Agende una demo

Seguridad

PROPÓSITO

Última actualización: 3 de febrero de 2025

Esta sección tiene como objetivo informar al público general sobre las elecciones de tecnologías, prácticas y procedimientos de AKTEK para cumplir con los estándares de la industria en materia de seguridad, cumplimiento y gestión de riesgos.

AKTEK revisa sus políticas anualmente y actualiza la documentación pertinente cuando es necesario.

MEDIDAS DE SEGURIDAD

La siguiente lista de temas no exhaustivos proporciona una categorización general de las medidas de seguridad.

Si bien los estándares y las implementaciones evolucionan, AKTEK mantiene las siguientes prácticas como base contra la cual debe medirse el desarrollo de su producto y sus sistemas de soporte.

 

GESTIÓN DE DATOS

Cifrado

AKTEK utiliza mecanismos de criptografía y cifrado estándar de la industria para realizar el cifrado de tráfico en tránsito y el cifrado de datos en reposo. Las especificaciones, la rotación y el ciclo de vida de las claves de cifrado se mantienen como parte de un servicio de gestión. Esta gestión garantiza que no se produzcan errores humanos en este ecosistema y alivia la necesidad de una gestión manual de las claves.

AKTEK utiliza TLSv1.2 para dar soporte al protocolo HTTPS en la comunicación por internet e intranet con y entre los servicios. Un servicio de gestión de certificados proporciona las claves necesarias y la pila criptográfica de soporte, incluyendo un conjunto de cifrado robusto y protocolos estándar de la industria.

Copia de seguridad

AKTEK mantiene un cronograma para generar copias de seguridad de todas las bases de datos que sustentan su producto y sistemas relacionados. Este cronograma está alineado con el Objetivo de Punto de Recuperación (RPO) del producto..

Los archivos de respaldo resultantes se cifran en un servicio de almacenamiento de objetos que admite el control de versiones y no es accesible para las operaciones diarias. Las copias de seguridad caducadas se eliminan mediante un proceso automatizado que garantiza que no queden archivos residuales.

Se realizan pruebas periódicas para confirmar que las copias de seguridad siguen siendo utilizables y pueden restaurarse con prontitud.

Solicitudes de los interesados

AKTEK implementa una Política de Protección de Datos, cuyo objetivo es proporcionar un marco para atender las consultas de las personas que son objeto de los datos personales en posesión de AKTEK. Esto es para asegurar que AKTEK cumpla con las directrices regulatorias estatales e internacionales.

Por favor, consulte la política para saber qué constituye una solicitud de acceso del interesado, o envíenos un correo electrónico directamente a datacontroller@aktek.io.

SDLC SEGURO

SDLC son las siglas de Ciclo de Vida de Desarrollo de Software..

En AKTEK, implementamos procesos que apoyan el desarrollo y la entrega segura de sistemas de software.

Seguimos la estrategia Shift-Left , que se centra en integrar los requisitos de seguridad desde el principio del desarrollo de una función o programa.

Los requisitos incluyen:

  1. Los desarrolladores siguen técnicas de codificación segura y paradigmas de diseño.
  2. Las nuevas funciones o modificaciones están sujetas a un proceso de gestión de cambios en el que se debe obtener un conjunto de aprobaciones por parte del personal pertinente.
  3. Se realizan pruebas de seguridad automatizadas en cada etapa y se generan los informes respectivos para que sean revisados por los desarrolladores sénior o ingenieros de seguridad cuando sea necesario. Estas pruebas incluyen, entre otras:
    1. SAST - Static Application Security Testing: para garantizar que ningún patrón de diseño o código vulnerable pase a la siguiente etapa.
    2. Escaneo de secretos: para evitar que credenciales o secretos se suban accidentalmente a una base de código.
    3. DAST - Dynamic Application Security Testing: para cubrir escenarios de prueba comunes que constituyen la base de actividades maliciosas.
    4. SCA y SBOMAnálisis de Composición de Software para asegurar que ninguna librería de código abierto en uso viole las políticas de desarrollo de AKTEK, y la Lista de Materiales de Software para mantener un registro de las dependencias que pueda estar usando un programa.
    5. Escaneo de contenedores: para asegurar que un programa termine en un contenedor seguro mediante el escaneo de todos los programas y librerías en dicho contenedor.
  4. Los pipelines deterministas garantizan que la ejecución de un mismo pipeline en las mismas condiciones produzca el mismo resultado cada vez. Esto mantiene la consistencia y asegura que cualquier cambio pueda ser auditado o rastreado hasta su origen.

SEGURIDAD DEL SISTEMA E INFRAESTRUCTURA

AKTEK utiliza imágenes de sistemas operativos oficiales y certificadas para alojar sus sistemas de software.

Esto incluye Amazon Machine Images (AMIs), Ubuntu Server y Red Hat Enterprise Linux (RHEL) .

Dependiendo del caso de uso, el equipo puede operar uno de los sistemas mencionados anteriormente.

La administración del sistema es integral para preparar la infraestructura que entrega los servicios de AKTEK.

Esto comprende medidas para asegurar una distribución específica de Linux manteniendo la flexibilidad para alojar aplicaciones, tales como:

  1. Definición de usuarios del sistema y permisos.
  2. Realización de actualizaciones periódicas y  gestión de parches.
  3. Adhesión a las reglas de los sistemas de Control de Acceso Obligatorio (MAC)  existentes y requisitos de auditoría.
  4. Mantenimiento de un nivel de segregación entre las diversas aplicaciones alojadas en la misma máquina.
  5. Monitoreo de la salud del sistema y garantía de que los recursos no se agoten.

CONTROL DE ACCESO

AKTEK sigue el principio de seguridad de Mínimo Privilegio al implementar procedimientos de control de acceso.

Es decir, a cada entidad, ya sea una persona real o un programa automatizado, solo se le conceden los privilegios necesarios para completar las tareas previstas.

AKTEK utiliza un proveedor de identidad central para permitir que su personal acceda a los sistemas relevantes.

Los ingenieros de AKTEK se adhieren a un procedimiento estándar que define la seguridad de las contraseñas, los requisitos de autenticación de múltiples factores (MFA) y el ciclo de vida de las credenciales permanentes o temporales.

Todo el personal debe utilizar gestores de contraseñas, requisito que es auditado por el software de  gestión de dispositivos móviles (MDM) en uso.

Se mantiene un registro de los accesos concedidos que se revisa mensualmente.

Además, AKTEK utiliza un sistema automatizado para registrar las direcciones IP de sus empleados o contratistas y emplea geolocalización basada en IP para identificar anomalías en los patrones de acceso.

ANÁLISIS DE RED

AKTEK implementa un conjunto de procedimientos para establecer una estrategia de seguridad de red de defensa en profundidad.

La segregación de red, lograda mediante la creación de subredes (subnetting) y tablas de enrutamiento, es un requisito fundamental para alojar cualquier servicio de AKTEK y acceder a él.

Tal medida evita que el tráfico que no está destinado a acceder a un conjunto de recursos llegue a la red equivocada.

Además, los firewalls y las Listas de Control de Acceso (ACL) solo proporcionan permisos explícitos para los protocolos permitidos, mientras deniegan activamente todo el resto del tráfico por defecto.

Esta configuración permite a nuestros ingenieros obtener un control minucioso sobre qué tipo de comunicación está permitida y es aceptada por cada servicio.

AKTEK también emplea un Sistema de Detección de Intrusos (IDS) que escanea los registros de flujo (flow logs) de la red entre varios sectores y observa anomalías.

Los informes de este sistema se envían a un canal dedicado en la plataforma de comunicación de AKTEK, y se notifica al personal responsable para que tome medidas dependiendo de la gravedad del hallazgo.

El equipo de infraestructura mantiene diagramas de red, planos y configuraciones que sirven como la documentación que refleja el diseño de red actual en cualquier momento dado.

GESTIÓN DE TERCEROS

Los proveedores y prestadores de servicios externos son fundamentales para cualquier ciclo de operaciones en un producto basado en SaaS.

AKTEK adopta un enfoque basado en el riesgo al evaluar la necesidad de delegar parte de sus cargas de trabajo a un proveedor u otro.

La gestión de los deberes y responsabilidades entre AKTEK y sus proveedores se rige por una política interna que describe un conjunto de procesos que incluyen, entre otros:

  1. Procedimientos de gestión de inventario de proveedores externos críticos.
  2. Requisitos de seguridad y privacidad del proveedor.
  3. Escenarios de riesgo relevantes asociados con un proveedor específico.

Esta política, una lista de acuerdos firmados con el proveedor y los compromisos del proveedor con los marcos de cumplimiento conocidos a través de atestaciones y certificaciones se revisan al menos anualmente.

Las desviaciones se anotan y se comunican cuando es necesario.

CUMPLIMIENTO

AKTEK cumple con SOC 2 TYPE II e implementa los controles de acuerdo con los estándares establecidos por el Instituto Americano de Contadores Públicos Certificados (AICPA).

GESTIÓN DE RIESGOS

Los equipos que trabajan en AKTEK mantienen un registro de riesgos de acuerdo con las responsabilidades de cada equipo.

Se utiliza una matriz que muestra la probabilidad y el impacto de cada escenario para calcular la puntuación de riesgo de un incidente en particular.

La dirección supervisa los resultados y realiza un seguimiento de las acciones implementadas por los planes de tratamiento de riesgos para cada equipo.

AKTEK utiliza su plataforma de automatización de cumplimiento para actualizar su registro de riesgos y su biblioteca de escenarios relevantes aplicables al negocio.

Los auditores independientes utilizan la misma plataforma para evaluar la eficacia de esta metodología.

CONTINUIDAD DEL NEGOCIO, RECUPERACIÓN ANTE DESASTRES Y RESPUESTA A INCIDENTES

AKTEK define un conjunto de procedimientos en su política de Continuidad del Negocio y Recuperación ante Desastres (BC/DR) que constituyen un marco para manejar incidentes en caso de un desastre y garantizar que se prioricen las funciones marcadas como críticas para el negocio.

Se ha desarrollado un conjunto de documentación relevante que complementa esta política, que incluye, entre otros, lo siguiente:

  1. Formularios de análisis de causa raíz (RCA) para identificar e interpretar la causa de una interrupción.
  2. Registros de incidentes para registrar los incidentes y los detalles que rodean sus circunstancias.

AKTEK también define la estructura del equipo responsable de responder a los incidentes, sus métodos de comunicación y las funciones de cada miembro.

Se han definido Objetivos de Tiempo de Recuperación (RTO) y Objetivos de Punto de Recuperación (RPO) para cada activo, y se realizan pruebas periódicas para verificar que los valores registrados se encuentren dentro de los objetivos establecidos. Además, se realizan ejercicios de simulación , algunos de los cuales pueden involucrar a clientes o usuarios finales dependiendo de los requisitos. Se mantiene un documento que describe cada ejercicio y sus resultados para referencia.

Los diseños de infraestructura de AKTEK implementan alta disponibilidad al requerir que un sistema se aloje en cualquier número impar plural de servidores y tolerancia a fallos al distribuir sus servidores en diferentes áreas geográficas, especialmente en entornos de nube, de acuerdo con los requisitos de gobernanza de datos.

REPORTE DE VULNERABILIDADES

AKTEK realiza <strongescaneos de sistema, escaneos de vulnerabilidades y pruebas de penetración</strong periódicas siguiendo un cronograma que garantiza varios escaneos y al menos una prueba de penetración al año.

Siguiendo los estándares de la industria, AKTEK delega sus actividades de pruebas de penetración en un tercero independiente. El comité de seguridad de AKTEK define el alcance de cada prueba de penetración para cubrir los escenarios críticos que puedan amenazar la postura de seguridad de su producto. Esto se hace mediante la realización de un modelado de amenazas antes del inicio de las pruebas de penetración.

Los escaneos del sistema tienen como objetivo identificar vulnerabilidades en los sistemas que alojan los programas de software de AKTEK. Los hallazgos se remedian de acuerdo con los SLAs que consideran el tipo de hallazgo y su gravedad relevante para el sistema. A cada hallazgo se le asigna una etiqueta de prioridad y un estado que se rastrea en el sistema de gestión de cambios de AKTEK hasta su cierre.

Si bien AKTEK no anuncia un programa público de recompensas por vulnerabilidades, alentamos a todas las partes a enviar sus hallazgos, independientemente del alcance, a nuestro equipo de seguridad e infraestructura para que los revisen en security@aktek.io.

CONTÁCTENOS

Si tiene alguna pregunta, comentario o solicitud con respecto a la Seguridad de AKTEK, póngase en contacto con nosotros en security@aktek.io.