Seguridad

El éxito se basa en la confianza

La seguridad es un compromiso, un estado de ánimo y una cultura, no una casilla que debe tildarse. Especialmente cuando se trata de información relacionada con su personal.

En Saba, sabemos que el éxito se basa en la confianza, y nuestro enfoque se basa en el principio fundamental de la seguridad por diseño. Nuestro compromiso es ofrecer los mejores servicios de seguridad y cumplimiento según las prácticas recomendadas de la industria, validar continuamente la solidez de nuestro programa de seguridad y ofrecer una plataforma segura, robusta y ampliable que cumpla con los requisitos más estrictos de protección de datos y privacidad.

¡Empiece ahora mismo!

Seguridad y cumplimiento integrales

Saba mantiene una arquitectura de múltiples usuarios y varias bases de datos que es la mejor de su clase, con los más altos estándares de cumplimiento y tiempo de actividad, que se adapta a los requisitos más estrictos de protección de datos globales.

El programa de seguridad de Saba implementa un proceso de revisión que abarca varios negocios y está orientado a satisfacer y exceder las prácticas aceptadas en la industria. Además de integrar seguridad a través del ciclo de vida útil de desarrollo del sistema, Saba respeta los requisitos de privacidad globales, ofrece los controles adecuados y se encarga del manejo, la retención, la eliminación y la transferencia segura de información de identificación personal (PII, por sus siglas en inglés), de acuerdo con los requisitos de privacidad del cliente.

Cumplimiento con estándares y normas de la industria

As new security frameworks, standards and regulatory requirements are developed and gain traction in the cloud industry, Saba reviews them and adopts the ones that are relevant to our customers and help improve our security program and reduce our security risk. Depending on the focus of a particular service offering, Saba and/or its service partners may comply with, or help customers to comply with, some or all of the following certifications, standards and best practices:

ISO/IEC 27001:2013

SOC 1 tipo 2

SOC 2 tipo 2

ISAE 3402 tipo 2

CSA Star

FDA 21 CFR parte 11

PCI DSS

OWASP Top 10

ISO/IEC 27001:2013

SOC 1 tipo 2

SOC 2 tipo 2

ISAE 3402 tipo 2

CSA Star

FDA 21 CFR parte 11

PCI DSS

OWASP Top 10

ISO/IEC 27001:2013

SOC 1 tipo 2

SOC 2 tipo 2

ISAE 3402 tipo 2

CSA Star

FDA 21 CFR parte 11

PCI DSS

OWASP Top 10

Servicios administrados de entorno validado (VEMS)

Las compañías que operan en industrias altamente reguladas, como laboratorios, fabricantes de dispositivos médicos, compañías de biotecnología, desarrolladores de componentes biológicos, compañías de ciencias biológicas y productores de alimentos, están sujetas a rigurosos requisitos de cumplimiento establecidos por los organismos regulatorios en los países correspondientes.

Saba ofrece funcionalidades específicas de cada industria y garantía de validación para cumplir con US FDA 21 CFR parte 11, y servicios de soporte para clientes que deben realizar sus propias validaciones y documentaciones. Validamos la seguridad de nuestra plataforma a través de certificaciones y auditorías en toda la industria a cargo de auditores independientes. Estas auditorías permiten que los controles de seguridad de Saba se sometan a una evaluación independiente en cuanto a su efectividad de diseño y operación.

Un compromiso con los controles independientes

No sorprende que nuestros clientes esperen que expertos independientes validen que las medidas que tomamos en Saba cumplan con los controles y los estándares de seguridad, funcionen correctamente y admitan requisitos específicos de cada industria en los casos necesarios. Para ayudar a que nuestros clientes superen estos umbrales de seguridad y cumplimiento, invertimos continuamente en recursos y les ofrecemos a nuestros clientes un acceso a evaluaciones independientes de nuestros controles de seguridad y de la eficacia general de las medidas de seguridad. Las evaluaciones independientes están disponibles a pedido, entre ellas informes de auditoría AICPA SOC 2 tipo 2, informes de vulnerabilidad de aplicaciones web y resultados de análisis de vulnerabilidades de redes y hosts.

Organización de seguridad y cumplimiento dedicada

Nuestro equipo exclusivamente dedicado a la seguridad de Saba está compuesto por líderes de la industria y expertos certificados en las prácticas recomendadas del sector orientados a la gestión del riesgo en el complejo panorama de requisitos contra amenazas, protección de datos emergentes, cumplimiento y privacidad de los datos. La organización de seguridad de Saba ejerce una separación de tareas, informa de manera separada y directa a la gerencia superior y trabaja junto a los equipos de TI, operaciones en la nube y desarrollo de productos para garantizar que los productos y los servicios se diseñen de manera segura desde la perspectiva del cliente, además de monitorear continuamente las actividades operativas de la nube de Saba. Con nuestros conocimientos únicos sobre seguridad y privacidad y un enfoque colaborativo, nos asociamos con usted para garantizar un entorno confiable para su negocio.

Más allá de las fronteras

Controlar la ubicación de sus datos es un elemento crítico para el cumplimiento y la privacidad de los datos, y Saba posee centros de datos en América del Norte, Europa, Oriente Medio y África, y Asia-Pacífico. Los centros de datos en América del Norte y Europa se someten a auditorías SSAE–16/AT101 tipo 2 y/o SOC 2 tipo 2, poseen la certificación ISO 27001 y cumplen con varios requisitos regulatorios adicionales. Para garantizar el cumplimiento de las regulaciones sobre privacidad, los datos del cliente están alojados solo dentro de centros de datos primarios y secundarios en cada región.

El acceso físico y lógico a nuestros centros de datos posee controles estrictos, con acceso restringido a personal con autorización previa y sistemas de gestión de identidad de varias capas, entre ellos sistemas de identificación biométrica y con tarjetas digitales, y listas de clientes con autorización previa obligatoria y aplicación de procedimientos de ingreso y egreso. Los niveles de servicio en cuanto a disponibilidad y calidad de servicio están estrictamente definidos, y son monitoreados continuamente por un rango de aplicaciones que informan sobre la disponibilidad, el rendimiento y la calidad del servicio. Todas las instalaciones de los centros de datos incluyen protecciones ambientales redundantes, incluidas consideraciones de refrigeración, alimentación, seguridad física, conectividad de red y desastres naturales.

Seguridad por diseño

Con una arquitectura basada en un modelo de seguridad profunda, Saba presta especial atención a la implementación de controles de seguridad en el diseño y la operación de la infraestructura y los servicios. En Saba, nuestro objetivo es la seguridad por diseño, con el fin de garantizar una seguridad sólida de la manera más eficiente posible a nuestros clientes de todo el mundo. 

Características

Consejo de seguridad de Saba

El consejo de seguridad de Saba es un foro basado en consensos para ayudar y colaborar con el director de seguridad de la información en temas relacionados con:

  1. La identificación de iniciativas de seguridad y privacidad de alta prioridad; y
  2. El desarrollo de recomendaciones para políticas, procedimientos y normas para garantizar que estas iniciativas mejoren la postura de seguridad otorgada a Saba y a las redes, la información y los sistemas de información de sus clientes; y
  3. La evaluación del cumplimiento con los requisitos regulatorios y del cliente vigentes.

Sistema y control de acceso de datos

El modelo de seguridad de Saba restringe el acceso a sistemas y datos según la separación de tareas (SoD) definida, los roles y las responsabilidades operativas (RACI) y la "necesidad de acceso". El acceso lógico a nuestros sistemas está restringido por procedimientos y políticas de seguridad, autenticación de dos pasos con nombres de usuario y contraseñas únicas y permisos de localhost restrictivos. El acceso directo a cuentas de administración del sistema (es decir, el acceso root) está prohibido. Los estándares de clasificación de datos requieren que se pueda acceder a los datos del cliente solo a través de sistemas autorizados por Saba.

Seguridad de red

La seguridad de la red se logra a través de capas de firewalls, un diseño avanzado y una segmentación de la red. Se utilizan firewalls de alta disponibilidad para filtrar el tráfico entre las capas de la Web, la aplicación y los datos. Los firewalls son compatibles con inspección profunda de paquetes con estado, descarte de paquetes anómalos, protección contra denegación de servicio, monitoreo de spoofing y filtrado antivirus. Las redes de Saba han sido diseñadas para ser compatibles con segmentación de vLAN y subredes, listas de control de acceso y traducción de direcciones y puertos. Todas las conexiones de datos físicos están configuradas en una topología de malla de alta disponibilidad, y cada sistema y servicio posee no menos de dos rutas de comunicación. La malla de comunicación de la red de Saba garantiza integridad y un flujo ininterrumpido de datos por nuestras redes. Las firewalls de Saba están configuradas de acuerdo con los estándares del Instituto Nacional de Estándares y Tecnología, y las conexiones con todos los endpoints refuerzan nuestra política de “poca permisividad”. Todos los dispositivos de seguridad y los firewalls se monitorean las 24 horas, todos los días del año. Se definen monitores para dispara alertas cuando se superan umbrales predefinidos.

Centros de datos globales

Los centros de datos en América del Norte y Europa, Oriente Medio y África se someten a auditorías SSAE–16/AT101 tipo 2 y/o SOC 2 tipo 2 y poseen la certificación ISO 27001. Hay capacidades adicionales disponibles para satisfacer requisitos regulatorios estrictos.

Protecciones medioambientales

Todos los centros de datos están equipados con sistemas de alimentación redundantes y de alta densidad, con controles automatizados y monitoreados para las instalaciones. Los generadores de energía en todos los centros de datos se someten a pruebas regulares y poseen varios proveedores de combustible para garantizar operaciones continuas en caso de desastre.

Seguridad física

El acceso físico a nuestros centros de datos está controlado de cerca, con acceso restringido a personal autorizado previamente y sistemas de gestión de identidad por capas. El acceso individual a las instalaciones, la bóveda interior y las áreas de las jaulas se administra mediante sistemas de identificación biométrica y con tarjetas digitales, con listas de clientes con autorización previa obligatoria y aplicación de procedimientos de ingreso y egreso. Todos los servidores y las infraestructuras están protegidas con racks bajo llave. Solo personal autorizado tiene acceso a los servidores.

Los sistemas de seguridad física de varias capas poseen el requisito de autorización previa de administración, y los individuos autorizados deben proporcionar una identificación emitida por el gobierno ante personal de seguridad. Además, se requieren trampas con control humano y autenticación de dos pasos (incluidos sistemas biométricos) para acceder a la sala de servidores del centro de datos y a la jaula protegida y exclusiva de Saba.

Pruebas de penetración

Saba trabaja de forma conjunta con diferentes asesores de seguridad independientes para realizar una evaluación de seguridad de caja gris de nuestras aplicaciones ante el lanzamiento de cada versión principal. Esto incluye pruebas de las aplicaciones web y móviles de Saba, además de pruebas de penetración contra la red.

Análisis de aplicaciones web

Como parte de nuestro ciclo de vida útil de desarrollo del sistema, y con el fin de evaluar nuestras aplicaciones, Saba aprovecha soluciones de análisis líderes en la industria y análisis de código estático para realizar comprobaciones contra vulnerabilidades de seguridad conocidas, entre ellas OWASP. Algunas de las pruebas, entre otras, son las siguientes:

  • Autenticación
  • Autorización
  • Configuración
  • Manipulación de cookies
  • Scripting entre sitios
  • Manipulación de campos ocultos
  • Validación de entrada/salida
  • Comprobaciones de vulnerabilidades lógicas
  • Alteración de parámetros
  • Escalado de privilegios
  • Manipulación de datos sensibles
  • Administración de sesiones

Certificaciones profesionales

Nuestro equipo de expertos mantiene una serie de certificaciones profesionales que demuestran su conocimiento y su agudeza en los campos relacionados. Entre las certificaciones se encuentran las siguientes: Certified Systems Engineers, Cisco Certified Network Associates (CCNA), Certified Information Systems Security Professionals (CISSP), Certified Information System Auditors (CISA), Certified Information Security Managers (CISM), GIAC Web Application Penetration Testers (GWAPT) y Certified Information Privacy Professional (CIPP). Además, nuestros técnicos están certificados y/o capacitados en distintos productos de software de sistemas operativos e infraestructura.

Servicios administrados de entorno validado (VEMS)

Las compañías que operan en industrias altamente reguladas, como laboratorios, fabricantes de dispositivos médicos, compañías de biotecnología, desarrolladores de componentes biológicos, compañías de ciencias biológicas y productores de alimentos, están sujetas a rigurosos requisitos de cumplimiento establecidos por los organismos regulatorios en los países correspondientes. Saba admite requisitos de cumplimiento como US FDA título 21 CFR parte 11, entre ellos la forma en que deben conservarse los registros electrónicos y las firmas relacionadas dentro de sistemas con validación informática.

Saba es una solución por la que optamos en gran medida debido a que se trata de una plataforma segura.

— Gavin Hoover, vicepresidente de capacitación, Go Wireless

Demos on Demand

See Saba's solutions in action, no commitment required.

Watch Now

Ready to get started?

¡Empiece ahora mismo!