Saltar al contenido

Seguridad organizacional de Jitterbit Harmony

Introducción

Jitterbit aplica las mejores prácticas operativas de los principales proveedores de computación en la nube en todo el mundo. Esto incluye:

Confidencialidad

Las medidas de confidencialidad de Harmony trabajan para proteger los datos sensibles de los clientes contra el acceso no autorizado. Además de las capas de seguridad física y lógica proporcionadas por nuestro software e infraestructura física, nuestras políticas internas dictan:

  • Separación de funciones: El acceso al sistema de producción de Harmony está disponible solo para el equipo de Operaciones de Jitterbit. Cualquier cambio en el entorno de producción debe ser aplicado por el equipo de Operaciones de Jitterbit.
  • Mínimo necesario y menor privilegio: Dentro del equipo de Operaciones de Jitterbit, el acceso está restringido a los diversos servicios de Jitterbit según sea necesario. El equipo sabe qué empleado tiene acceso a qué recurso de producción de Harmony en cualquier momento y puede revocar ese acceso según sea necesario.

Política de personal

La política de personal de Jitterbit está diseñada para mantener un alto nivel de confiabilidad de los empleados y para mantener a los empleados informados sobre aspectos clave de la seguridad de la información y la privacidad. Los empleados deben cumplir con un código de conducta que enfatiza la confidencialidad, la ética y el profesionalismo en todas las interacciones con los usuarios, socios y competidores de Jitterbit. Todos los empleados firman un acuerdo de confidencialidad que protege los datos de los clientes de Jitterbit. Todos los empleados de Jitterbit reciben capacitación y pruebas de seguridad regulares que son aprobadas por un auditor externo.

Pruebas de penetración

Las pruebas de penetración son realizadas por un auditor externo de manera regular. Las pruebas se realizan en tres niveles: aplicación, producto y red. Los resultados de las pruebas de penetración están disponibles bajo solicitud a través de nuestro Centro de Seguridad.

OWASP checks

Jitterbit realiza verificaciones regulares recomendadas por el Open Web Application Security Project (OWASP). Cualquier vulnerabilidad identificada se prioriza para mejorar la seguridad de la aplicación y reducir el riesgo de brechas.

Secure SDLC

Las prácticas de seguridad se integran en cada fase del ciclo de vida del desarrollo de software (SDLC) para identificar y mitigar vulnerabilidades de seguridad lo antes posible. Los equipos de Operaciones, Ingeniería y QA de Jitterbit son responsables de diferentes aspectos de la seguridad durante el ciclo de vida.

Jitterbit Operations

El equipo de Operaciones de Jitterbit es responsable de definir y ejecutar procedimientos para la gestión de lanzamientos de aplicaciones, actualizaciones de hardware y sistemas operativos, monitoreo de la salud del sistema y otras actividades requeridas para el mantenimiento de Harmony.

Las responsabilidades del equipo incluyen:

  • Revisar la seguridad del diseño e implementación de la infraestructura en la nube.
  • Implementar procedimientos que sigan estándares de seguridad, como Cloud Security Alliance (CSA) y Cloud Internet Security (CIS).
  • Definir e implementar políticas de gestión de identidad y acceso, y procedimientos para asignar identidades únicas y rastreables a cada miembro autorizado del equipo de Jitterbit.
  • Definir clasificaciones de confidencialidad de datos que requieran que los empleados que acceden a la información del cliente de Harmony lo hagan de una manera prescrita que limite la posibilidad de acceso no autorizado.
  • Identificar e implementar tecnologías que aseguren la información del cliente, incluyendo tecnologías de cifrado de nivel FIPS 140-2 para datos en tránsito y datos en reposo.
  • Realizar evaluaciones de seguridad de la información técnicas y no técnicas (evaluaciones) que se basen en pruebas de penetración, escaneos de vulnerabilidades y auditorías contra regulaciones fundamentales y códigos de práctica estándar.
  • Monitorear las aplicaciones e infraestructura de Harmony en busca de posibles problemas de seguridad.
  • Remediar hallazgos y problemas rápidamente.

Jitterbit Engineering

El equipo de Ingeniería de Jitterbit es responsable de diseñar, desarrollar, implementar y probar los servicios de software proporcionados por Harmony. El equipo de Ingeniería trabaja en estrecha colaboración con el equipo de Operaciones para identificar preocupaciones de seguridad, desarrollar procedimientos de monitoreo e implementar tecnología de protección. Las responsabilidades de seguridad del equipo de Ingeniería incluyen:

  • Definir e implementar prácticas de diseño y codificación seguras.
  • Realizar revisiones de diseño para identificar posibles preocupaciones de seguridad antes de la codificación.
  • Realizar revisiones de código para identificar código que podría ser explotado para otorgar acceso no autorizado a los datos de los clientes.
  • Realizar revisiones de código para identificar código que podría afectar negativamente la disponibilidad.
  • Realizar pruebas de carga en entornos de preproducción para verificar que se han cumplido los requisitos de disponibilidad.

Jitterbit QA

El equipo de QA de Jitterbit es responsable de llevar a cabo nuevas pruebas de regresión y pruebas existentes en todo el software lanzado por Ingeniería para asegurar que no se introduzcan problemas de seguridad o funcionales con los cambios en el software. El equipo de QA de Jitterbit realiza su función en un entorno separado que se asemeja estrechamente a las configuraciones de producción. El equipo de QA de Jitterbit debe aprobar cualquier lanzamiento de software antes de que el equipo de Operaciones de Jitterbit pueda desplegar ese software en el entorno de producción de Harmony.

FIPS 140-2 auth

Jitterbit cumple con los requisitos de autenticación de FIPS 140-2.

Single sign-on

Los empleados de Jitterbit utilizan el inicio de sesión único (SSO) para autenticarse con los sistemas internos de Jitterbit.

E2E encryption

Todo el tráfico interno de Jitterbit utiliza cifrado de extremo a extremo (E2E) para garantizar que solo los destinatarios previstos puedan acceder a los datos que se están transmitiendo.

Jitterbit status site

La disponibilidad y los estados de seguridad de Harmony son monitoreados las 24 horas del día, los siete días de la semana por el equipo de Operaciones de Jitterbit. Los datos relacionados con dicho monitoreo se publican en el sitio de estado de Jitterbit brindando a los usuarios y al público una visibilidad transparente de nuestras operaciones.

Gestión de identidad y acceso

Control de acceso y mínimo privilegio

La política de gestión de identidad y acceso requiere que todo el personal de Jitterbit que tenga acceso a los entornos de producción de Harmony sea provisto con identidades únicas y rastreables en forma de un ID de usuario. La política de gestión de identidad y acceso aplica el principio de mínimo privilegio, que restringe al personal al nivel mínimo de acceso necesario para completar sus tareas asignadas.

Revisión periódica de acceso

Las instancias virtuales, cortafuegos, servidores de bases de datos y otro software y hardware de infraestructura están protegidos por identidades de usuario que han recibido un conjunto limitado de permisos. Las concesiones de permisos son revisadas regularmente por el equipo de Operaciones y revocadas cuando un empleado deja la empresa. El equipo de Operaciones aplica una política de contraseñas en todos los entornos de producción de Harmony que requiere contraseñas fuertes, expiración regular de contraseñas y restricciones en la reutilización de contraseñas.

Gestión de incidentes

El objetivo de la política de gestión de incidentes de Jitterbit no es solo cerrar incidentes de manera rápida y efectiva, sino también recopilar y distribuir información sobre incidentes para que los procesos se mejoren continuamente y las respuestas futuras se basen en el conocimiento acumulado.

La gestión de incidentes incluye diagnóstico inicial, clasificación, priorización, escalamiento y cierre. Todos los incidentes que no afectan a los usuarios de Harmony se registran en el sistema de seguimiento de problemas de ingeniería. Cualquier problema que afecte a los usuarios se registra en el sistema de Soporte al Cliente para que se rastreen los efectos en los SLA.

Los detalles de las políticas de gestión de incidentes de Jitterbit están disponibles en nuestro Centro de Seguridad de autoservicio.

Gestión de parches y alta disponibilidad

Jitterbit está fortaleciendo continuamente sus productos a medida que surgen nuevas amenazas a la seguridad. Además, la infraestructura de software que utilizamos también está siendo fortalecida.

Para mantener el software actualizado, el equipo de Operaciones trabaja con el equipo de Ingeniería y QA siguiendo una política detallada de gestión de parches que cubre el descubrimiento, la prueba y el despliegue de parches de seguridad. El proveedor de la nube y la estrategia de infraestructura virtual de Harmony permiten que Harmony permanezca disponible, incluso durante las actualizaciones.

El equipo de Operaciones monitorea activamente los avisos de seguridad de los proveedores y se suscribe a las notificaciones de nuevos lanzamientos de parches.

Gestión de capacidad

Harmony actualmente admite miles de usuarios activos que realizan varios procesos de integración. La plataforma Harmony ha sido desarrollada para escalar dinámicamente. Los servicios centrales que exponen APIs a nuestras herramientas y usuarios se ejecutan en Apache Tomcat. Nuestros sistemas rastrean la tasa de uso actual y aprovisionan y detienen automáticamente las instancias de EC2 según sea necesario.