Phrase
Seguridad
Declaración de seguridad de Phrase
Introducción
Esta declaración de seguridad se aplica a los productos, servicios y aplicaciones ofrecidos por Phrase. La protección y fiabilidad de los datos de los clientes es nuestra máxima prioridad. Nuestro sistema de seguridad se basa en los principios de alta resiliencia, transparencia y evaluación de terceros de acuerdo con los estándares de seguridad reconocidos a nivel mundial. Creemos que la arquitectura de Phrase basada en un servicio de nube pública con un modelo de múltiples inquilinos y controles de acceso lógicos proporciona el mejor valor y protección a los datos confidenciales de nuestros clientes, como traducciones, archivos de memoria de traducción, etc.
Certificaciones
Phrase a.s. (anteriormente Memsource a.s.) ha sido certificado para ISO 27001 lo que demuestra que el sistema de gestión de seguridad de la información (ISMS) que hemos introducido se ajusta al estándar ISO. El certificado ISO fue renovado para los años 2020-2023.
Utilizamos Amazon Web Services (AWS) como nuestro proveedor de nube. AWS cumple con una amplia gama de estándares de seguridad, incluyendo SOC 1/ISAE 3402, SOC 2, SOC 3, FISMA, DIACAP y FedRAMP, PCI DSS Nivel 1, ISO 9001, ISO 27001, ISO 27017 e ISO 27018.
Utilizamos un proveedor de pagos de terceros que cumple con PCI DSS y utiliza mecanismos de seguridad adicionales como MasterCard SecureCode, Verified by VISA y SafeKey.
Auditorías y Detección de Vulnerabilidades
Los servicios de Phrase se someten cada año a pruebas de penetración realizadas por terceros. Las pruebas se realizan de acuerdo con el estándar OWASP ASVS.
Operamos un programa de divulgación de vulnerabilidades alojado por terceros que permite a investigadores independientes divulgar de manera responsable cualquier vulnerabilidad que puedan encontrar en nuestras aplicaciones y servicios.
Utilizamos un servicio de terceros para escaneos automáticos de vulnerabilidades mensuales.
Nuestro sistema de gestión de seguridad de la información está sujeto a auditorías internas anuales y auditorías de terceros que verifican nuestro cumplimiento con el estándar ISO 27001.
Control de Datos
Los datos en tu cuenta de Phrase están protegidos. Solo los usuarios a los que has proporcionado derechos de usuario apropiados tienen acceso a tu contenido. En lugar de enviar datos por correo electrónico, los usuarios acceden a los datos tras la autenticación en Phrase (ver Control de Acceso) y todas las acciones de los usuarios se registran.<5>
Todos los datos almacenados están cifrados utilizando Linux LUKS (aes-xts-plain64:sha256) o cifrado de AWS (AES256).<6>
Centros de datos y ubicaciones
El servicio Phrase está alojado en la plataforma Amazon Web Services (AWS). Los servidores físicos están ubicados en centros de datos de AWS. El contenido del usuario también se puede encontrar en copias de seguridad, almacenadas en AWS S3.
Entorno de Producción<1>
Mantenemos entornos de desarrollo, QA, pre-producción y producción separados y distintos.<1>
Para acceder al entorno de producción de Phrase, los miembros autorizados y capacitados del equipo de ingeniería de Phrase utilizan VPN y se autentican usando contraseñas fuertes únicas y 2FA.<2>
Gestión de cambios
Phrase utiliza un proceso formalizado de gestión de cambios de TI diseñado para asegurar que los cambios estén autorizados y funcionen como se espera.<1>
El sistema de gestión de cambios en Phrase sigue estos principios:<2>
- Todo el desarrollo de software sigue las mejores prácticas documentadas en las políticas de Phrase y la documentación de componentes particulares.<1>
- Todos los cambios están documentados y aprobados por el team lead correspondiente.<1>
- Todos los cambios se prueban en los entornos de QA y preproducción antes de ser implementados en el entorno de producción. Los cambios se aprueban solo si cumplen con criterios predeterminados. Los entornos de desarrollo y QA utilizan datos de prueba y no incluyen datos reales de cliente.
- Todos los cambios que afectan las medidas de seguridad aplicadas o el perfil de riesgo del servicio Phrase son evaluados por el equipo de seguridad de la información de Phrase.<1>
- En caso de un cambio grave, se realizan pruebas de penetración y/o pruebas de vulnerabilidad.<1>
Control de Acceso<1>
La gestión de acceso en Phrase está guiada por los siguientes principios:<1>
Principio de Mínimos Privilegios
Los privilegios de acceso para cualquier usuario deben limitarse a los recursos absolutamente esenciales para la realización de las tareas o funciones asignadas, y nada más.
Principio de Segregación de Funciones
Siempre que sea práctico, ninguna persona debe ser responsable de completar o controlar una tarea, o un conjunto de tareas, de principio a fin cuando implique el potencial de fraude, abuso u otro daño.
Perfiles personalizados
Siempre que sea posible, los perfiles de usuario son personalizados, es decir, vinculados a la identidad de un usuario específico.
Identidad única
Siempre que sea posible, los perfiles de usuario usan un único proveedor de autenticación (como Google ID) y credenciales únicas. La autenticación multifactor está habilitada cuando es compatible con el proveedor de autenticación.
Responsabilidad del usuario
El usuario es responsable de la protección de los medios de autenticación (nombre de usuario, contraseña, medios de autenticación multifactor) y de todas las acciones realizadas bajo su perfil. El administrador del sistema / aplicación de TI es responsable del uso y protección de los perfiles técnicos.
Registro de eventos
Almacenamos registros relacionados con eventos del sistema y de aplicaciones, así como con cualquier actividad del usuario en su cuenta de Phrase.<1> Tenemos gestión de registros centralizada en forma de un servicio de terceros.
Los registros de auditoría relacionados con el uso de la plataforma por parte de un cliente están disponibles para los ingenieros de Phrase y pueden proporcionarse a petición.
El historial de inicio de sesión (incluyendo dirección IP, país e identificación del agente de usuario) está disponible para cada usuario y accesible a través de la interfaz de usuario.
Comunicación Cifrada
Toda la comunicación está cifrada por defecto.<1> Esto incluye la comunicación entre los servidores de Phrase y el navegador web del usuario, el CAT Desktop Editor de Phrase y la aplicación móvil.
Phrase utiliza cifrado estándar de la industria para datos en tránsito. Están cifrados por TLS 1.2. La identidad de la conexión a Phrase es verificada por una autoridad de certificación segura.
Redundancia y Copias de Seguridad
La arquitectura redundante proporciona un alto tiempo de actividad del servicio. Todos los datos se mantienen en varias instancias de base de datos redundantes. Todos los datos se respaldan mediante copias de seguridad incrementales casi en tiempo real, así como copias de seguridad completas diarias en un almacenamiento altamente duradero alojado en AWS S3. Las copias de seguridad están cifradas utilizando Linux LUKS (aes-xts-plain64:sha256) o cifrado de AWS (AES256).
Recuperación ante Desastres y Respuesta a Incidentes
Aplicamos políticas de recuperación ante desastres y respuesta a incidentes que facilitan reacciones oportunas y efectivas a los incidentes. Esto nos ayuda en nuestros esfuerzos para mantener alta disponibilidad del servicio, y para recuperarnos rápidamente de eventos de desastre con una pérdida mínima de datos. El rendimiento de nuestra recuperación ante desastres se mide por el Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO).
RTO es la duración de tiempo objetivo en la que un proceso empresarial debe ser restaurado después de un desastre (o interrupción) para evitar consecuencias inaceptables asociadas con una ruptura en la continuidad del negocio. Phrase demostró en pruebas alcanzar un RTO de 8 horas para todos los componentes de su servicio.
RPO es la cantidad máxima aceptable de pérdida de datos medida en tiempo. Es la antigüedad de los archivos o datos en el almacenamiento de copias de seguridad requeridos para reanudar las operaciones normales si ocurre una falla en el sistema informático o en la red. RPO cubre incidentes que requieren la recuperación completa de todas las instancias de base de datos. En caso de que solo una instancia de base de datos se vea afectada por el incidente, el entorno de producción cambia sin problemas a otra instancia. Phrase alcanza un RPO de 4 horas incluso en caso de una falla catastrófica.
Seguridad Física
Aunque la mayoría de los activos de Phrase están basados en la nube, la política de la empresa garantiza la protección de las instalaciones físicas así como de los activos de información almacenados aquí.
Nuestras instalaciones están protegidas por un servicio de seguridad que está presente las 24 horas, los 7 días de la semana. La entrada al edificio está monitoreada por cámaras de CCTV. La seguridad controla todos los puntos de acceso al edificio, incluidas las puertas de emergencia.
En general, las instalaciones de Phrase son accesibles solo para empleados de Phrase y contratistas a largo plazo. Estas personas son titulares de identificadores únicos (token) que otorgan acceso al área de oficinas generales, excluyendo áreas restringidas.
Los visitantes son registrados en la recepción que opera las 24 horas, los 7 días de la semana. Según su registro, solo se les concede acceso al área del ascensor. Para acceder a las instalaciones de Phrase, deben estar acompañados en todo momento por un empleado de Phrase. Todos los empleados de Phrase son responsables de mantener a sus visitantes acompañados en todo momento durante su visita y no otorgarles ningún acceso innecesario a los activos de información pertenecientes a Phrase.
Las copias impresas de información clasificada solo pueden almacenarse en armarios bloqueados ubicados en la oficina de Phrase. El acceso a esos documentos se otorga solo a empleados que lo requieran para el desempeño de sus funciones.
Los activos de TI clasificados se almacenan en la sala del servidor. El acceso a la sala del servidor solo se concede tras la confirmación de un empleado designado de Phrase. Los activos de información de Phrase se almacenan por separado del equipo de otros inquilinos en racks bloqueados.
Políticas para empleados
El personal de Phrase está obligado a actuar conforme a la legislación, las normas y los procedimientos descritos en este y en otros documentos de políticas relacionados. Son responsables de la seguridad de los activos que Phrase les confía. Cualquier conducta indebida o violación de las obligaciones mencionadas anteriormente puede llevar a medidas disciplinarias de acuerdo con la legislación laboral aplicable.
Se ha instalado en todos los ordenadores una solución antimalware gestionada centralmente y actualizada automáticamente. Todos los dispositivos tienen habilitado el cifrado de disco completo y están protegidos por una contraseña fuerte y/o biometría. Los usuarios de Phrase deben seguir estas políticas incluso cuando usen sus propios dispositivos. La política de escritorio limpio establece reglas para asegurar los dispositivos cuando no están atendidos y para almacenar de forma segura la información interna y clasificada únicamente en las áreas protegidas designadas.
Los usuarios deben crear contraseñas únicas, complejas y no fácilmente adivinables para todas las cuentas relacionadas con el trabajo. El acceso remoto a la red interna de Phrase solo es posible a través de una VPN gestionada por la empresa.
Todos los empleados y contratistas potenciales de Phrase están sujetos a verificaciones de antecedentes de acuerdo con la legislación de privacidad. La capacitación en concienciación sobre seguridad es parte de nuestro proceso de incorporación y se repite anualmente. Todos los empleados y contratistas están sujetos a compromisos de confidencialidad como parte de sus acuerdos contractuales.
Programa de recompensas por errores
¿Has encontrado una vulnerabilidad de seguridad en nuestro producto? Puedes enviarlo a nuestro programa de recompensas por errores y recibir una recompensa. Nuestra recompensa por errores es gestionada por Intigriti (enlace a Intigriti.com) y debes ser un investigador verificado para participar. Por favor, envíanos un correo electrónico con la descripción de la vulnerabilidad que encontraste y tu nombre de usuario de Intigriti a security@phrase.com y nos aseguraremos de que seas invitado.