SECURITY

En Eskuad, nos importa la seguridad.

Sabemos que somos parte de tus herramientas críticas para la misión, por eso nos preocupamos por la ciberseguridad.

Consulta nuestro informe de confianza Revisa el estado de nuestro servicio

Proteger la privacidad y la seguridad de los datos es una prioridad fundamental para Eskuad. Evaluamos regularmente nuestras políticas y prácticas para mejorar la seguridad y mantenernos actualizados con las últimas tendencias de la industria.

Esta página está diseñada para proporcionar a los lectores técnicos, como los Directores de Información (CIO) o los Directores de Tecnología (CTO), mayor claridad y detalles específicos sobre nuestros compromisos de seguridad. Aunque este documento está dirigido a expertos en tecnología que suelen desempeñar un papel clave en la evaluación de nuestras políticas, reconocemos que la seguridad de los datos es de gran importancia para todos nuestros clientes.

Si tienes preguntas sobre seguridad o privacidad, por favor contacta a nuestro equipo en support@eskuad.com.

Seguridad de la Infraestructura

Cifrado en Reposo y en Tránsito

El acceso al servicio de Eskuad se realiza mediante conexiones encriptadas (HTTP sobre TLS, también conocido como HTTPS), lo que cifra todos los datos antes de salir de los servidores del servicio de Eskuad y protege esos datos mientras transitan por internet. Todos los datos en tránsito, incluidas las comunicaciones con AWS Event Bridge, API Gateway y MongoDB Atlas, están asegurados mediante SSL. Los servicios están alojados en Amazon Web Services (AWS) y, en un principio, son atendidos desde el AWS Application Load Balancer (ALB). Utilizamos HTTP Strict Transport Security para garantizar que las páginas se carguen mediante conexiones HTTPS.

Los datos se almacenan en nuestro proveedor de servicios, AWS, y se cifran en reposo utilizando algoritmos de cifrado modernos. En AWS S3, empleamos AES-256 con claves administradas por AWS. Para MongoDB Atlas, se utiliza el servicio de gestión de claves de AWS (KMS) para el cifrado en reposo. Además, los volúmenes de AWS Elastic Block Store (EBS) adjuntos a los nodos de trabajo de Kubernetes también están cifrados en reposo. Para la protección de configuraciones sensibles, utilizamos AWS Secrets Manager para gestionar configuraciones críticas, como claves API, URLs de bases de datos, etc., asegurando el uso de SecureStrings para secretos adecuados.

Todas las llamadas API hacia y desde los servicios se realizan a través de HTTPS SSL, asegurando que los datos en tránsito estén encriptados y sean seguros. El tráfico entre AKS y MongoDB Atlas también está forzado en SSL, protegiendo las comunicaciones de datos entre los clústeres de Kubernetes y la base de datos.

Seguridad de la Red

Los servicios de Eskuad utilizan AWS para alojar la infraestructura, aprovechando las rigurosas evaluaciones de seguridad continuas realizadas por firmas de auditoría externa para garantizar el cumplimiento de estándares de seguridad, incluidos ISO 27001, SOC 2, PCI DSS Nivel 1 y FISMA. La infraestructura alojada en AWS reside en una Virtual Private Cloud (VPC) diseñada para garantizar que solo el tráfico autorizado a través de puertos aprobados sea permitido. Se emplean Network Access Control Lists (NACL) y EC2 Security Groups como una capa adicional de seguridad de red. El clúster de Kubernetes en producción cuenta con reglas que permiten la comunicación entre cada nodo dentro de la VPC de AWS, utilizando una combinación de Internet Gateway y NAT Gateway para exponer los servicios requeridos a nuestros clientes.

Los servicios de Eskuad emplean una arquitectura de red segregada dentro de AWS, donde los componentes críticos residen en una subred privada, aumentando la seguridad del sistema. Estos componentes incluyen Kubernetes gestionado por AWS AKS en EC2, un balanceador de carga interno entre nodos de control y nodos de trabajo, y AWS Elasticache. El diseño de la subred privada restringe el acceso directo a internet, reduciendo la exposición a amenazas externas. El NAT Gateway actúa como la única vía para el acceso a internet saliente desde estas subredes privadas, mejorando la seguridad al controlar el tráfico que sale del entorno.

Gestión de Parches

  • Eskuad utiliza procesos automatizados para instalar regularmente actualizaciones de seguridad en la infraestructura que respalda sus servicios. Estos procesos incluyen:

  • Servicios Gestionados por AWS: Estos servicios ofrecen características de gestión de parches automatizada, configurables para aplicar actualizaciones dentro de ventanas de mantenimiento específicas. Nuestro equipo de ingeniería garantiza que estas configuraciones se establezcan para mantener un alto nivel de seguridad y que las actualizaciones se apliquen de manera oportuna.

  • AWS EC2: Todas las instancias de EC2 son monitoreadas y se aplican actualizaciones rápidamente para asegurar que los últimos parches de seguridad estén instalados.
    Escaneo de Imágenes Docker: Utilizamos AWS ECR (Elastic Container Registry) como nuestro registro de contenedores Docker, con la función de "escanear al cargar" habilitada para detectar vulnerabilidades en las imágenes Docker.

  • Aplicación Eskuad: La aplicación es monitoreada en busca de vulnerabilidades y se actualiza oportunamente para garantizar su seguridad.

Respaldo y Control de Disponibilidad

Eskuad cuenta con capacidades de respaldo y recuperación de datos para garantizar la restauración oportuna de los servicios, con pérdida mínima de datos, en caso de una falla catastrófica. Las medidas específicas incluyen:

MongoDB Atlas: Los respaldos automáticos están habilitados y se realizan semanalmente, con un período de retención de dos semanas.
Configuraciones de Infraestructura: Los snapshots de configuraciones clave como AWS ALB, NAT Gateway e Internet Gateway se toman mensualmente, con un período de retención de 30 días.
Planes de Recuperación ante Desastres: Incluyen el despliegue del clúster de producción en otra región de AWS si la zona de disponibilidad que hospeda el clúster EKS o cualquier otro componente crítico no está disponible.
En el caso de AWS S3, la versión de objetos está habilitada en los buckets críticos para garantizar que todas las versiones de un objeto sean preservadas. Esto protege contra eliminaciones y actualizaciones no intencionadas, mejorando la durabilidad y protección de los datos, y permitiendo una recuperación fácil en caso de eliminación accidental o sobrescritura de versiones.

Además, los respaldos de configuración y estado del Kong API Gateway dentro del entorno EKS se realizan mensualmente.

Seguridad Física

Control de Acceso Virtual

Las medidas para prevenir el acceso no autorizado a los sistemas de procesamiento de datos incluyen:

  • Procedimientos de Identificación y Autenticación de Usuarios: Implementación de procedimientos sólidos de identificación y autenticación de usuarios para garantizar que solo las personas autorizadas puedan acceder al sistema.
  • Procedimientos de Seguridad de ID/Contraseña: Aplicación de políticas de contraseñas fuertes, como requerir una longitud mínima de contraseña, el uso de caracteres especiales y rotaciones regulares de contraseñas para mantener un alto nivel de seguridad.
  • Cifrado de Medios de Datos Archivados: Asegurar que cualquier dato almacenado o archivado esté cifrado utilizando algoritmos de cifrado robustos para prevenir el acceso o divulgación no autorizados.

Control de Acceso a los Datos

El acceso a la infraestructura de los servicios de Eskuad está altamente restringido, limitándose a individuos como ingenieros, científicos de datos, gerentes de producto y personal de soporte que necesitan acceso para realizar sus tareas. Todo el acceso a la infraestructura se registra y requiere el uso de contraseñas fuertes y autenticación multifactor. Se han implementado esquemas de control de acceso diferenciados y autorización, con monitoreo y registro de accesos. Los roles se alinean con las responsabilidades, y las políticas IAM detalladas otorgan permisos para garantizar el acceso con el principio de privilegio mínimo a los recursos de AWS. Además, MongoDB Atlas está asegurado mediante lista blanca de IP y Control de Acceso Basado en Roles (RBAC) para garantizar que solo el personal autorizado pueda acceder a la base de datos.

Las medidas técnicas y organizacionales para asegurar que las personas autorizadas para usar un sistema de procesamiento de datos solo accedan a los datos de acuerdo con sus derechos de acceso, y que los datos no puedan ser leídos, copiados, modificados o eliminados sin autorización, incluyen:

  • Políticas y procedimientos internos
  • Esquemas de autorización de control
  • Derechos de acceso diferenciados (perfiles, roles, transacciones y objetos)
  • Monitoreo y registro de accesos
  • Acciones disciplinarias contra empleados que accedan a información personal sin autorización
  • Informes de acceso
  • Procedimiento de acceso
  • Procedimiento de cambios
  • Procedimiento de eliminación

Control de Divulgación

Las medidas técnicas y organizacionales aseguran que los datos de los clientes no puedan ser leídos, copiados, modificados o eliminados sin autorización durante la transmisión electrónica, transporte o almacenamiento. Estas medidas incluyen:

  • Cifrado/Túneles
  • Registro (Logging)
  • Seguridad en el Transporte

Control de Entrada

Las medidas para monitorear si los datos del cliente han sido ingresados, modificados o eliminados, y por quién, en los sistemas de procesamiento de datos incluyen:

  • Sistemas de registro e informes.
  • Rastro de auditoría y documentación.