Rock Robotic aplica las mejores prácticas de la industria para garantizar su seguridad. Este documento describe las medidas que tomamos para evitar que sus datos caigan en manos equivocadas.
Plataforma y amplificador; Seguridad de datos
Seguridad de la red
Al igual que la seguridad de nuestra red física, la mayor parte de la seguridad de nuestra red virtual está a cargo de AWS. Amazon proporciona entornos completamente aislados en los que implementamos nuestras aplicaciones, y lo hacen para más de un millón de empresas y organizaciones gubernamentales de todo el mundo. Algunos clientes conocidos que utilizan Amazon para proteger sus datos incluyen a la NASA, Shell, Autodesk, British Gas, GE, Hitachi, Lafarge, Trimble y el Departamento de Estado de EE. UU. Para obtener más información sobre las prácticas de seguridad de la red virtual de AWS, consulte su documento técnico de seguridad.
Además de la seguridad descrita anteriormente, Rock Robotic implementa otras medidas de mejores prácticas en las instalaciones y en AWS para garantizar aún más la seguridad de sus datos:
Autenticación y Autorización
Rock Robotic usa Auth0 para manejar nuestro esquema de autenticación y autorización. Auth0 es ISO27001, ISO27018, SOC 2 Tipo II, PCI DSS, Escudo de privacidad UE-EE. UU. y certificación Gold CSA Star. Para obtener más información sobre la plataforma de seguridad de Auth0, consulte su papel blanco.
Cambio de control
Mantenemos toda la configuración en código para mantener la transparencia cuando se trata de cambios de red e infraestructura subyacentes. Se registra en el control de versiones y todos los cambios se revisan en cuanto a seguridad, escalabilidad y durabilidad antes de la implementación. También probamos todos los cambios minuciosamente en un entorno de preparación dedicado antes de implementarlos en el entorno de producción.
Seguridad del servidor
Parches de seguridad
Los servidores de Rock Robotic se parchean automática y continuamente con las últimas actualizaciones de seguridad. Esto garantiza que podamos minimizar nuestra exposición a vulnerabilidades conocidas.
Cifrado de disco
Los servidores de Rock Robotic emplean el uso de cifrado de disco completo para garantizar que los datos almacenados en ellos no sean accesibles para otros. Esto protege los datos tanto en caso de acceso físico a los servidores como cuando se desechan los discos.
Seguridad de la aplicación
Cambio de control
Como aplicación web, los cambios de código se realizan y se implementan de manera continua. No se requiere ninguna acción para actualizar a la última versión más allá de actualizar el navegador. Para mantener la seguridad de las aplicaciones, la calidad del código y minimizar la introducción de errores, seguimos un estricto ciclo de vida de desarrollo de software (SDLC).
Diseño y amp; Desarrollo
Las nuevas características y los cambios se diseñan y diseñan minuciosamente. Una vez aprobado, comienza el desarrollo y todo el código se verifica en el control de código fuente.
Revisar
Todos los cambios de código están sujetos a revisión por pares para verificar la calidad, el rendimiento y la corrección. El código también se revisa desde el punto de vista de la seguridad, adhiriéndose a la Las 10 principales directrices de OWASP.
Lanzamiento de puesta en escena
Después del período de revisión, los cambios se implementan en un entorno de prueba donde los desarrolladores y nuestro equipo de control de calidad los prueban minuciosamente. Realizamos pruebas de función y de regresión para garantizar que los cambios se comporten según lo previsto y no hayan introducido errores en otros lugares.
Lanzamiento de la producción
Cuando se completa esta prueba y se realizan las correcciones necesarias, los cambios se implementan para uso del cliente. Los cambios grandes o experimentales pueden implementarse como características beta por un tiempo limitado. Los usuarios tendrán la opción de activar o desactivar estas funciones durante este tiempo.
Posteriores a la liberación
Los comentarios y los informes de errores se recopilan de los clientes, y los cambios y las correcciones se realizan según corresponda.
Emergencias
En situaciones excepcionales en las que los cambios deben aplicarse rápidamente para corregir errores o recuperarse de un incidente de seguridad o tiempo de inactividad, es posible que se omitan algunos de los pasos anteriores, como las revisiones de código, las pruebas y la versión provisional. Si este fuera el caso, todos los cambios estarán sujetos a revisión y prueba una vez que todo haya vuelto a la normalidad.
Autenticación y Autorización
contraseñas
El principal método de inicio de sesión de Rock Robotic es a través de una dirección de correo electrónico y una contraseña. Su contraseña nunca se almacena en texto sin formato. Todas las contraseñas se almacenan con seguridad líder en la industria en Auth0.
Las contraseñas también deben cumplir con dos requisitos de complejidad: (1) tener al menos ocho caracteres, (2) contener minúsculas (a-z), mayúsculas (A-Z) y un número (0-9), (3) contener uno de los siguientes caracteres especiales (!@#$%^&*), (4) no ser una de las cinco contraseñas establecidas anteriormente, (4) no debe contener ninguna parte de sus datos personales y (5) no debe existir en este lista de las 10.000 contraseñas más comunes.
Si olvida su contraseña, puede restablecerla proporcionando el correo electrónico vinculado a su cuenta. Se envía un enlace con un token criptográfico a la dirección proporcionada, lo que le permite restablecer su contraseña.
Inicio de sesión único (SSO)
Los usuarios con cuentas de Google, Facebook o GitHub pueden usar los respectivos botones "Iniciar sesión con" para iniciar sesión en Rock Robotic para una experiencia de inicio de sesión único sin ninguna configuración adicional.
Autenticación multifactor (MFA)
Se requiere MFA al iniciar sesión. Además, todos los empleados de Rock Robotic deben iniciar sesión con MFA para garantizar aún más la seguridad de los datos.
Galletas
Una vez que un usuario inicia sesión, Rock Robotic almacena tokens de sesión como cookies seguras de solo HTTP en el navegador del usuario para identificarlo como que tiene acceso. Esto se protege aún más mediante el uso de tokens de falsificación de solicitudes entre sitios (CSRF) y políticas estrictas de CORS para evitar solicitudes entre dominios y el uso no autorizado de la cookie. Las cookies caducan después de dos semanas, lo que significa que los usuarios se desconectan automáticamente.
Mitigación de vulnerabilidades
Además de las revisiones de código mencionadas anteriormente, utilizamos varias otras medidas para garantizar que las vulnerabilidades no estén presentes en la aplicación.
Sanitización de datos
Los datos ingresados por el usuario pueden almacenarse en una base de datos y volver a presentarse en el navegador. Esto puede abrir la oportunidad para ataques de inyección SQL y secuencias de comandos en sitios cruzados (XSS). Todos los datos ingresados en las bases de datos o presentados a HTML se desinfectan adecuadamente.
Registro y Monitoreo
Para proporcionar una pista de auditoría y permitir una investigación rápida de posibles amenazas o problemas, todas las solicitudes a los servicios de Rock Robotic se registran de forma segura con suficiente información para recrear eventos.
Parte de la información que se puede registrar incluye direcciones IP, encabezados de solicitud, cargas útiles de solicitud, información del dispositivo, códigos de estado, tiempos de respuesta e intentos fallidos de inicio de sesión. Nunca registramos datos confidenciales o sensibles. Todos los registros se conservan y se respaldan mientras dure su utilidad. Además, las tasas de error y las métricas de rendimiento se supervisan constantemente para garantizar que tenga la mejor experiencia de usuario final posible.
Disponibilidad
AWS es bien conocido por su estabilidad y confiabilidad. Esto está respaldado por acuerdos de nivel de servicio que garantizan el tiempo de actividad y responsabilizan a AWS por el tiempo de inactividad. Sin embargo, las interrupciones pueden ocurrir en circunstancias excepcionales.
Como tal, hemos diseñado todos nuestros servicios para que sean altamente disponibles y resistentes a fallas. Todos los hosts y aplicaciones se supervisan constantemente para comprobar su disponibilidad. Si ocurre una falla, se inicia una recuperación automática. Esta estrategia mitiga las fallas tanto a nivel de instancia como de centro de datos.
Además, los servicios que componen la aplicación se monitorean mediante una herramienta externa que monitorea el tiempo de actividad desde varias ubicaciones en todo el mundo. Si ocurre una interrupción, se alerta de inmediato a un miembro técnico de nuestro personal y se toma una resolución lo más rápido posible en función de la gravedad de la interrupción. Rock Robotic se esfuerza por mantener un tiempo de actividad anual del 99 %.
Escalabilidad
Desde el principio, hemos diseñado Rock Robotic Platform para cumplir con los grandes requisitos de datos que conllevan el procesamiento, el alojamiento, el análisis y el suministro de datos cartográficos de nivel topográfico en todo el mundo. Hacemos esto principalmente aprovechando la escalabilidad infinita y la cobertura global de AWS. Esto, junto con el escalado automático a nivel de infraestructura, aplicación y basado en la demanda, significa que podemos escalar rápida y fácilmente nuestras aplicaciones y la infraestructura subyacente para satisfacer cualquier nivel de demanda.
Seguridad de información
Rock Robotic clasifica toda la información enviada por el usuario como confidencial y esencial. Utilizamos varios métodos para garantizar que los datos de los clientes estén siempre disponibles y seguros:
Almacenamiento y transmisión de datos
Todos los datos enviados hacia y desde Rock Robotic Platform se cifran y transmiten de forma segura a través de HTTPS utilizando TLSv1 o superior, con un cifrado de 128 bits o superior, según el cliente. Todas las transferencias internas de datos entre los servicios de Rock Robotic están igualmente protegidas por encriptación.
Una vez enviados, todos los datos se almacenan de forma segura en AWS con controles de acceso que evitan el acceso no autorizado. Los depósitos de S3 están configurados para ser privados de forma predeterminada y se requieren claves de acceso o direcciones URL prefirmadas para acceder a los datos. Del mismo modo, las bases de datos están protegidas con contraseña y solo se puede acceder a ellas desde direcciones IP incluidas en la lista blanca. El acceso y los permisos para modificar o eliminar datos solo se delegan cuando es necesario y se basan en el principio de privilegio mínimo.
Todos los datos para su procesamiento o visualización se cargan en un depósito de S3 ubicado en la región EE.UU. Este de AWS. Desde aquí, los datos se transfieren, con cifrado, a los servidores de AWS en el este de EE. UU. para su procesamiento. Estos servidores almacenan estos datos, con encriptación, hasta que ya no son necesarios para su procesamiento.
Todos los resultados resultantes del procesamiento se envían a un depósito de S3 en el este de EE. UU. Los metadatos y otros datos ingresados en la plataforma se almacenan en bases de datos MySQL ubicadas en la región EE. UU.-Este de AWS.
Siempre que sea posible, todos los datos se cifran en reposo, incluso en colas, bases de datos, volúmenes de datos y S3 mediante el cifrado AES256. Las claves de cifrado se crean, administran y protegen mediante AWS Key Management Service (KMS). Rotamos automáticamente las llaves anualmente.
Controles de acceso
Además de los controles de acceso a nivel de almacenamiento antes mencionados, Rock Robotic Platform proporciona controles de acceso configurables por el usuario a nivel de aplicación. Denegamos el acceso a los datos dentro de un portal o sitio de manera predeterminada y requerimos que un administrador del portal u otro usuario con el permiso Administrar acceso invite a un usuario a ver los datos dentro de un portal. Es posible especificar permisos detallados al otorgar acceso, lo que permite aplicar el principio de privilegio mínimo. Para facilitar la administración de usuarios y sus permisos, se pueden agrupar en roles a los que también se les pueden asignar permisos.
Recuperación de desastres
En el improbable caso de pérdida de datos del cliente, existen procedimientos y medidas de seguridad para garantizar la recuperación. La mayoría de los datos de los clientes se almacenan en el S3 de Amazon, que tiene una durabilidad del 99,999999999 %. Además de esto, el control de versiones de objetos está habilitado de manera predeterminada en todos los depósitos, lo que garantiza que incluso si un objeto se elimina o sobrescribe, se puede recuperar.
Los datos restantes del cliente se almacenan en bases de datos respaldadas continuamente, lo que proporciona una recuperación puntual al minuto.
De manera similar, todos los servicios de aplicaciones se implementan de manera altamente disponible con recuperación automática de fallas a nivel de instancia y centro de datos.
Privacidad
Rock Robotic cumple con todas las leyes de privacidad locales, incluido el Reglamento general de protección de datos (GDPR), y se compromete a mantener sus datos personales seguros y protegidos. Para más información, Observe nuestra política de privacidad.
Violaciones de datos
En caso de acceso no autorizado a sus datos, se lo notificaremos tan pronto como tengamos conocimiento del problema.
¿Preguntas? Comuníquese con, support@rockrobotic.com para más información.
Seguridad de servidores y redes
Rock Robotic aloja la mayor parte de su aplicación en la plataforma Amazon Web Services (AWS). AWS proporciona seguridad de vanguardia para el centro de datos que cumple con los estándares de la industria, como SOC, PCI DSS e ISO 27001. Toda la responsabilidad de seguridad de la red física y del servidor para estas partes de la aplicación se delega en AWS. Para obtener más información sobre las prácticas de seguridad física de AWS, consulte su documento técnico de seguridad.
Dispositivos del personal
Todos los dispositivos utilizados por los miembros de nuestro personal deben estar protegidos con contraseña, con bloqueo automático después de breves períodos de desuso, además del cifrado de disco completo. Además, se requiere que el personal habilite la autenticación multifactor (MFA) en todos los servicios que la brindan.
Seguridad física