Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Historial de versiones
Versión 1.0
Versión 1.1
Tabla de Contenidos 3
Introducción 4
Acerca de Modyo 4
Acerca de este Documento 4
Seguridad Organizacional 5
Seguridad del Personal 5
Entrenamientos en Seguridad y Privacidad 5
Profesionales Dedicados de Seguridad 6
Políticas y Estándares 7
Auditorías 8
Automatizaciones 8
Tests de Penetración 8
Diseño de Seguridad 10
Ciclo de Desarrollo 10
Reporte de Incidencias 10
Acerca de Modyo
Modyo Digital Experience Platform es una plataforma de siguiente generación que permite
optimizar la experiencia digital de los clientes. Modyo transforma la interacción con clientes
en experiencias digitales inteligentes a través de Web y dispositivos móviles.
Para cumplir con estos objetivos, Modyo debe asegurar a sus clientes, que sus datos están
seguros y que protegerlos es una de sus responsabilidades más importantes. Modyo se
compromete con la transparencia acerca de sus prácticas de seguridad, así como también
con ayudar a sus clientes a comprenderlas.
Las Políticas de Seguridad de la empresa son conocidas y aplicadas por todos los
empleados (colaboradores) que posean acceso a la información de clientes. Todos los
colaboradores deben aceptar y cumplir las normas de seguridad. Todos los colaboradores
tienen firmado en sus contratos laborales cláusulas de confidencialidad y seguridad de la
información.
Antes de tener acceso a los sistemas, todos los colaboradores deben aceptar los términos
de confidencialidad y ser sometidos a una rigurosa revisión de sus antecedentes, además
de acudir anualmente a un entrenamiento de seguridad. Este entrenamiento cubre temas
de privacidad y seguridad, además del uso aceptable del equipamiento tecnológico de la
empresa, prevención de malware, seguridad física, privacidad de los datos, gestión de
cuentas, reporte de incidentes entre otros.
Al terminar su relación laboral con Modyo, todos los accesos y permisos son revocados
inmediatamente.
Durante la vigencia de su contrato, todos los colaboradores de Modyo deberán asistir a los
entrenamientos de privacidad y seguridad al menos una vez por año. También será
requerido que lean y firmen las Políticas de Seguridad y Privacidad de Modyo. Todos los
colaboradores que posean privilegios especiales (con mayor acceso a la información de
clientes) recibirán además un entrenamiento especializado según su rol y función.
Todos los colaboradores tienen el deber de reportar incidentes de seguridad a los equipos
internos apropiados. Los colaboradores serán oportunamente informados si en algún
momento violan alguno de los términos que puedan incurrir en consecuencias, incluyendo
su desvinculación con la empresa.
Por medio del Área de Seguridad e Infraestructura, Modyo dispone de un equipo dedicado
el cual es responsable de la implementación y el cumplimiento de las Políticas de
Seguridad. Desde la estrategia corporativa se cuenta con el rol de Chief Information
Security Officer (CISO) encargado de la estructuración y definición de planes, políticas,
procesos y procedimientos corporativos, así mismo el Área de Infraestructura es liderada
por el Chief Technology Officer (CTO) de Modyo con quién se definen y aprueban las
políticas, procedimientos y planes de mejora a ser implementados.
Políticas y Estándares
Modyo posee Políticas de Seguridad bien definidas que son aceptadas por la totalidad de
sus empleados las cuales proveen las reglas básicas para la operación del negocio. Con
ellas Modyo asegura que sus clientes puedan confiar en sus empleados en cuanto a su
ética y comportamiento al operar los diferentes servicios ofrecidos.
Auditorías
Modyo es auditado regularmente de forma interna y por sus mismos clientes, quienes se
encargan de realizar inspecciones de seguridad a los procesos y políticas internas, así como
también a la infraestructura de producción. Los resultados de las auditorías son
entregados a los gerentes de Modyo, quienes se encargan de dar resolución a todos los
hallazgos encontrados.
Automatizaciones
Los clientes que quieran realizar sus propias pruebas de penetración de seguridad podrán
hacerlo. Modyo recomienda la coordinación de estos eventos dando aviso por medio del
ejecutivo de atención designado.
Ciclo de Desarrollo
Reporte de Incidencias
Modyo posee de un canal especial1 para el reporte de incidencias de seguridad, el cual está
a cargo del Área de Seguridad e Infraestructura de Modyo. Los clientes de Modyo también
podrán reportar incidencias por medio de su ejecutivo de cuenta o partner, quienes
tendrán la responsabilidad de notificar a equipo interno y dar seguimiento a la resolución
de éstas.
1
Vía correo electrónico a la casilla security@modyo.com
Modyo posee mecanismos robustos de encriptación para todos los datos que se
encuentran en tránsito por la red y en descanso en los repositorios de datos. Modyo
emplea para ello los diversos mecanismos que ofrece Amazon AWS para el manejo de
llaves de encriptación y certificados SSL, revisando continuamente que las nuevas y
mejoras prácticas sean incorporadas a los procesos.
Seguridad de Redes
Modyo divide a cada cliente en su propia red VPC (Virtual Private Cloud). Cada cliente
puede poseer hasta 3 entornos VPC diferentes configurados (producción, integración y
certificación), cada uno completamente aislado del otro y a su vez de los demás clientes.
El acceso a los sistemas es realizado públicamente por los usuarios desde Internet por
medio de un Web Application Firewall4 que posee reglas contra ataques comunes como
2
https://aws.amazon.com/compliance
3
https://aws.amazon.com/security
4
https://aws.amazon.com/waf
Modyo posee sistemas de detección de intrusos (IDS) a nivel de redes y hosts que permiten
alertar de accesos no controlados de cualquier intruso a algún servidor.
Acceso Autorizados
Modyo no entrega acceso a los datos de clientes a ningún colaborador que no requiera de
él para efectuar sus responsabilidades contractuales. Para asegurarnos de ello, las
credenciales y accesos de los colaboradores son auditados internamente cada tres meses.
Cuando un colaborador ingresa a trabajar a Modyo sólo posee acceso a los sistemas
básicos de correo y planificación de tareas. Cualquier acceso mayor debe ser
explícitamente solicitado mediante un ticket de control al Área de Seguridad e
Infraestructura quien realizará el seguimiento de estas credenciales extendidas.
Autenticación
Para reducir aún más los riesgos de acceso no autorizado a los datos, los empleados de
Modyo con acceso a la información de clientes requieren contar con un dispositivo de
“second factor” que será solicitado al momento de ingresar a los sistemas (panel de control
de Amazon, DNS, sistemas de control de código fuente, etc).
Todas las contraseñas utilizadas para acceder a recursos y datos sensibles de clientes
deberán ser de al menos 12 caracteres. El uso obligatorio de un gestor de contraseñas
previene el reuso y predictibilidad de éstas.
Modyo almacena de forma centralizada todos los logs de producción, tanto de los
servidores como de los servicios de Amazon configurados para cada cliente. La información
de los logs es utilizada para configurar alertas y realizar investigaciones internas, con una
retención de 1 año.
Para todos los sistemas configurados en la nube de Amazon AWS existe una política
permanente de monitoreo mediante las herramientas de AWS Cloudtrail para el control de
eventos, AWS GuardDuty para redes y AWS Inspector para instancias.
Respuesta a Incidentes
Destrucción de Datos
Almacenamiento de Secretos
Modyo posee Políticas de Seguridad que explican acerca del uso aceptable y seguro de los
equipos de trabajo. Todos los equipos de trabajo deben estar encriptados y protegidos por
una contraseña segura, la cual además deberá ser requerida cada vez que el equipo se
encuentre en inactividad por un periodo corto de tiempo.
Todos los cambios al código y configuraciones de los sistemas de Modyo son supervisados
por procesos de aprobación de cambios y de revisión de código estático para prevenir la
introducción de código malicioso a los repositorios.
Los servicios que por motivos de costos y eficiencia no sean requeridos para operar en
modalidad de alta disponibilidad deberán al menos contar con un respaldo verificado para
poder ser recreados en caso de pérdida.
Para más detalle acerca de la operación de alta disponibilidad y misión crítica en la nube
favor referirse al documento Modyo Cloud & Enterprise Cloud.
Para más detalle acerca de los planes y estrategias de continuidad operacional favor
referirse al documento Modyo Business Continuity Plan y Modyo Disaster Recovery Plan.
5
https://aws.amazon.com/about-aws/global-infrastructure
En los casos con los cuales se mantengan integraciones a sistemas transaccionales vía API,
REST, Servicios Web u otros (con o sin uso de VPNs), Modyo garantiza la seguridad
perimetral de su infraestructura de nube, custodia de propiedad intelectual de códigos
fuentes y datos sensibles de usuarios, siguiendo las mejores prácticas de seguridad de la
industria.
This document is provided for information purposes only and the contents hereof are subject to change
without notice. This document is not warranted to be error-free, nor subject to any other warranties or
conditions, whether expressed orally or implied in law, including implied warranties and conditions of
merchantability or fitness for a particular purpose. We specifically disclaim any liability with respect to this
document and no contractual obligations are formed either directly or indirectly by this document. This
document may not be reproduced or transmitted in any form or by any means, electronic or mechanical, for
any purpose, without our prior written permission.
Modyo Enterprise is a registered trademarks of Modyo and/or its affiliates.