de cualquier actividad sospechosa al equipo de soporte de moonstride.
    9. Actualiza regularmente la configuración de seguridad de tu cuenta de moonstride para adaptarla a tus necesidades actuales.
    10. Mantente al día de las actualizaciones de seguridad, suscríbete a los avisos y boletines de seguridad de moonstride para estar informado sobre posibles amenazas y vulnerabilidades.
    En moonstride, damos prioridad a la seguridad de los datos y las operaciones, esforzándonos continuamente por crear un entorno resistente y seguro para nuestros clientes y socios.