Saltar al contenido

Seguridad organizacional de Jitterbit Harmony

Introducción

Jitterbit aplica las mejores prácticas operativas de los principales proveedores de computación en la nube a nivel mundial. Esto incluye:

Confidencialidad

Las medidas de confidencialidad de Harmony protegen los datos confidenciales de los clientes contra el acceso no autorizado. Además de las capas de seguridad física y lógica que proporciona nuestro software e infraestructura física, nuestras políticas internas establecen:

Separación de funciones: El acceso al sistema de producción de Harmony está disponible únicamente para el equipo de Operaciones de Jitterbit. Cualquier cambio en el ambiente de producción debe ser aplicado por el equipo de Operaciones de Jitterbit. Mínimo necesario y privilegio mínimo: Dentro del equipo de Operaciones de Jitterbit, el acceso a los distintos servicios de Jitterbit está restringido según sea necesario. El equipo sabe qué empleado tiene acceso a cada recurso de producción de Harmony en cualquier momento y puede revocar dicho acceso cuando sea necesario.

Política de personal

La política de personal de Jitterbit está diseñada para mantener un alto nivel de confianza entre los empleados y mantenerlos informados sobre aspectos clave de la seguridad y privacidad de la información. Los empleados deben cumplir con un código de conducta que prioriza la confidencialidad, la ética y el profesionalismo en todas las interacciones con los usuarios, socios y competidores de Jitterbit. Todos los empleados firman un acuerdo de confidencialidad que protege los datos de sus clientes. Todos los empleados de Jitterbit reciben capacitación y pruebas de seguridad periódicas, aprobadas por un auditor externo.

Pruebas de penetración

Un auditor externo realiza periódicamente pruebas de penetración. Las pruebas se realizan en tres niveles: aplicación, producto y red. Los resultados de las pruebas de penetración están disponibles previa solicitud a través de nuestro Centro de Seguridad.

Comprobaciones de OWASP

Jitterbit realiza comprobaciones periódicas recomendadas por el Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP). Las vulnerabilidades identificadas se priorizan para mejorar la seguridad de las aplicaciones y reducir el riesgo de infracciones.

SDLC seguro

Las prácticas de seguridad se integran en cada fase del ciclo de vida del desarrollo de software (SDLC) para identificar y mitigar las vulnerabilidades de seguridad lo antes posible. Los equipos de Operaciones, Ingeniería y Control de Calidad de Jitterbit son responsables de diferentes aspectos de la seguridad durante el ciclo de vida.

Operaciones de Jitterbit

El equipo de operaciones de Jitterbit es responsable de definir y ejecutar procedimientos para la gestión de lanzamiento de aplicaciones, actualizaciones de hardware y sistema operativo, monitoreo del estado del sistema y otras actividades necesarias para el mantenimiento de Harmony.

Las responsabilidades del equipo incluyen:

  • Revisar la seguridad del diseño e despliegue de la infraestructura en la nube.
  • Desplegar procedimientos que sigan estándares de seguridad, como Cloud Security Alliance (CSA) y Cloud Internet Security (CIS).
  • Definir e desplegar políticas de gestión de identidad y acceso, y procedimientos para asignar identidades únicas y rastreables a cada miembro autorizado del equipo Jitterbit.
  • Definir clasificaciones de confidencialidad de datos que requieran que los empleados que acceden a la información de los clientes de Harmony lo hagan de una manera prescrita que limite la posibilidad de acceso no autorizado.
  • Identificar e desplegar tecnologías que aseguren la información del cliente, incluidas las tecnologías de cifrado de nivel FIPS 140-2 para datos en tránsito y datos en reposo.
  • Realizar evaluaciones de seguridad de la información técnicas y no técnicas basadas en pruebas de penetración, análisis de vulnerabilidad y auditorías frente a regulaciones básicas y códigos de prácticas estándar.
  • Supervisar las aplicaciones y la infraestructura de Harmony para detectar posibles problemas de seguridad.
  • Remediar hallazgos y problemas rápidamente.

Ingeniería de Jitterbit

El equipo de Ingeniería de Jitterbit se encarga del diseño, desarrollo, despliegue y pruebas de los servicios de software que ofrece Harmony. El equipo de Ingeniería colabora estrechamente con el equipo de Operaciones para identificar problemas de seguridad, desarrollar procedimientos de monitoreo e desplegar tecnología de protección. Las responsabilidades de seguridad del equipo de Ingeniería incluyen:

  • Definir e desplegar prácticas de diseño y codificación seguras.
  • Realizar revisiones de diseño para identificar posibles problemas de seguridad antes de la codificación.
  • Realizar revisiones de código para identificar código que podría explotarse para otorgar acceso no autorizado a los datos del cliente.
  • Realizar revisiones de código para identificar código que pueda afectar negativamente la disponibilidad.
  • Realizar pruebas de carga en ambientes de preproducción para verificar que se han cumplido los requisitos de disponibilidad.

Control de calidad de Jitterbit

El equipo de control de calidad de Jitterbit se encarga de realizar pruebas de regresión, tanto nuevas como existentes, en todo el software lanzado por Ingeniería para garantizar que no se produzcan problemas de seguridad ni de funcionamiento con los cambios en el software. El equipo de control de calidad de Jitterbit realiza su función en un ambiente independiente que se asemeja mucho a las configuraciones de producción. El equipo de control de calidad de Jitterbit debe aprobar cualquier lanzamiento de software antes de que el equipo de operaciones de Jitterbit pueda desplegar en el ambiente de producción de Harmony.

Autorización FIPS 140-2

Jitterbit cumple con los requisitos de autenticación de FIPS 140-2.

Inicio de sesión único

Los empleados de Jitterbit utilizan el inicio de sesión único (SSO) para autenticarse en los sistemas internos de Jitterbit.

Cifrado de extremo a extremo

Todo el tráfico interno de Jitterbit utiliza cifrado de extremo a extremo (E2E) para garantizar que solo los destinatarios previstos puedan acceder a los datos que se transmiten.

Sitio de estado de Jitterbit

El equipo de operaciones de Jitterbit monitorea la disponibilidad y la seguridad de Harmony las 24 horas del día, los 7 días de la semana. Los datos de dicho monitoreo se publican en el sitio de estado de Jitterbit brindando a los usuarios y al público una visibilidad transparente de nuestras operaciones.

Gestión de identidad y acceso

Control de acceso y mínimo privilegio

La política de gestión de identidades y accesos exige que todo el personal de Jitterbit con acceso a los ambientes de producción de Harmony cuente con identidades únicas y rastreables mediante un ID de usuario. Esta política aplica el principio del mínimo privilegio, que restringe al personal al nivel mínimo de acceso necesario para realizar las tareas asignadas.

Revisión periódica del acceso

Las instancias virtuales, los firewalls, los servidores de bases de datos y demás software y hardware de infraestructura están protegidos por identidades de usuario con permisos limitados. El equipo de Operaciones revisa periódicamente los permisos otorgados y los revoca cuando un empleado deja la empresa. El equipo de Operaciones aplica una política de contraseñas en todos los ambientes de producción de Harmony que exige contraseñas seguras, su caducidad regular y restricciones en la reutilización de contraseñas.

Gestión de incidentes

El objetivo de la política de gestión de incidentes de Jitterbit no es sólo cerrar incidentes de manera rápida y efectiva, sino también recopilar y distribuir información sobre incidentes para que los procesos se mejoren continuamente y las respuestas futuras estén impulsadas por el conocimiento acumulado.

La gestión de incidentes incluye el diagnóstico inicial, la clasificación, la priorización, el escalamiento y el cierre. Todos los incidentes que no afectan a los usuarios de Harmony se registran en el sistema de seguimiento de incidencias de ingeniería. Cualquier incidencia que afecte a los usuarios se registra en el sistema de Atención al Cliente para que se pueda hacer un seguimiento de cualquier impacto en los SLA.

Gestión de parches y alta disponibilidad

Jitterbit refuerza continuamente sus productos a medida que surgen nuevas amenazas a la seguridad. Además, también reforzamos la infraestructura de software que utilizamos.

Para mantener el software actualizado, el equipo de Operaciones colabora con los equipos de Ingeniería y Control de Calidad siguiendo una política detallada de gestión de parches que abarca el descubrimiento, la prueba y la despliegue de parches de seguridad. El proveedor de la nube y la estrategia de infraestructura virtual de Harmony permiten que Harmony permanezca disponible, incluso durante las actualizaciones.

El equipo de Operaciones supervisa activamente los avisos de seguridad de los proveedores y se suscribe a las notificaciones de lanzamiento de nuevos parches.

Gestión de la capacidad

Harmony actualmente admite a miles de usuarios activos que realizan diversos procesos de integración. La plataforma Harmony se ha desarrollado para escalar dinámicamente. Los servicios principales que exponen las APIs a nuestras herramientas y usuarios se ejecutan en Apache Tomcat. Nuestros sistemas monitorizan la tasa de uso actual y aprovisionan y detienen automáticamente las instancias de EC2 según sea necesario.