Política de seguridad

Shared Contacts for Gmail® trabaja con información de contacto, que muy a menudo contiene datos personales, cuya manipulación está severamente regulada.

Nos tomamos la seguridad de los datos muy en serio y, como socio Premium de Google, estamos obligados a cumplir numerosas normas de seguridad. Además, entre nuestros clientes se encuentran instituciones financieras, hospitales y empresas de la lista Fortune 500 que nos exigen procesos de seguridad de alta gama.

El enfoque general de la seguridad sigue la metodología EBIOS (el principal método utilizado en Francia)

El enfoque para evitar el acceso no autorizado a los datos de nuestros clientes se basa en los siguientes principios:

Fuentes de riesgo

Se atiende a las 3 principales fuentes de riesgo:

  • Personas internas: Empleados y contratistas
  • Personas externas: Proveedores, competidores, terceros autorizados…
  • Fuentes no humanas: Virus, desastres naturales, materiales inflamables…

Activos

Hardware

Los datos se alojan exclusivamente en servidores seguros, proporcionados por Google Cloud(Google Compute Platform Infrastructure) y los datos nunca transitan por otros tipos de hardwares (USB, CDs, teléfonos móviles, ordenadores locales, etc.).

Bases de datos

Las bases de datos que alojan los datos de nuestros clientes están aseguradas y protegidas con contraseña dentro de la red. Sólo los directores/jefes de equipo tienen acceso a los datos en directo. Los desarrolladores trabajan con datos en fase de preparación y no tienen la posibilidad de acceder a los datos en vivo.

Las contraseñas de la base de datos y de las puertas de enlace están aseguradas en un archivo de cifrado duro que se almacena en un servidor separado y que se utiliza una vez por el servidor en vivo en cada despliegue.


Programas informáticos

Utilizamos un número mínimo de herramientas de terceros (Mongo DB, Zabbix, etc.) y cada instalación de un nuevo software tiene que pasar por un estricto control de seguridad, incluyendo troyanos o spywares. Al igual que en la base de datos, sólo los usuarios que necesitan acceder a estos programas tienen credenciales y autorización para utilizarlos.

Red

Nuestra red está basada exclusivamente en la arquitectura de Google. Tenemos un empleado asignado a tiempo completo a la gestión de la seguridad y los permisos de acceso.
El acceso a la infraestructura (por ejemplo, FTP) está protegido por 4 niveles de restricciones:

  • Cuenta de Google (sólo los ID de correo electrónico de Google aprobados pueden acceder a la plataforma GCP)
  • Autenticación en dos pasos de la cuenta de Google: Los usuarios que se conectan a la infraestructura de GCP tienen que confirmar su identidad mediante la autenticación por SMS.
  • Direcciones IP : Sólo un conjunto de direcciones IP de la lista completa. Los usuarios que trabajan desde casa tienen que comunicar su dirección IP todos los días.
  • Un sistema adicional de autenticación interna en dos pasos, que utiliza el algoritmo de contraseña de un solo uso basado en el tiempo (TOTP; especificado en el RFC 6238) y el algoritmo de contraseña de un solo uso basado en HMAC (HOTP; especificado en el RFC 4226), para autenticar a los usuarios.
  • También se han tomado medidas para evitar DDos o inyecciones SQL.
  • Nuestros empleados también están formados para evitar el phishing o los virus “basados en la nube” (que les piden que se conecten a su cuenta de Google para abrir un archivo, por ejemplo)

Gente

  • Todos los empleados y contratistas son examinados antes de ser contratados. Firman un acuerdo de confidencialidad y se les recuerda periódicamente las medidas de seguridad y privacidad, así como los riesgos y sanciones relacionados con la violación de los datos.
  • El número de usuarios que acceden a los datos de los clientes está estrictamente limitado al personal de seguridad y de gestión.
  • Los equipos de desarrollo y asistencia pueden suplantar a los usuarios y acceder a sus contactos únicamente con fines de solución de problemas y asistencia.
  • Toda la actividad de los servidores y las plataformas se registra y supervisa. Cualquier actividad anormal será detectada inmediatamente (por ejemplo, un empleado que suplante la identidad de varios usuarios del mismo dominio en un corto período de tiempo sin ninguna razón evidente) y tendrá que justificar dicha actividad.