Saltar al contenido

Seguridad organizacional de Jitterbit Harmony

Introducción

Jitterbit se esfuerza por aplicar las mejores prácticas operativas de los principales proveedores de computación en la nube de todo el mundo. Esto incluye:

Confidencialidad

Las medidas de confidencialidad de Harmony sirven para proteger los datos confidenciales de los clientes del acceso no autorizado. Además de las capas de seguridad físicas y lógicas que proporcionan nuestro software y nuestra infraestructura física, nuestras políticas internas establecen lo siguiente:

  • Separación de funciones: El acceso al sistema de producción de Harmony está disponible únicamente para el equipo de operaciones de Jitterbit. Cualquier cambio en el ambiente de producción debe ser aplicado por el equipo de operaciones de Jitterbit.
  • Privilegios mínimos necesarios y mínimos: Dentro del equipo de operaciones de Jitterbit, el acceso a los distintos servicios de Jitterbit está restringido según sea necesario. El equipo sabe qué empleado tiene acceso a qué recurso de producción de Harmony en cualquier momento y puede revocar ese acceso según sea necesario.

Política de personal

La política de personal de Jitterbit está diseñada para mantener un alto nivel de confianza en los empleados y mantenerlos informados sobre aspectos clave de la seguridad y privacidad de la información. Los empleados deben cumplir con un código de conducta que enfatiza la confidencialidad, la ética y el profesionalismo en todas las interacciones con los usuarios, socios y competidores de Jitterbit. Todos los empleados firman un acuerdo de confidencialidad que protege los datos de los clientes de Jitterbit. Todos los empleados de Jitterbit reciben capacitación y pruebas de seguridad periódicas.

Operaciones de Jitterbit

El equipo de operaciones de Jitterbit es responsable de definir y ejecutar procedimientos para la gestión de lanzamiento de aplicaciones, actualizaciones de hardware y sistema operativo, monitoreo del estado del sistema y otras actividades necesarias para el mantenimiento de Harmony.

Las responsabilidades del equipo incluyen:

  • Revisar la seguridad del diseño e despliegue de la infraestructura en la nube.
  • Desplegar procedimientos que sigan estándares de seguridad, como Cloud Security Alliance (CSA) y Cloud Internet Security (CIS).
  • Definir e desplegar políticas de gestión de identidad y acceso, y procedimientos para asignar identidades únicas y rastreables a cada miembro autorizado del equipo Jitterbit.
  • Definir clasificaciones de confidencialidad de datos que requieran que los empleados que acceden a la información de los clientes de Harmony lo hagan de una manera prescrita que limite la posibilidad de acceso no autorizado.
  • Identificar e desplegar tecnologías que aseguren la información del cliente, incluidas las tecnologías de cifrado de nivel FIPS 140-2 para datos en tránsito y datos en reposo.
  • Realizar evaluaciones técnicas y no técnicas de seguridad de la información basadas en pruebas de penetración, análisis de vulnerabilidad y auditorías frente a regulaciones básicas y códigos de prácticas estándar.
  • Supervisar las aplicaciones y la infraestructura de Harmony para detectar posibles problemas de seguridad.
  • Remediar hallazgos y problemas rápidamente.

Ingeniería de Jitterbit

El equipo de ingeniería de Jitterbit es responsable de diseñar, desarrollar, desplegar y probar los servicios de software que ofrece Harmony. El equipo de ingeniería trabaja en estrecha colaboración con el equipo de operaciones para identificar problemas de seguridad, desarrollar procedimientos de monitoreo e desplegar tecnología de protección. Las responsabilidades de seguridad del equipo de ingeniería incluyen:

  • Definir e desplegar prácticas de diseño y codificación seguras.
  • Realizar revisiones de diseño para identificar posibles problemas de seguridad antes de la codificación.
  • Realizar revisiones de código para identificar código que podría explotarse para otorgar acceso no autorizado a los datos del cliente.
  • Realizar revisiones de código para identificar código que pueda afectar negativamente la disponibilidad.
  • Realizar pruebas de carga en ambientes de preproducción para verificar que se han cumplido los requisitos de disponibilidad.

Control de calidad de Jitterbit

El equipo de control de calidad de Jitterbit es responsable de realizar pruebas de regresión nuevas y existentes en todo el software lanzado por Ingeniería para garantizar que no se introduzcan problemas de seguridad o funcionales con los cambios en el software. El equipo de control de calidad de Jitterbit realiza su función en un ambiente separado que se asemeja mucho a las configuraciones de producción. El equipo de control de calidad de Jitterbit debe aprobar cualquier lanzamiento de software antes de que el equipo de operaciones de Jitterbit pueda desplegar ese software en el ambiente de producción de Harmony.

Sitio de confianza de Harmony

El equipo de operaciones de Jitterbit supervisa la disponibilidad y el estado de seguridad de Harmony las 24 horas del día, los siete días de la semana. Los datos relacionados con dicho seguimiento se publican en el sitio de Jitterbit Trust brindando a los usuarios y al público una visibilidad transparente de nuestras operaciones.

Gestión de identidad y acceso

Control de acceso y privilegios mínimos

La política de gestión de identidad y acceso exige que todo el personal de Jitterbit que tenga acceso a los ambientes de producción de Harmony cuente con identidades únicas y rastreables en forma de ID de usuario. La política de gestión de identidad y acceso aplica el principio del mínimo privilegio, que restringe al personal al nivel mínimo de acceso necesario para completar las tareas asignadas.

Revisión periódica de acceso

Las instancias virtuales, los firewalls, los servidores de bases de datos y otros programas y hardware de infraestructura están protegidos por identidades de usuario a las que se les ha otorgado un conjunto limitado de permisos. El equipo de Operaciones revisa periódicamente las concesiones de permisos y las revoca cuando un empleado deja la empresa. El equipo de Operaciones aplica una política de contraseñas en todos los ambientes de producción de Harmony que exige contraseñas seguras, vencimiento regular de las contraseñas y restricciones en la reutilización de contraseñas.

Gestión de incidentes

El objetivo de la política de gestión de incidentes de Jitterbit no es solo cerrar incidentes de manera rápida y efectiva, sino también recopilar y distribuir información sobre incidentes para que los procesos se mejoren continuamente y las respuestas futuras estén impulsadas por el conocimiento acumulado.

La gestión de incidentes incluye el diagnóstico inicial, la clasificación, la priorización, la escalada y el cierre. Todos los incidentes que no afectan a los usuarios de Harmony se registran en el sistema de seguimiento de problemas de ingeniería. Todos los problemas que afectan a los usuarios se registran en el sistema de atención al cliente para que se haga un seguimiento de los efectos en los acuerdos de nivel de servicio.

Gestión de parches y alta disponibilidad

Jitterbit refuerza continuamente sus productos a medida que surgen nuevas amenazas a la seguridad. Además, también se refuerza la infraestructura de software que utilizamos.

Para mantener actualizado el software, el equipo de Operaciones trabaja con el equipo de Ingeniería y Control de Calidad siguiendo una política detallada de gestión de parches que abarca el descubrimiento, la prueba y la despliegue de parches de seguridad. La estrategia de infraestructura virtual de AWS y Harmony permite que Harmony siga estando disponible, incluso durante las actualizaciones.

El equipo de Operaciones supervisa activamente los avisos de seguridad de los proveedores y se suscribe a las notificaciones de lanzamiento de nuevos parches.

Gestión de capacidad

Actualmente, Harmony admite miles de usuarios activos que realizan diversos procesos de integración. La plataforma Harmony se desarrolló para escalar de forma dinámica. Los servicios principales que exponen las APIs a nuestras herramientas y usuarios se ejecutan en Apache Tomcat. Nuestros sistemas rastrean la tasa de uso actual y aprovisionan y detienen automáticamente las instancias EC2 según sea necesario.