Política de seguridad

Versión 2.1 – Mayo de 2025

Historial de revisiones:

  • Versión 2.0 - Octubre de 2024 (Publicación inicial de la política combinada)
  • Versión 2.1 - Mayo de 2025 (Actualizada para incluir consideraciones sobre TLS 1.3, gestión específica de secretos de Kubernetes, aclaración de la frecuencia de las pruebas de penetración internas y mención añadida de la política de retención de datos).

Ámbito de aplicación

Esta Política de seguridad se aplica a todos los sistemas Credenti, incluidas las implementaciones SaaS y locales, las aplicaciones móviles, las API y la infraestructura de apoyo. Regula las acciones de los empleados, contratistas y socios externos que participan en la prestación, el mantenimiento o el soporte de los servicios de gestión de identidades y accesos.

Propiedad de la política

Esta política se revisa y actualiza al menos una vez al año o en respuesta a cambios significativos en la arquitectura o la normativa. El director de seguridad de la información (CISO) es responsable de la implementación, supervisión y mantenimiento de esta política.

Credenti soluciones de identidad sin contraseñas y resistentes al phishing, respaldadas por prácticas de seguridad líderes en el sector. Nuestro programa de seguridad se estructura en torno a controles físicos, técnicos y administrativos para proteger las identidades de los usuarios, la integridad de la plataforma y los datos de los clientes.

Medidas técnicas de seguridad

Cifrado y protección de datos

  • Cifrado AES-256 para datos en reposo a través de AWS KMS
  • TLS 1.2/1.3 con fijación de certificados para datos en movimiento
  • Aislamiento de claves por inquilino mediante KMS respaldado por HSM
  • Rotación automática de claves y gestión del ciclo de vida

Gestión de secretos

  • Sin secretos codificados en el código o la configuración.
  • Secretos gestionados mediante controladores de Kubernetes (por ejemplo, External Secrets Operator) y AWS KMS.
  • Controles secretos del ciclo de vida para la creación, rotación y revocación
  • Registros de auditoría y detección de anomalías a través de AWS CloudTrail

Seguridad de plataformas y aplicaciones

  • Alojado en AWS con WAF, Shield y Firewall Manager.
  • Limitación de velocidad y mitigación de DDoS en múltiples capas
  • Segregación lógica de datos a nivel de inquilino
  • Los equipos internos no tienen acceso a los datos de producción ni a las claves de cifrado.

Desarrollo seguro y DevOps

  • Pipelines de CI/CD con análisis SCA en dependencias
  • Infraestructura como código con análisis de seguridad (por ejemplo, Amazon Inspector)
  • Acceso administrador reforzado mediante jump-boxes y listas blancas de IP.
  • Pruebas de penetración internas (trimestrales) y externas (anuales)

Supervisión y observabilidad

  • Supervisión continua del estado y el rendimiento del sistema
  • Alertas en tiempo real para anomalías y errores
  • Registros de auditoría completos para inicios de sesión y acciones administrativas.
  • Registro compatible con SIEM para la integración empresarial

Gestión de vulnerabilidades

  • Escaneo continuo con Amazon Inspector y análisis CI/CD integrado.
  • Remediación oportuna basada en puntuaciones CVSS, explotabilidad e impacto comercial.
  • Dependencias de terceros y de código abierto rastreadas y revisadas.
  • Pruebas de penetración internas mensuales y externas anuales.

Controles de seguridad locales

  • Todos los datos de los clientes permanecen dentro de la red del cliente, lo que garantiza la soberanía de los datos.
  • Los clientes conservan la plena propiedad de los datos y los registros de auditoría.
  • Opción de configurar clústeres Kubernetes (K8s) independientes para suborganizaciones o unidades de negocio.
  • Mejores prácticas para un acceso seguro a Kubernetes:
    • Autenticación desde dispositivos gestionados por la empresa
    • Integración con proveedores de identidad (por ejemplo, Entra, Okta) para SSO
    • Aplicar la autenticación multifactorial (MFA) mediante tokens de hardware (por ejemplo, YubiKey).
    • Gestionar el acceso mediante soluciones PAM
    • Requerir servidores de salto reforzados o hosts bastión.
    • Rotación de credenciales SSH (automatizada mediante acceso basado en certificados) y registro de todos los intentos de acceso.

Medidas de seguridad administrativas

Cumplimiento normativo y gobernanza

  • SOC 2 Tipo II, SOC 1 Tipo II
  • GDPR, PCI , CFR Parte 11
  • Certificado ISO 27001
  • Diseñado para cumplir con HIPAA, GDPR y NIST SP 800-63.
  • Opciones de alojamiento regional para la residencia de datos

Políticas y control de acceso

  • Controles de acceso basados en roles (RBAC)
  • Ciclo de vida seguro del desarrollo de software (SSDLC)
  • Gestión del cambio y revisiones trimestrales del acceso

Concienciación y formación en materia de seguridad

  • Formación obligatoria para todos los empleados
  • Aplicación del acceso basado en roles
  • Simulaciones periódicas de phishing
  • Verificación de antecedentes realizada a empleados que desempeñan funciones delicadas.

Respuesta ante incidentes

  • Operaciones de seguridad las 24 horas del día, los 7 días de la semana.
  • Plan de respuesta ante incidentes (IRP) documentado y probado.
  • Acuerdos de nivel de servicio (SLA) para la detección, la respuesta y la comunicación.

Continuidad del servicio y recuperación ante desastres

  • Infraestructura AWS multirregional y multizona de disponibilidad
  • Plan de recuperación ante desastres con RTO/RPO definidos
  • Copias de seguridad cifradas y pruebas de conmutación por error
  • DR validado por auditorías SOC 2 e ISO

Auditorías y medidas correctivas

  • Registros de auditoría para eventos de autenticación y administración
  • Trazabilidad completa de los cambios en el sistema
  • Auditorías internas con medidas correctivas
  • Integración SIEM y asistencia en auditorías
  • Políticas definidas de retención de datos para los datos de los clientes y los registros de auditoría.

Gestión de riesgos de proveedores

  • Diligencia debida en materia de seguridad y cumplimiento normativo para todos los proveedores.
  • Acuerdos de protección de datos (DPA)
  • Revisiones trimestrales del acceso de proveedores
  • Cumplimiento de AWS con FedRAMP, ISO 27001 y SOC 2

Medidas de seguridad física

Seguridad de centros de datos e infraestructura

  • Alojado en la nube de AWS
  • Vigilancia las 24 horas del día, los 7 días de la semana, acceso biométrico y controles ambientales.
  • Cumplimiento normativo: SOC 1/2/3, ISO 27001, FedRAMP, FIPS 140-2
  • Regido por el modelo de responsabilidad compartida de AWS.

Protección de terminales y dispositivos

  • Cifrado de disco en todos los ordenadores portátiles de la empresa.
  • MFA para sistemas internos
  • Gestión de dispositivos móviles (MDM) y comprobaciones de estado

Controles de oficina y activos

  • Acceso a las instalaciones mediante tarjeta de identificación
  • Wi-Fi segmentado para empresas e invitados
  • Eliminación segura de hardware/medios

Transparencia y contacto

Credenti a los clientes visibilidad en tiempo real de los eventos de la plataforma, las acciones administrativas y los registros de acceso.

Para solicitar documentación o informar sobre un problema:

📧credenti