Seguridad certificada en Bizneo HR

Revisamos nuestros sistemas regularmente para identificar nuevos riesgos y evaluar medidas implantadas de mitigación, haciendo un exhaustivo análisis al menos una vez al año o en los siguientes casos:

• Cuando hay cambios en la información
• Cuando hay cambios en los servicios
• Si ocurre un incidente de seguridad serio
• Si se detectan problemas importantes de no conformidades en nuestras auditorías internas o externas
• Teniendo en cuenta cambios de legislación
• Si aparecen nuevos requisitos de calidad

• Nuestro equipo de Seguridad se mantiene al día de las últimas vulnerabilidades y parches para mantener nuestra infraestructura segura ante ataques, como los recientes ataques a protocolos SSL.
• Dentro de nuestro proceso de desarrollo seguro, en la fase de integración contínua, se analizan todas las vulnerabilidades recientes descubiertas por las principales comunidades en seguridad de aplicaciones como OWASP y SANS.
• Gracias a una monitorización constante podemos anticiparnos en la detección de vulnerabilidades, de las que avisaríamos al cliente con una notificación formal.
• Igualmente tenemos un canal dedicado a que, internamente o por parte de los clientes, se pueda notificar cualquier posible incidencia (Por medio de nuestro canal de soporte o a security@bineo.com)

• Todo el equipo de Bizneo HR debe conocer y seguir nuestra Política de Seguridad de la Información. Organizamos sesiones de concienciación cada año y ofrecemos formación continua en materia de seguridad.

• Cada empleado firma la aceptación de una política de confidencialidad al inicio de su relación laboral con Bizneo HR.

• También evaluamos a nuestros proveedores para asegurarnos de que cumplan con nuestros estándares. Y deben firmar la aceptación de cumplimento de los mismos.

• Limitamos y controlamos el acceso a nuestros sistemas y datos Definimos quién y en qué medida puede acceder a los recursos, asegurando que solo el personal autorizado tenga acceso necesario para realizar sus tareas.
• El Sistema de Seguridad de la Información implementado en Bizneo HR sigue el Principio del Mínimo Privilegio según el cual se otorga a los usuarios del sistema los niveles (o permisos) de acceso mínimos necesarios para desempeñar sus funciones, con el objetivo de restringir el acceso a la información y recursos únicamente a lo que es estrictamente necesario para cumplir con una tarea específica.
• Este principio de mínimo privilegio garantiza que cada parte (ya sea un proceso, un usuario o un programa) solo pueda acceder a lo que es esencial para su propósito legítimo, no otorgando privilegios innecesarios.
• Al limitar los privilegios se reduce la exposición a ciberataques y se evita la “acumulación de privilegios”.

• Disponemos de autoescalado automático mediante Kubernetes, por lo que podemos responder en pocos segundos a altas demandas de tráfico (aumentando rápidamente el número de servidores). El autoescalado está presente en los servidores de la aplicación y en los que se encargan de procesar la información de nuestros clientes.

• Con estas, y otras medidas, conseguimos una disponibilidad superior al 99,5%, de hecho los últimos meses ha sido prácticamente del 100%

• Las aplicaciones que oferta Bizneo S.L como SaaS son ejecutadas y hospedadas en su totalidad por servicios Amazon Web Services (AWS)

• Los servicios AWS utilizados están certificados bajo ISO 27001, PCI-DSS Compliance, SOC 1 y SOC 2/SSAE, entre otros. Más información sobre la seguridad de AWS aquí.

• Bizneo HR depende de los sistemas de información. Por eso tomamos las medidas adecuadas para protegerlos frente a daños accidentales o deliberados que puedan afectar a la disponibilidad, integridad, confidencialidad, autenticidad o trazabilidad de la información tratada y de los servicios prestados.

• Se han desarrollado procedimientos adecuados, así como política para el manejo y el tratamiento de la información. Implementando medidas de cifrado y protección para asegurar la información en todo momento, durante su almacenamiento y transporte.

• Nuestra BBDD cuenta con controles de confidencialidad e integridad para mantener los datos en reposo seguros, estos mecanismos se llevan a cabo en nuestros servidores, más concretamente usamos algoritmos de cifrado AES-256 GCM.

• Igualmente para acceso a los datos en tránsito, los datos siempre van cifrados por https (con los protocolos ssl correspondientes: TLS 1.2 y 1.3).

• Para la gestión de claves usamos el servicio gestionado de AWS llamado KMS: A la hora de generar claves se cuenta por lo tanto con un módulo de seguridad hardware (HSM) el cual cuenta con un generador de bits aleatorios determinista (DRBG validado por FIPS) enviado por un generador de número aleatorio verdadero (TRNG) en el módulo de hardware HSM que cumple los requisitos de SP800-90B. Se trata de un origen de entropía de alta calidad capaz de producir 20 Mb/s de entropía por HSM.

Backup: Bizneo HR mantiene un sistema de backup para mejorar la seguridad de todas las configuraciones y datos de nuestros clientes además de reducir al mínimo el tiempo de reacción frente a un problema. Este sistema de Backup tiene las siguientes características principales:

• Periodicidad y duración: Tenemos configurado backups completos diarios automáticos. Además se mantiene un backup de la BD por al menos 1 año.

• Tipo de Backup: Snapshots de AWS, son dumps diarios que se realizan por la noche y se almacenan en almacenamiento de larga duración con encriptación en reposo. Point In Time Recovery. No guardamos ficheros en base de datos nunca. Se guardan en S3 y ya el propio AWS da respaldo y backup de ficheros. Los ficheros están todos almacenados en buckets de S3 con su pertinente configuración de respaldo, copias, etc. Es decir, se guardan datos por un lado y ficheros por otro.

• Pruebas de recovery: Semanalmente se despliegan estas copias de seguridad en entornos controlados, quedando probadas.

• Plataforma del backup y protección del mismo: El Backup completo es gestionado dentro de AWS, donde se encuentra cifrado (tanto en reposo (AES-256) como en tránsito (https con TLS 1.2 y 1.3))

• La metodología de desarrollo empleada en Bizneo HR es S-SDLC (Secure Software Development Life Cycle), que se basa en incorporar los requisitos de seguridad en todas las fases de desarrollo del software - desde la definición hasta la verificación antes de la puesta en marcha.
• Esto asegura que las medidas preventivas para asegurar la seguridad de la información y de los sistemas se tengan en cuenta desde fases tempranas de desarrollo, reduciendo la fricción y el coste de implementación de las mismas.
• Las claves de esta metodología son la atención al detalle, la identificación temprana de vulnerabilidades (vigilando las últimas publicaciones de las comunidades de seguridad más importantes como OWASP) y la mejora continua durante el ciclo de desarrollo.

• Bizneo HR en materia de seguridad cumple con lo establecido en marco de la comunidad internacional tal y como nos acreditan nuestras certificaciones ISO 27001.

• Además para comprobar y poder dar más evidencias de ello, nos sometemos a un pentest externo al menos una vez al año. Analizando minuciosamente los resultados para tomar todas las acciones necesarias en un mundo tan cambiante como es la ciberseguridad.

• Estamos también abiertos a que nuestros clientes puedan ejecutar su batería de pruebas de pentesting contra Bizneo HR si así lo necesitarán. En este caso sería recomendable avisar a Bizneo HR para no echar sus conexiones para atrás al comienzo por considerarlo un ataque directamente.

Estamos totalmente comprometidos en desarrollar, implantar, mantener y mejorar continuamente nuestra Política de Seguridad y el Sistema de Gestión de la Seguridad de la Información (SGSI), asegurando una mejora continua en nuestras prácticas de seguridad.