MatchSavings Compromiso de seguridad de la organización
Programa de seguridad de la información
- Contamos con un Programa de Seguridad de la Información que se comunica
a toda la organización. Nuestro Programa de Seguridad de la Información sigue los criterios
establecidos por el Marco SOC 2. SOC 2 es un procedimiento de auditoría de la seguridad de la información
ampliamente conocido y creado por el Instituto Americano de Contables Públicos Certificados
.
Auditorías de terceros
- Nuestra organización se somete a evaluaciones de terceros independientes para comprobar nuestros controles de seguridad y cumplimiento de
.
Pruebas de penetración de terceros
- Realizamos pruebas de penetración de terceros independientes al menos una vez al año para garantizar a
que la seguridad de nuestros servicios no se ve comprometida.
Funciones y responsabilidades
- Las funciones y responsabilidades relacionadas con nuestro Programa de Seguridad de la Información y la protección de los datos de nuestros clientes en
están bien definidas y documentadas. Los miembros de nuestro equipo
deben revisar y aceptar todas las políticas de seguridad.
Formación sobre sensibilización en materia de seguridad
Los miembros de nuestro equipo deben seguir una formación de concienciación sobre seguridad para empleados en
que cubra las prácticas estándar del sector y temas de seguridad de la información como la suplantación de identidad (phishing) y la gestión de contraseñas.
Confidencialidad
- Todos los miembros del equipo deben firmar y adherirse a un acuerdo de confidencialidad estándar del sector
antes de su primer día de trabajo.
Comprobación de antecedentes
- Realizamos comprobaciones de antecedentes de todos los nuevos miembros del equipo de acuerdo con las leyes locales de
.
Seguridad en la nube
Seguridad de la infraestructura en nube
- Todos nuestros servicios están alojados en Amazon Web Services (AWS). Emplean un sólido programa de seguridad
con múltiples certificaciones. Para obtener más información sobre los procesos de seguridad de nuestro proveedor
, visite Seguridad de AWS.
Seguridad en el alojamiento de datos
- Todos nuestros datos están alojados en bases de datos de Amazon Web Services (AWS). Estas bases de datos
están todas ubicadas en Estados Unidos. Para obtener más información, consulte la documentación específica del proveedor
que figura en el enlace anterior.
Cifrado en reposo
- Todas las bases de datos están cifradas en reposo.
Cifrado en tránsito
- Nuestras aplicaciones sólo cifran en tránsito con TLS/SSL.
Exploración de vulnerabilidades
- Realizamos análisis de vulnerabilidades y vigilamos activamente las amenazas.
Registro y supervisión
- Supervisamos y registramos activamente varios servicios en la nube.
Continuidad de la actividad y recuperación en caso de catástrofe
- Utilizamos los servicios de copia de seguridad de nuestro proveedor de alojamiento de datos para reducir cualquier riesgo de pérdida de datos
en caso de fallo del hardware. Utilizamos servicios de monitorización para alertar al equipo
en caso de que se produzca algún fallo que afecte a los usuarios.
Respuesta a incidentes
- Disponemos de un proceso para gestionar los incidentes relacionados con la seguridad de la información, que incluye procedimientos de escalada
, mitigación rápida y comunicación.
Seguridad de acceso
Permisos y autenticación
- Cuando está disponible, disponemos de Single Sign-on (SSO), autenticación de 2 factores (2FA) y
políticas de contraseñas seguras para garantizar la protección del acceso a los servicios en la nube. - El acceso a la infraestructura de la nube y a otras herramientas sensibles está limitado a los empleados autorizados de
que lo requieran para su función.
Control de acceso de mínimo privilegio
- Seguimos el principio del mínimo privilegio para la gestión de identidades y accesos.
Revisiones trimestrales de acceso
- Realizamos revisiones trimestrales del acceso de todos los miembros del equipo con acceso a los sistemas sensibles de
.
Requisitos de contraseña
- Todos los miembros del equipo deben cumplir un conjunto mínimo de requisitos de contraseña
y complejidad para el acceso.
Gestión de proveedores y riesgos
Evaluaciones anuales de riesgos
- Realizamos evaluaciones de riesgo al menos una vez al año para identificar cualquier amenaza potencial,
incluyendo consideraciones de fraude.
Gestión de riesgos de proveedores
- Antes de autorizar a un nuevo proveedor, se determina su riesgo y se realizan las revisiones pertinentes
.
Contacto
Si tiene alguna pregunta, comentario o duda, o si desea informar de un posible problema de seguridad
, póngase en contacto con [email protected].
- Realizamos evaluaciones de riesgo al menos una vez al año para identificar cualquier amenaza potencial,
incluyendo consideraciones de fraude.