Nuestra postura hacia la seguridad cubre todas las áreas claves y evoluciona para cumplir con los más rigurosos estándares de la industria de software a nivel global

producto-ux

Producto

La seguridad es un valor clave en todo el ciclo de desarrollo y uso de nuestros productos.

Infraestructura

Las mejores prácticas de seguridad de la industria son implementadas en nuestra infraestructura.

Personal

Todos los empleados de Tiendapp son evaluados y capacitados en seguridad.

Continuidad de Negocio

Procesos que garantizan el cumplimiento del Acuerdo de Nivel de Servicio y Recuperación de Desastres.

Productos desarrollados, probados, e implementados con los más altos estándares de seguridad

Desarrollo de software

Incorporamos medidas automáticas y manuales para evaluar la seguridad de la información a lo largo del ciclo de desarrollo de software, conocido como S-SDLC, incluyendo las mejores prácticas de la industria (OWASP). Construimos sobre best-in-class frameworks y estándares de criptografía. Contamos con ambientes separados de desarrollo, control de calidad, preproducción y producción.

Testing & control de calidad

Contamos con un equipo de control de calidad dedicado que analiza todo el código en busca de problemas antes de su implementación en producción. Escaneo de vulnerabilidades para asegurar que cada producto ofrecido a nuestros clientes es lo más seguro posible.

Monitoreo de seguridad

Todos los accesos a las plataformas se registran y auditan. Utilizamos un sistema WAF (firewall de aplicaciones web) para inspeccionan los flujos de tráfico e identificar y eliminar amenazas.

Administración de vulnerabilidades

La gestión de vulnerabilidades se lleva a cabo dentro del proceso de gestión de mejora continua, donde se planifica y prioriza todas las actualizaciones de los sistemas a las versiones más seguras disponibles y estables en el mercado. Todas las vulnerabilidades de seguridad detectadas son clasificadas y tratadas como un requerimiento crítico.

Personal seleccionado y entrenado para garantizar la seguridad de la información

Selección y contratación

-Verificación de antecedentes y test sobre ética y valores para todos los empleados.

-Acuerdos de confidencialidad y cláusulas de cumplimiento con todo el personal y contratistas.

Capacitaciones y concientización en seguridad

-Todos los nuevos empleados reciben capacitación en seguridad de la información y phishing.

- Despliegue constante de campañas de concientización para todos los empleados.

TI & Seguridad Física

- Todos los equipos de cómputo están monitoreados por una solución de gestión centralizada.

- Servicio de filtrado de correo electrónico para bloquear phishing y spam.

-Gestión de accesos limitados por usuario.

- Mantenimiento preventivo de equipos de cómputo anual.

Respuesta a incidentes

Equipo de respuesta a incidentes y procedimiento para coordinar con equipo legal, de producto y de soporte para detectar y responder a cualquier incidente relacionado con seguridad de la información.

Infraestructura con altos estándares de seguridad​

Infraestructura física

Ofrecemos una infraestructura alojada en los centros de datos de AWS, con la implementación de programas de anti-malware, Security Incident Event Management (SIEM), Intrusion Detection & Prevention, Data Loss Prevention.

Encriptamiento de datos

Utilizamos el Estándar de Encriptación Avanzada (AES) donde cada registro confidencial se encripta previamente utilizando una clave de encriptación separada y generada aleatoriamente.

Para las conexiones se utilizan esquemas de OAuth Client Credentials Flow para generar Access tokens de tipo JWT y restricción por rango de IPs estáticas públicas.

Acceso y monitoreo de datos

Las políticas y procedimientos implementados aseguran que el acceso a los datos está limitado únicamente al alcance de responsabilidad de cada empleado en particular.

Todas las soluciones cuentan con asignación de roles de usuario para cumplir con este principio.

Backups

Utilizamos la funcionalidad nativa de AWS para realizar copias de seguridad de sistemas y datos. Todos los datos se almacenan de manera segura en USA y EUROPA cada 12 horas garantizando una alta protección de los datos.

Recuperación de desastres

Generación de copias de máquinas, documentos, bases de datos y configuraciones a través del respaldo de objetos S3 AWS y Snapshots. Permitiendo una recuperación altamente automatizada en los tiempo estipulados en el Acuerdo de Nivel de Servicio.

Procedimientos diseñados para garantizar la continuidad de nuestros servicios
iso27001

Monitoreo y calidad

Todos nuestros sistemas cuentan con procedimientos de monitoreo y calidad bajo estándares ISO27001.

Atención al usuario

Ofrecemos canales de atención respaldados por procedimientos óptimos que garantizan una respuesta oportuna a todos nuestros clientes según los Acuerdos de Nivel de Servicio establecidos.

Nuestro objetivo es mantener un balance que ofrezca a nuestros clientes:
Si descubres alguna vulnerabilidad o tienes alguna pregunta de seguridad, por favor escríbenos al correo seguridad@tiendapp.net o contáctanos aquí