Echoworx Servicios de Seguridad
Proporcionando administración de credenciales e integración de encriptación para una implementación instantánea en todas las plataformas.
Cómo Echoworx Asegura la Privacidad y Seguridad
Echowork está comprometido en proporcionar el más alto nivel de seguridad, control e integridad para apoyar nuestros servicios de seguridad cloud. Con ese fin, hemos sometido a nuestras prácticas empresariales a auditorias que cubren todos los aspectos de nuestra empresa en la forma de Certificación de Confiabilidad de la Web AICPA/CICA y Auditoria SOC2.
• Los procesos, procedimientos y controles de Echoworx empleados para proteger la privacidad y confidencialidad de los usuarios han sido formalmente evaluados y analizados por una empresa independiente de contabilidad y auditoría, así como también la seguridad, disponibilidad, e integridad de procesamiento de nuestros sistemas.
• El reporte SOC 2 está disponible cuando sea solicitado a los clientes y candidatos
• Integridad Asegurada de la Echoworx Root CA
• Los controles son conservados y monitoreados constantemente
• Para obtener más información: https://cert.webtrust.org/ViewSeal?id=2477
• Una copia completa del Echoworx Root CA2 de las Normas Certificadas y Declaración sobre las Prácticas, utilizadas como parte del proceso de la auditoria anual puede encontrarla aquí: http://www.echoworx.com/ca/root2/cps.pdf
- Correo electrónico cifrado, plataforma segura
- Mejora la seguridad de los datos de la cuenta de pago
- Desarrollado por PCI Security Standards Council
Para más información: https://www.pcisecuritystandards.org
• Miembro del Programa Root CA
• Un grupo elite de menos de 100 organizaciones
• Garantiza la confiabilidad de los certificados emitidos por Echoworx
• Los suscritores pueden estar confiados que los certificados emitidos son reconocidos y fiables
• Protege a los usuarios de Apple de problemas de seguridad relacionados al uso de la infraestructura de la clave pública certificada (PKI).
• Garantiza una experiencia de usuario sin interrupciones en Mac OS y los equipos iOs quienes aseguran las conexiones web, generan correos electrónicos seguros y desempeñan otras interacciones PKI.
• Echoworx, tiene centros de datos en los EE. UU., UK, Alemania, Irlanda, México y Canadá, asegurando que los datos del usuario que estén en los alrededores
• Todos los centros de datos están diseñados al más alto nivel
• Son diseñados y conservados sin comprometer la seguridad o sistema redundante
• Los centros de datos son SOC2 e ISO certificado para una seguridad física, del sistema y operacional
• Todos los procesos empresariales cumplen con las mejores prácticas y limitan el acceso a la información del usuario
• Echoworx, continuamente analiza la seguridad y servicios proveídos por sus centros de datos para asegurar la mejor seguridad posible a favor de sus usuarios
Echoworx utiliza los siguientes estandares en sus productos:
• Encriptación asimétrica RSA 2048-bit
• Protocolos criptográficos RSA PKCS cryptographic protocols; PKCS#1, #7, #10, #12
• Encriptación simétrica AES-256
• Triple encriptación simétrica DES
• Algoritmo hashing SHA2
• Certificados ANSI X.509 listas de revocación certificada
• IETF MIME y correo electrónico S/MIME
Echoworx, proporciona servicios de encriptación en la forma más segura.
Los componentes alojados en Cloud son implementados y operados en nivel uno certificado y seguro en los centros de datos.
Los componentes del servicio son implementados en dos zonas físicas de seguridad estratificada, con el acceso directo público restringido sólo a las zonas ultraperiféricas. Los servicios de acceso al interfaz de usuario están separados de los componentes operacionales del nivel del medio, los cuales están separados de los activos con información confidencial, tales como: material privado clave y credenciales de acceso numerados.
La separación es implementada al utilizar múltiples servidores de seguridad configurados al seguir normas estrictas. Acceder a los servicios son permitidos y controlados vía servidores proxy reversos que aseguran no haya acceso a algún componente de los servicios seguros.
Detalles de la Política y Procedimiento
Ejemplos de la política de Echoworx y procedimientos son detallados a continuación:
Echoworx mantiene una política de seguridad corporativa la cual es publicada y comunicada a través del programa concientización de seguridad. La política define los objetivos, campo de acción, intento e información de seguridad esencial y asegura la observancia de los requisitos regulatorios.
De manera especial, la política de seguridad está dirigida a las siguientes áreas de información de seguridad:
• Cumplimiento con los requisitos regulatorios, legislative y contractual
• Guía para las capacitaciones sobre seguridad exigidas a los trabajadores
• Seguridad en las computadoras para reducir deficiencias y riesgos, ej. para prevenir los softwares con virus o softwares maliciosos
• Continuidad y responsabilidad comercial de la administración empleados
• Cumplimiento, ejecución y consecuencias de las infracciones de las normas
La Información de los Sistemas de Gestión de Seguridad de Echoworx está fundamentada en un modelo que está en continua evolución para:
• Crear Políticas, Procedimientos y Estándares para mantener la seguridad física y lógica
• Realizar Evaluaciones de Riesgo Anual para identificar las implicaciones de seguridad y requisitos de control de seguridad
• Contratando Auditores Externos para evaluar y reportar sobre nuestros controles y cualquier deficiencia
• Abordando los requisitos de seguridad y responsabilidades con contratos y procedimientos entre las partes
• Actualización de Políticas, Procedimientos, y Estándares fundamentados en los resultados de las Evaluaciones de Riesgo y Auditorias
Echoworx mantiene una política de seguridad corporativa la cual es publicada y comunicada a través del programa concientización de seguridad. La política define los objetivos, campo de acción, intento e información de seguridad esencial y asegura la observancia de los requisitos regulatorios.
De manera especial, la política de seguridad está dirigida a las siguientes áreas de información de seguridad:
• Cumplimiento con los requisitos regulatorios, legislative y contractual
• Guía para las capacitaciones sobre seguridad exigidas a los trabajadores
• Seguridad en las computadoras para reducir deficiencias y riesgos, ej. para prevenir los softwares con virus o softwares maliciosos
• Continuidad y responsabilidad comercial de la administración empleados
• Cumplimiento, ejecución y consecuencias de las infracciones de las normas
La Información de los Sistemas de Gestión de Seguridad de Echoworx está fundamentada en un modelo que está en continua evolución para:
• Crear Políticas, Procedimientos y Estándares para mantener la seguridad física y lógica
• Realizar Evaluaciones de Riesgo Anual para identificar las implicaciones de seguridad y requisitos de control de seguridad
• Contratando Auditores Externos para evaluar y reportar sobre nuestros controles y cualquier deficiencia
• Abordando los requisitos de seguridad y responsabilidades con contratos y procedimientos entre las partes
• Actualización de Políticas, Procedimientos, y Estándares fundamentados en los resultados de las Evaluaciones de Riesgo y Auditorias
Echoworx, posee una continuidad de operaciones y plan de recuperación en caso de desastre diseñado a minimizar y eliminar considerablemente los apagones siguiendo las interrupciones a, fallo de, procesos comerciales fundamentales y sistemas.
Los servicios de Echoworx son completamente redundante dentro de cualquiera de los centros de datos y por otra parte son replicados en tiempo real a una instalación que ha sufrido un desastre.
Echoworx, mantiene un sitio de recuperación aparte del sitio principal.
La efectividad de una empresa y los planes de recuperación en caso de desastres son probados como mínimo una vez al año utilizando los métodos adecuados.
Gestión de los Valores Asignado de Autoridad de Raíz Certificada, incluyendo generación, protección y destrucción y Gestión de la Información del Suscriptor, incluyendo la generación de la información subordinada, almacenamiento, recuperación y destrucción, las cuales son realizadas por un Módulo de Servicio Luna C3 Hardware. El equipo cumple con el Nivel 3 FIPS y ha sido validado según al Nivel 4+ de la Evaluación y Valoración del Criterio Común (EAL 4+).
Los servicios de Echoworx son proveídos utilizando un proveedor de centro de datos confiable y mundialmente reconocido, los cuales han logrado las acreditaciones auditadas:
• Estándares de Seguridad de Datos de la Industria de Tarjeta de Pago- Proveedor de Servicios con Nivel 1 de Cumplimiento
• Tipo II SSAE 16 SOC2 (reemplaza el legado SAS 70 auditado)
• ISO27001:2005
Los roles de seguridad y responsabilidades de los empleados de Echoworx aparecen documentados de manera pormenorizada en las descripciones del empleo de la empresa. Controles de verificación a los miembros de los funcionarios claves de Echoworx son realizados en el momento de la solicitud de empleo. Las normas y procedimientos de Echoworx especifican que las verificaciones de antecedentes y procedimientos de autorización son necesarios para empleados que desempeñan las funciones de confianza y otros empleados, incluyendo los empleados de limpieza.
Todos los empleados de Echoworx se les exige firmar un acuerdo de confidencialidad (no divulgación) como parte de los términos y condicional inicial de sus empleos.
Las verificaciones del personal contratado incluyen:
• Requisitos de vinculación en el personal contratado
• Exigencias contractuales incluyendo la indemnización por daños debido a las acciones del personal del contratista
• Auditoria y monitoreo del personal del contratista.
Todos los empleados de Echoworx y personal contratado reciben la capacitación adecuada para elevar el nivel de concientización y lograr el cumplimiento de las políticas de seguridad corporativa. Esa capacitación está alineada con un rol claro fundamentado en la observancia y requisitos de capacitación.
Existe un proceso disciplinario formal y es aplicado a los empleados quienes hayan violado las políticas de seguridad organizacional y procedimientos. Las normas y procedimientos de Echoworx especifican las sanciones en contra del personal al realizar acciones no autorizadas, uso de autoridad no autorizado y el uso no autorizado de los sistemas.
Medidas apropiadas y oportunas son tomadas cuando un empleado es despedido, por lo que esos controles y seguridad no se vean perjudicados por dicho suceso.
