Centro de confianza

Contamos con estrictas políticas de seguridad de la información aprobadas por la industria en todos los procedimientos y estrategias empresariales.

Las políticas de seguridad de la información de IFS forman parte de nuestro Sistema de Gestión de la Seguridad de la Información (ISMS) global, que se mantiene de acuerdo con numerosos marcos de seguridad reconocidos internacionalmente, como ISO 27001.

Cómo usamos prácticas de seguridad detalladas y de confianza para gestionar y proteger su información.

En IFS seguimos buenas prácticas de la industria, tratando de minimizar el riesgo y poniendo un énfasis particular en una serie de prácticas de confianza.

Centro de Operaciones de Seguridad (SOC)
Invertimos continuamente en nuestra plataforma y seguridad de la red, coordinados por nuestro Centro de Operaciones de Seguridad (SOC). Mediante el uso de una combinación de herramientas convencionales de primera clase y basadas en inteligencia artificial, y pruebas regulares de penetración, nos aseguramos de que nuestras operaciones de negocio estén monitorizadas y protegidas constantemente.

Control de acceso
Nuestro enfoque en cuanto al control de acceso garantiza que nuestros usuarios, partners y proveedores tengan justo el nivel necesario de acceso para desempeñar sus funciones de manera eficiente y efectiva.

También están activos en todos nuestros sistemas el inicio de sesión único (SSO) y la autenticación multifactor (MFA). La criptografía se utiliza tanto en tránsito como en reposo para garantizar los más altos niveles de seguridad de los datos siempre que se comparte información.

Continuidad del negocio
Mediante una planificación exhaustiva de la continuidad de las operaciones, hemos establecido una sólida política de respaldo y recuperación que es fundamental en nuestro plan de recuperación ante desastres. Hemos implementado sistemas y procesos resilientes que son capaces de respaldarnos en caso de un evento de continuidad del negocio en uno o más de nuestros lugares de operación.

Nuestros empleados
Llevamos a cabo amplias comprobaciones previas a la contratación y una rigurosa formación introductoria, seguida de un programa de formación en seguridad anual continuo, con el fin de mantener un entorno de trabajo seguro tanto desde el punto de vista físico como desde el digital. Seguimos procesos formales de incorporación y salida de empleados para garantizar que el acceso a nuestros dominios de IT esté estrictamente controlado en todo momento y que la confidencialidad de la información se mantenga después de la salida del empleado.

Nos aseguramos de que todos los proveedores terceros que apoyen la distribución de nuestros servicios apliquen los mismos altos estándares que establecemos para nosotros.

En algunas ocasiones puede ser necesario para los terceros acceder a información sensible y confidencial. Tanto si es información que pertenece a IFS o a clientes de IFS, todos los terceros con acceso deben seguir nuestras políticas, estándares y prácticas de seguridad de la información. Nuestros procesos de Gestión de Proveedores y Gestión de Partners garantizan que los servicios y entregables proporcionados por nuestro ecosistema de terceros cumpla los mismos altos estándares que establecemos para nosotros.

IFS Experiencia del Ciclo de Vida (LE) es nuestro conjunto de procesos que cubre todo el ciclo de vida de la implementación y la producción. Desde el descubrimiento y la exploración de soluciones, hasta la optimización continuada de soluciones años después de la puesta en marcha, la seguridad es una parte integral de nuestros procesos e incluye segregación ambiental y distribución superpuesta con estricto control de acceso y protección de datos.

IFS Experiencia del Ciclo de Vida proporciona los controles de seguridad anteriores independientemente de si el cliente ha elegido alojar él mismo la solución o aprovechar la ventaja de nuestro servicio IFS Cloud.

Al usar prácticas de codificación seguras y directrices globalmente reconocidas, como OWASP Top 10, nos aseguramos de que el riesgo de vulnerabilidades del producto se minimiza.

Para validar aún más la seguridad del producto durante todo el ciclo de vida del desarrollo, empleamos evaluadores de penetración especialistas externos. Cualquier posible vulnerabilidad se remedia antes de sacar el producto.

La seguridad no es una actividad “de una sola vez”, y continuamos evaluando nuestros productos después de que hayan salido al mercado con el fin de protegerlo contra las amenazas de seguridad que puedan evolucionar y contra cualquier vulnerabilidad asociada con estas. Esto incluye comprobar las posibles vulnerabilidades, no solo en los productos desarrollados por IFS, sino también en los productos de terceros en los que el producto de IFS esté basado.

Proporcionamos parches de seguridad para las vulnerabilidades identificadas que se descubren en nuestros productos y ofrecemos orientación sobre los parches de productos de terceros no suministrados por IFS que sean necesarios. Los clientes del servicio IFS Cloud se benefician de la aplicación de dichos parches por IFS como parte del servicio.

Al elegir nuestro servicio IFS Cloud, los clientes tienen la ventaja de saber que hemos implementado para ellos las buenas prácticas de seguridad en la nube, que incluyen:

• Arquitectura de usuario único totalmente segregado para garantizar la separación entre entornos de clientes
• Cifrado de datos tanto en reposo como en tránsito
• Protección contra virus y malware
• Servicios de monitorización, detección y remedio constantes todos los días del año para los que profesionales experimentados utilizan herramientas empresariales avanzadas
• Detección y protección DDoS a nivel de plataforma
• Copias de seguridad multinivel con almacenamiento de copias geográficamente independiente y capacidades de restauración multinivel
• Capacidad de recuperación ante desastres a una ubicación geográficamente independiente

We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.

Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.

A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.

Los clientes con requisitos de residencia de datos pueden seleccionar entre numerosas geografías compatibles. Esto determina la ubicación física desde la que se alojará el servicio y, por extensión, la ubicación física en la que los datos se almacenarán y procesarán.

A fin de garantizar el mantenimiento de un sólido conjunto de políticas, prácticas y procedimientos, complementamos la experiencia en privacidad de los datos de nuestro equipo interno con la perspectiva exterior de especialistas en protección de datos externos. Esto también separa de una manera efectiva la primera y segunda líneas de defensa, con arreglo a las buenas prácticas.

Integramos la seguridad en cada producto, independientemente de cómo esté alojado. Todo comienza con nuestros procesos seguros de desarrollo de productos, que garantizan que nuestros productos se diseñen teniendo en cuenta la seguridad y se configuren para proporcionar seguridad por defecto.

En IFS monitorizamos diligentemente el rendimiento de los proveedores, asegurándonos de que se cumplan todos los requisitos de seguridad de la información, calidad y contratos. Aquí se incluyen los acuerdos que tenemos establecidos para auditar los procesos y prácticas de seguridad del proveedor. Con nuestro programa de privacidad global, garantizamos la transferencia de datos desde el EEE a subprocesadores (incluidos afiliados de IFS) en otros países. Hemos implementado una serie de cláusulas de contrato estándar y otros mecanismos de transferencia legales con cada subprocesador y garantizamos que existen medidas técnicas y organizativas adecuadas para proteger los datos de nuestros clientes.

Suministramos un Anexo de tratamiento de datos prefirmado que cubre el tratamiento de IFS de los datos controlados por el cliente con arreglo a los reglamentos de privacidad de los datos. En este anexo se incluye una descripción de todo el tratamiento llevado a cabo por IFS al ejecutar los servicios definidos en los acuerdos con los clientes. Los reglamentos de privacidad de los datos cubiertos incluyen el Reglamento General de Protección de Datos (RGPD) y la Ley de Privacidad del Consumidor de California (CCPA).