Centro de Ayuda
Conectarse
Conectarse

¿Cómo podemos ayudarle?

Temas comunes:

AI, Tickets, Agents
Centro de ayuda
In this Article:
    1. Atera Support
    2. Biblioteca
    3. Avisos especiales

    Seguridad en Atera

    Dragos Gabriel Tulbure

    La sólida seguridad integrada de Atera está en el centro de todo lo que hacemos, por lo que puede estar seguro de que sus datos siempre están seguros y protegidos.

     

    CUMPLIMIENTO

    Atera ha logrado las conformidades ISO/IEC 27001, 27017, 27018 y 27032.

     

    ISO/IEC 27001:2013

    ISO 27001 es un estándar de seguridad de la información publicado originalmente en 2005 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). En septiembre de 2013, se publicó la ISO 27001:2013, que reemplaza al estándar original de 2005. ISO 27001 es un enfoque basado en estándares, reconocido a nivel mundial, para la seguridad que describe los requisitos para el sistema de gestión de seguridad de la información (SGSI) de una organización.

     

    ISO/IEC 27017:2015

    ISO 27017 es un estándar de seguridad desarrollado para proveedores y usuarios de servicios en la nube para crear un entorno basado en la nube más seguro y reducir el riesgo de problemas de seguridad.

     

    ISO/IEC 27018:2019

    ISO 27018 es el primer estándar internacional creado específicamente para la privacidad de los datos en la computación en la nube. Su principal objetivo, según la Organización Internacional de Normalización (ISO), es establecer “objetivos de control, controles y directrices comúnmente aceptados para implementar medidas para proteger la Información de Identificación Personal (PII).”

     

    ISO/IEC 27032:2012

    ISO 27032 es un estándar internacional que proporciona orientación para mejorar el estado de la Ciberseguridad, destacando los aspectos únicos de esa actividad y sus dependencias con otros dominios de seguridad, en particular: seguridad de la información, seguridad de la red, seguridad de internet y protección de la infraestructura crítica de información (CIIP).

    Haga clic aquí para descargar las certificaciones.

     

    SOC 2 Tipo 2

    Atera está acreditada con SOC 2 Tipo 2. Esta certificación implica una rigurosa evaluación de la efectividad operativa de nuestros controles durante un período prolongado, asegurando que nuestro compromiso con la seguridad de los datos no sea meramente teórico, sino que se mantenga consistentemente. Esta acreditación refleja el enfoque proactivo de Atera para cumplir y superar los estándares reconocidos por la industria, proporcionando a nuestros clientes la confianza de que su información sensible se maneja con el máximo cuidado y cumplimiento.

     

    HIPAA

    La Ley de Portabilidad y Responsabilidad de Seguros de Salud establece el estándar para proteger los datos sensibles de los pacientes.
    Atera ha recibido su Sello de Cumplimiento HIPAA. Esta verificación valida el “esfuerzo de buena fe” de Atera para cumplir con la ley y regulaciones HIPAA y es un testimonio de nuestra dedicación a mantener los más altos estándares de seguridad y privacidad.
    Haga clic aquí para descargar el Certificado del Sello de Cumplimiento HIPAA de Atera.
    Si es cliente del Plan Enterprise o Superpower y necesita un BAA firmado, envíe una solicitud a success@atera.com y nuestro BAA se le enviará para su firma.
    Para recibir la Carta del Sello de Cumplimiento, envíe una solicitud a success@atera.com.

     

    Programa de Gestión de Riesgos y Autorización de Texas (TX-RAMP)

    Atera ha recibido la certificación de Nivel 2 del Programa de Gestión de Riesgos y Autorización de Texas (TX-RAMP). El Programa de Gestión de Riesgos y Autorización de Texas proporciona un enfoque estandarizado para la evaluación de seguridad, certificación y monitoreo continuo de los servicios de computación en la nube que procesan los datos de las agencias estatales de Texas.
    Haga clic aquí para descargar la certificación.

     

    PCI-DSS

    Los servicios de suscripción de Atera están fuera del alcance de PCI-DSS porque no procesamos datos de tarjetas en nombre de nuestros clientes.

     

    SEGURIDAD DEL PRODUCTO

    Registros de auditoría

    Atera mantiene registros administrativos así como registros para el establecimiento y modificaciones de cuentas, incluyendo la adición o eliminación de usuarios, segmentos, fuentes y destinos.

    Los clientes de Atera pueden obtener registros de asuntos internos de Atera relacionados con cambios internos en el estado de sus respectivas cuentas de Atera. Los cambios comunes son Operaciones CRUD (Crear, Actualizar, Eliminar) de Cuentas, Usuario Administrador, etc.

     

    Autenticación multifactor

    Atera facilita la adición de autenticación multifactor al proceso de inicio de sesión de su cuenta de Atera para reforzar la seguridad de la cuenta.

     

    Control de acceso basado en roles (RBAC)

    Los administradores de cuentas de clientes pueden agregar y eliminar fácilmente usuarios de cuentas. Atera tiene varios roles de usuario definidos con permisos respectivos.

     

    Transmisión y sesiones seguras

    La conexión al entorno de Atera se realiza a través de protocolos criptográficos SSL/TLS, utilizando certificados de aumento global, asegurando que nuestros usuarios tengan una conexión segura desde sus navegadores a nuestro servicio.

    Las sesiones de usuario individuales se identifican y vuelven a verificar con cada transacción, utilizando un token único creado al iniciar sesión.

     

    Restricciones de IP de inicio de sesión en Atera

    Rangos de IP de la lista de acceso limitan el acceso no autorizado al requerir que los usuarios inicien sesión en Atera desde direcciones IP designadas, típicamente la red de su empresa, redes de clientes designadas o VPN. Al usar Rangos de IP de inicio de sesión, los administradores pueden definir un rango de direcciones IP permitidas para controlar el acceso a Atera. Aquellos que intenten iniciar sesión en Atera desde fuera de las direcciones IP designadas no tendrán acceso.

     

    Seguridad del Agente

    Una vez que se despliega un Agente, se le asigna una Clave única. Esta clave se utiliza para fines de autenticación. Todas las comunicaciones entre los Agentes y la Nube de Atera se verifican con esta Clave única y se realizan a través de capa de sockets seguros/seguridad de la capa de transporte (SSL/TLS).

     

    Túnel de Control Remoto

    Al usar la herramienta de Control Remoto de Atera, se crea un túnel virtual entre el usuario de Atera y la computadora objetivo. Todos los datos transferidos entre el Usuario y el Agente están encriptados. Tanto el Usuario de Atera como el Agente se conectan solo a través del puerto TCP 443.

     

    SEGURIDAD DE DATOS

    Datos encriptados en reposo

    Los datos se encriptan en reposo utilizando AES-256.

     

    Datos encriptados en tránsito

    Encriptamos los datos en tránsito utilizando HTTPS/TLS. La versión de TLS soportada actualmente es TLS 1.2 o más reciente.

     

    Encriptación de contraseñas

    Las contraseñas de las cuentas de los usuarios están encriptadas y se les aplica un hash con un algoritmo SHA 256.

     

    PRIVACIDAD

    Política de Privacidad

    La Política de Privacidad de Atera describe cómo recopilamos, usamos y manejamos la información personal cuando utilizas nuestra plataforma, sitio(s) web, aplicación(es), software de análisis de datos y otros servicios.

    Visita nuestra política de privacidad aquí.

     

    IA RESPONSABLE

    Atera está comprometida con la protección de la confianza y privacidad de nuestros clientes y con el desarrollo responsable de nuestra solución de IA.

    Tus entradas, salidas, incrustaciones y contenido de la base de conocimiento (KB) son inaccesibles para otros clientes, y no se utilizan para entrenar los algoritmos de IA de Atera o Azure OpenAI ni de ningún producto de Microsoft o de terceros. Consulta nuestros principios de IA Responsable aquí.

     

    GDPR

    Atera está comprometida con tu privacidad y, cuando sea aplicable, se adhiere a las Regulaciones Generales de Protección de Datos de la UE conocidas como GDPR. Para más información sobre Atera y GDPR, consulta nuestro aviso de concienciación sobre GDPR en https://www.atera.com/gdpr-awareness-notice/

     

    Anexo de procesamiento de datos

    Abordamos el procesamiento de datos en los términos de nuestro acuerdo de servicio y ofrecemos un anexo de procesamiento de datos a nuestros clientes.

    Para solicitar un DPA, por favor contacta: success@atera.com

     

    Solicitudes de eliminación de datos

    Los clientes pueden solicitar la eliminación de datos contactando con el soporte de privacidad de Atera. Cualquier solicitud de eliminación de datos recibida de un sujeto de datos asociado con un cliente será remitida al cliente en cuestión.

    Para cualquier inquietud, solicitud o para ejercer tus derechos de protección de datos, por favor contacta: privacy@atera.com

     

    Oficial de Protección de Datos (DPO)

    Nuestro Oficial de Protección de Datos designado es responsable de asegurar que todas nuestras medidas de protección de datos estén actualizadas y que todos los procedimientos se sigan. El DPO trabaja con profesionales de seguridad experimentados (CISO, CISM, CRISC, CISSP, CISA, CIPM, CEH, CIPPE, CDPSE).

     

    GESTIÓN Y RESPUESTA A INCIDENTES

    Notificación de violación de datos

    En caso de cualquier violación de seguridad de la información real o razonablemente sospechada u otro incidente que afecte la seguridad o integridad de tus datos, Atera se adherirá a las políticas definidas en el Plan de Respuesta a Incidentes de Seguridad de la Información de Atera y te notificará de acuerdo con la ley aplicable.

     

    Plan de Respuesta a Incidentes (IRP)

    Atera opera un proceso formal de gestión de incidentes de seguridad bajo una política y procedimiento relacionados. Existen procedimientos de escalamiento para asegurar la comunicación oportuna de cualquier incidente de seguridad a través de la cadena de gestión y a cualquier cliente afectado sin demora indebida.

     

    Disponibilidad y fiabilidad

    Atera utiliza la infraestructura de la plataforma Microsoft Azure porque ha sido diseñada para ser uno de los entornos en la nube más flexibles, fiables y seguros disponibles hoy en día, permitiendo a nuestros clientes beneficiarse de esta infraestructura de datos.

    Nuestra infraestructura está dividida en múltiples instalaciones geográficamente dispersas en centros de datos diseñados para máxima seguridad y disponibilidad. Todas las ubicaciones emplean las mejores prácticas de la industria, incluyendo sistemas de acceso con credenciales y biometría, fuentes de energía adicionales, unidades de aire acondicionado extra y sistemas de supresión de incendios. Personal de seguridad y cámaras monitorean estos lugares las 24 horas del día, los 365 días del año. Solo el personal autorizado tiene permitido el acceso a estos centros de datos y todas las visitas son registradas.

    Hemos diseñado nuestro entorno de recolección de datos de servicio de suscripción para alta disponibilidad; no menos del 99.75%.

     

    Autoescalado

    Habilitamos el autoescalado en la nube.

    La infraestructura en la nube de Atera puede escalar para procesar datos de millones de dispositivos. El verdadero escalado en la nube se logra mediante el autoescalado de la infraestructura en la nube sin impacto para el usuario final que accede o escribe datos.

     

    Protección contra Denegación de Servicio (DoS)

    Atera ha implementado los Servicios de Seguridad de Cloudflare tanto para el Firewall de Aplicaciones Web, la protección contra Denegación de Servicio, como para la Red de Entrega de Contenidos.

     

    Redundancia de infraestructura

    Los servicios de Atera están desplegados para beneficiarse de la redundancia de infraestructura de la plataforma Microsoft Azure.

     

    Pruebas de aseguramiento de calidad

    Atera sigue un proceso de gestión de cambios para los cambios en el entorno de producción. Todos los cambios de código deben someterse a una revisión de código por pares e incluir pruebas automatizadas de unidad, funcionales y de seguridad. Las pruebas se realizan después de los despliegues para validar la funcionalidad de la aplicación. Si la validación falla, la aplicación se revierte a su versión anterior.

     

    Monitoreo de servicios

    Atera utiliza Azure Log Analytics y conocimientos de aplicaciones para monitorear sus sistemas y detectar problemas relacionados con el servicio. El equipo de Atera es alertado 24/7 cuando se superan los criterios de umbral.

     

    SEGURIDAD ORGANIZACIONAL

    Acuerdos de confidencialidad

    Nuestros acuerdos de servicio permiten el tratamiento confidencial de la información confidencial del cliente, incluidos los datos del cliente. Requerimos que todos nuestros empleados y contratistas, así como los proveedores, firmen acuerdos de confidencialidad para asegurar la protección absoluta de la información confidencial.

     

    Capacitación en seguridad para empleados

    Capacitamos a todos los nuevos empleados sobre sus obligaciones de confidencialidad, privacidad y seguridad de la información como parte de su capacitación de incorporación. Una capacitación anual obligatoria en seguridad y privacidad asegura que los empleados refresquen su conocimiento y comprensión. Los equipos de ingeniería reciben capacitación adicional relacionada con sus deberes laborales y acceso.

     

    Bloqueo automático de estaciones de trabajo de empleados

    Nuestras estaciones de trabajo de empleados se bloquean automáticamente después de un período predeterminado de no uso a través del sistema MDM que hemos implementado.

     

    Cifrado de estaciones de trabajo de empleados

    Todas las estaciones de trabajo de empleados están cifradas y se borran en el momento de la desactivación utilizando estándares del DoD.

     

    Acceso limitado de empleados (principio de privilegio mínimo)

    Atera sigue el principio de "privilegio mínimo" en la gestión del acceso de los empleados a nuestros sistemas. El acceso a los datos de nuestros clientes está limitado a necesidades comerciales legítimas, incluidas las actividades necesarias para apoyar el uso de nuestros servicios por parte de nuestros clientes.

    Asignamos cuentas de red directamente a nuestros empleados utilizando un identificador único; no se utilizan cuentas administrativas genéricas. Revisamos periódicamente el acceso de los empleados a los sistemas internos para garantizar que los derechos de acceso y los patrones de los empleados estén en línea con sus posiciones actuales.

    Existe un proceso formal de notificación de terminación de empleados, que es iniciado por nuestro departamento de Recursos Humanos (“RRHH”). Tras la notificación de RRHH, todos los accesos físicos y del sistema se revocan de inmediato.

     

    Control de acceso físico

    Atera ha implementado controles apropiados para restringir el acceso físico a sus oficinas.

    Nuestros proveedores de servicios en la nube han implementado medidas de seguridad robustas para controlar el acceso físico a las instalaciones de procesamiento de datos que utilizamos.

     

    Acceso seguro a la red remota

    Las estaciones de trabajo de los empleados de Atera utilizan controles de Confianza Cero para proporcionar cifrado de red de extremo a extremo, seguridad en capas y gestión de acceso de identidad con MFA para proporcionar una conexión privada y segura tanto a internet como a los activos de red relacionados con el trabajo de Atera.

    Todas las conexiones remotas se monitorean regularmente, y se alerta a los empleados si se desconectan de la red o si se activan otras notificaciones de seguridad.

     

    Almacenamiento y transferencia segura de datos

    Para garantizar que los datos se almacenen, reciban y transfieran entre estaciones de trabajo de manera segura, los empleados de Atera utilizan bóvedas.

     

    Gestor de contraseñas

    Atera entiende la importancia de gestionar las contraseñas de los usuarios y ha implementado un sistema de gestión de contraseñas seguro en toda la empresa para proteger y gestionar las contraseñas de los empleados y de la organización.

     

    CONTINUIDAD DEL NEGOCIO

    Plan de continuidad del negocio

    Atera ha implementado una Política de Continuidad del Negocio y Recuperación ante Desastres integrada y mantiene planes relacionados bajo la política. Consulte el texto bajo ‘Plan de Recuperación ante Desastres’ para obtener más información sobre este tema.

     

    Plan de Recuperación ante Desastres

    Atera mantiene capacidades esenciales de evitación, preparación y recuperación ante desastres mediante el uso de múltiples centros de datos geográficamente dispersos, nuestra arquitectura de plataforma, copias de seguridad de datos fuera del sitio y capacidades de acceso remoto. También mantenemos una Política de Continuidad del Negocio y Recuperación ante Desastres y planes relacionados, y los probamos regularmente.

     

    Copias de seguridad de datos

    Atera almacena todos los datos de los clientes en sistemas de almacenamiento de Microsoft Azure, utilizando copias de seguridad en caliente almacenadas en instalaciones seguras de Azure fuera de las instalaciones de producción. El acceso a los medios de respaldo está altamente restringido.

     

    Salvaguardias ambientales

    Atera aloja sus datos y aplicaciones en Microsoft Azure, para su entorno de infraestructura de producción.

    Azure utiliza las salvaguardias mencionadas aquí que también incluyen:

     

    Control de acceso y seguridad física

    • Seguridad las 24 horas, incluidos patrullas a pie e inspecciones perimetrales
    • Escaneo biométrico para el acceso
    • Salas de Centro de Datos con paredes de concreto dedicadas
    • Equipos informáticos en jaulas de acero con control de acceso
    • Vigilancia por video en toda la instalación y el perímetro
    • Edificio diseñado para riesgos sísmicos, de tormentas e inundaciones locales
    • Seguimiento de la eliminación de activos

    Controles ambientales

    • Control de humedad y temperatura
    • Sistema de enfriamiento redundante (N+1)

    Energía

    • Alimentación subterránea de energía de servicios públicos
    • Sistemas CPS/UPS redundantes (N+1)
    • Unidades de distribución de energía (PDUs) redundantes
    • Generadores diésel redundantes (N+1) con almacenamiento de combustible diésel en el sitio

    Red

    • Bóvedas de concreto para entrada de fibra
    • Redes internas redundantes
    • Neutralidad de red; se conecta a todos los principales operadores y está ubicado cerca de los principales centros de Internet
    • Alta capacidad de ancho de banda

    Detección y supresión de incendios

    • VESDA (aparato de detección de humo muy temprano)
    • Supresión de incendios con tubería seca de preacción, multizona, de doble alarma y doble interbloqueo, basada en agua

     

    INFRAESTRUCTURA

    Atera está alojada en el estándar de oro en Seguridad en la Nube: Microsoft Azure.
    Los centros de datos de Atera en Azure están ubicados en Europa Occidental (Ámsterdam) y Centro de EE. UU. (Iowa).
    Los centros de datos de Azure mantienen estándares robustos de seguridad física y cumplen con ISO 27001, ISO 27017, ISO 27018, ISO 27032, HIPAA, FedRAMP, SOC-1 y SOC-2.

     

    Arquitectura multiinquilino

    Atera proporciona sus servicios de suscripción utilizando una arquitectura multiinquilino con los datos en cada cuenta de cliente lógicamente separados de otras cuentas. Los datos están cifrados en reposo utilizando AES-256.

     

    ISO 27001 – Centro de Datos

    Los centros de datos de Microsoft Azure están certificados como conformes con los siguientes estándares ISO: ISO 27001:2013, ISO 27017:2015, e ISO 27018:2019, ISO 27701:2020.

     

    SOC 2 Tipo II — Centro de Datos

    Los centros de datos de Microsoft Azure están certificados con los Principios de Confianza de Seguridad, Confidencialidad, Disponibilidad y Privacidad de SOC 2 Tipo 2.

     

    Control de Acceso Físico – Centro de Datos

    Para más información, por favor navegue al siguiente enlace que describe más a fondo la seguridad de Microsoft en torno a la Infraestructura de Azure.

    https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security

     

    Arquitectura de confianza cero

    Confianza cero (ZT) es el término para un conjunto en evolución de paradigmas de ciberseguridad que trasladan las defensas de parámetros estáticos basados en la red para centrarse en usuarios, activos y recursos.

    Atera aplica una arquitectura de confianza cero (ZTA) y utiliza principios de confianza cero para planificar y construir su infraestructura y flujos de trabajo, de modo que no se otorgue confianza implícita a activos o cuentas de usuario basándose únicamente en su ubicación física o de red.

     

    GESTIÓN DE AMENAZAS

    Pruebas de penetración

    Contamos con un proveedor de seguridad independiente de terceros que realiza pruebas de penetración manuales de nuestra infraestructura y servicios internos y externos de manera trimestral. Estas pruebas manuales se complementan con pruebas automatizadas utilizando una variedad de herramientas de prueba disponibles comercialmente que se ejecutan mensualmente.

    Si desea recibir una copia del informe resumen de la última prueba de penetración de Atera, por favor envíe una solicitud a success@atera.com. Dado que se requiere un NDA, por favor incluya el nombre completo de su empresa, dirección de la empresa y lugar de constitución.

     

    Escaneo de vulnerabilidades

    Atera utiliza varias herramientas de escaneo automatizadas para buscar vulnerabilidades de seguridad tanto en la infraestructura como en las aplicaciones de manera frecuente. Los escaneos se aplican a cada construcción de código y antes de las fusiones de código.

     

    Pruebas de Seguridad de Aplicaciones Estáticas (SAST)

    El código fuente se escanea regularmente en busca de cualquier vulnerabilidad antes de que la producción entre en funcionamiento.

     

    Solicitando detalles del cliente de Atera

    Los datos y la privacidad de los clientes de Atera son de suma importancia y se manejan de acuerdo con nuestra Política de Privacidad. Por esa razón, Atera no puede proporcionar ninguna información sobre ninguno de sus usuarios o cuentas sin una orden judicial, citación u otra forma de proceso legal. Para obtener más información, consulte aquí.

     

    Lista de subprocesadores de Atera

    Puede encontrar una lista actualizada de los nombres y ubicaciones de los subprocesadores que procesan los datos personales de los usuarios de los clientes de Atera aquí. Para obtener más información sobre nuestros subprocesadores, consulte nuestro DPA.

     

    Copyright © Atera Networks Ltd.2023

    apple store app google play app

    AICPA SOC for Service Organizations and ISO 27001 certified