Saltar al contenido

Seguridad Organizacional

Introducción

Jitterbit se esfuerza por aplicar las mejores prácticas operativas de los principales proveedores de computación en la nube de todo el mundo. Esto incluye:

Confidencialidad

Las medidas de confidencialidad de Harmony funcionan para proteger los datos confidenciales de los clientes del acceso no autorizado. Además de las capas de seguridad física y lógica proporcionadas por nuestro software e infraestructura física, nuestras políticas internas dictan:

  • Separación de funciones: El acceso al sistema de producción de Harmony está disponible solo para el equipo de operaciones de Jitterbit. El equipo de operaciones de Jitterbit debe aplicar cualquier cambio en el ambiente de producción.
  • Mínimo Necesario y Mínimo Privilegio: Dentro del equipo de Operaciones de Jitterbit, el acceso está restringido a los diversos servicios de Jitterbit según sea necesario. El equipo sabe qué empleado tiene acceso a qué recurso de producción de Harmony en cualquier momento y puede revocar ese acceso según sea necesario.

Política de Personal

La política de personal de Jitterbit está diseñada para mantener un alto nivel de confiabilidad de los empleados y mantenerlos al tanto de los aspectos clave de la seguridad y privacidad de la información. Los empleados deben cumplir con un código de conducta que enfatiza la confidencialidad, la ética y el profesionalismo en todas las interacciones con los usuarios, socios y competidores de Jitterbit. Todos los empleados firman un acuerdo de confidencialidad que protege los datos de los clientes de Jitterbit. Todos los empleados de Jitterbit reciben capacitación y pruebas de seguridad periódicas.

Operaciones de Fluctuación de Fase

El equipo de operaciones de Jitterbit es responsable de definir y ejecutar procedimientos para la gestión de versiones de aplicaciones, actualizaciones de hardware y sistema operativo, supervisión del estado del sistema y otras actividades necesarias para el mantenimiento de Harmony.

Las responsabilidades del equipo incluyen:

  • Revisar la seguridad del diseño e implementación de la infraestructura en la nube.
  • Implementar procedimientos que sigan estándares de seguridad, como Cloud Security Alliance (CSA) y Cloud Internet Security (CIS).
  • Definir e implementar la política de gestión de acceso e identidad, y los procedimientos para asignar identidades únicas y rastreables a cada miembro autorizado del equipo de Jitterbit.
  • Definir clasificaciones de confidencialidad de datos que requieran que los empleados que accedan a la información de los clientes de Harmony lo hagan de una manera prescrita que limite la posibilidad de acceso no autorizado.
  • Identificar e implementar tecnologías que aseguren la información del cliente, incluidas tecnologías de cifrado de nivel FIPS 140-2 para datos en tránsito y datos en reposo.
  • Realización de evaluaciones de seguridad de la información técnicas y no técnicas (evaluaciones) que se basan en pruebas de penetración, análisis de vulnerabilidades y auditorías según las normas fundamentales y los códigos de práctica estándar.
  • Supervisar las aplicaciones y la infraestructura de Harmony para detectar posibles problemas de seguridad.
  • Remediar hallazgos y problemas rápidamente.

Ingeniería de Fluctuación de Fase

El equipo de ingeniería de Jitterbit es responsable de diseñar, desarrollar, implementar y probar los servicios de software proporcionados por Harmony. El equipo de Ingeniería trabaja en estrecha colaboración con el equipo de Operaciones para identificar problemas de seguridad, desarrollar procedimientos de monitoreo e implementar tecnología de protección. Las responsabilidades de seguridad del equipo de Ingeniería incluyen:

  • Definición e implementación de prácticas seguras de diseño y codificación.
  • Realización de revisiones de diseño para identificar posibles problemas de seguridad antes de la codificación.
  • Realización de revisiones de código para identificar el código que podría explotarse para otorgar acceso no autorizado a los datos del cliente.
  • Realizar revisiones de código para identificar el código que podría afectar negativamente la disponibilidad.
  • Realización de pruebas de carga en entornos de preproducción para comprobar que se han cumplido los requisitos de disponibilidad.

Control de Calidad de Jitterbit

El equipo de control de calidad de Jitterbit es responsable de realizar pruebas de regresión nuevas y existentes en todo el software lanzado por Engineering para garantizar que no se introduzcan problemas funcionales o de seguridad con los cambios en el software. El equipo de control de calidad de Jitterbit realiza su función en un ambiente separado que se parece mucho a las configuraciones de producción. El equipo de control de calidad de Jitterbit debe aprobar cualquier versión de software antes de que el equipo de operaciones de Jitterbit pueda desplegar ese software en el ambiente de producción de Harmony.

Sitio de Confianza Harmony

El equipo de operaciones de Jitterbit supervisa los estados de disponibilidad y seguridad de Harmony las 24 horas del día, los siete días de la semana. Los datos relacionados con dicha supervisión se publican en el sitio de Jitterbit Trust brindando a los usuarios y al público una visibilidad transparente de nuestras operaciones.

Gestión de Identidad y Acceso

Control de Acceso y Mínimo Privilegio

La política de administración de acceso e identidad requiere que todo el personal de Jitterbit que tenga acceso a los entornos de producción de Harmony cuente con identidades únicas y rastreables en forma de ID de usuario. La política de administración de acceso e identidad hace cumplir el principio de privilegio mínimo, que restringe al personal al nivel mínimo de acceso requerido para completar las tareas asignadas.

Revisión Periódica de Acceso

Las instancias virtuales, los firewalls, los servidores de bases de datos y otro software y hardware de infraestructura están protegidos por identidades de usuario a las que se les ha otorgado un conjunto limitado de permisos. Las concesiones de permisos son revisadas regularmente por el equipo de Operaciones y revocadas cuando un empleado deja la empresa. El equipo de operaciones aplica una política de contraseñas en todos los entornos de producción de Harmony que requieren contraseñas seguras, vencimiento regular de contraseñas y restricciones en la reutilización de contraseñas.

Administracion de Incidentes

El objetivo de la política de gestión de incidentes de Jitterbit no es solo cerrar incidentes de manera rápida y efectiva, sino también recopilar y distribuir información sobre incidentes para que los procesos se mejoren continuamente y las respuestas futuras estén impulsadas por el conocimiento acumulado.

La gestión de incidentes incluye el diagnóstico inicial, la clasificación, la priorización, la escalada y el cierre. Todos los incidentes que no afectan a los usuarios de Harmony se registran en el sistema de seguimiento de problemas de ingeniería. Cualquier problema que afecte a los usuarios se registra en el sistema de atención al cliente para que se realice un seguimiento de los efectos en los SLA.

Gestión de Parches y Alta Disponibilidad

Jitterbit fortalece continuamente sus productos a medida que surgen nuevas amenazas a la seguridad. Además, también se está fortaleciendo la infraestructura de software que utilizamos.

Para mantener el software actualizado, el equipo de operaciones trabaja con el equipo de ingeniería y control de calidad siguiendo una política detallada de administración de parches que cubre el descubrimiento, la prueba y la implementación de parches de seguridad. La estrategia de infraestructura virtual de AWS y Harmony permite que Harmony permanezca disponible, incluso durante las actualizaciones.

El equipo de operaciones monitorea activamente los avisos de seguridad de los proveedores y se suscribe a las notificaciones de lanzamiento de nuevos parches.

Gestión de Capacidad

Harmony actualmente admite miles de usuarios activos que realizan varios procesos de integración. La plataforma Harmony se ha desarrollado para escalar dinámicamente. Los servicios principales que exponen las API a nuestras herramientas y usuarios se ejecutan en Apache Tomcat. Nuestros sistemas rastrean la tasa de uso actual y aprovisionan y detienen automáticamente las instancias EC2 según sea necesario.