Politica de seguridad

Prácticas de seguridad, políticas e infraestructura de ManageEngine para soluciones en la nube

La seguridad y la protección de datos son primordiales para nosotros. Nos tomamos la seguridad muy en serio y hemos desarrollado un conjunto completo de prácticas, tecnologías y políticas para ayudar a garantizar que sus datos estén seguros.

Si actualmente mantiene sus datos en computadoras personales o en sus propios servidores, las probabilidades son de que ofrezcamos un mejor nivel de seguridad que el que tiene actualmente.

Este documento describe algunos de los mecanismos y procesos que hemos implementado para ayudar a garantizar que sus datos estén protegidos. Nuestras prácticas de seguridad se agrupan en cuatro áreas diferentes: Seguridad física; Seguridad de la red; Procesos de gente y redundancia y continuidad del negocio.

Seguridad física

Nuestros centros de datos están alojados en algunas de las instalaciones más seguras disponibles en la actualidad en ubicaciones que están protegidas de ataques físicos y lógicos, así como de desastres naturales como terremotos, incendios, inundaciones, etc.

  • Seguridad 7x24x365 . Los centros de datos que alojan sus datos están resguardados los siete días de la semana, las 24 horas del día, todos los días del año por guardias de seguridad privados.

  • Monitoreo de video . Cada centro de datos se monitorea 7x24x365 con cámaras de visión nocturna.

  • Entrada controlada . El acceso a los centros de datos ManageEngine On-Demand está estrictamente restringido a un pequeño grupo de personal preautorizado.

  • Autenticación biométrica de dos factores . Se deben usar dos formas de autenticación, incluida una biométrica, al mismo tiempo para ingresar a un centro de datos ManageEngine On-Demand.

  • Lugares no divulgados . Los servidores ManageEngine On-Demand están ubicados dentro de ubicaciones de aspecto genérico, no reveladas, que los hacen menos propensos a ser el blanco de un ataque.

  • Muros antibalas . Los servidores ManageEngine On-Demand están protegidos de forma segura dentro de muros resistentes a balas.

Seguridad de la red

Nuestro equipo de seguridad de red e infraestructura ayuda a proteger sus datos contra los ataques electrónicos más sofisticados. El siguiente es un subconjunto de nuestras prácticas de seguridad de red. Estos están intencionalmente establecidos de una manera muy general, ya que incluso saber qué tácticas utilizamos es algo que anhelan los hackers. Si su organización requiere más detalles sobre la seguridad de nuestra red, contáctenos.

  • Comunicación segura . Toda la transmisión de datos a los servicios de ManageEngine Cloud está encriptada usando los protocolos TLS 1.2, y usamos certificados emitidos por CA con certificación SHA 256 asegurando que nuestros usuarios tengan una conexión segura desde sus navegadores a nuestro servicio. Utilizamos las claves más recientes y potentes, como las claves AES_CBC / AES_GCM de 256 bits / 128 bits para cifrado, SHA2 para la autenticación de mensajes y ECDHE_RSA como mecanismo de intercambio de claves

  • IDS / IPS . Nuestra red está protegida y protegida por sistemas de detección de intrusiones / prevención de intrusión altamente potentes y certificados.

  • Control y Auditoría . Todos los accesos están controlados y también auditados.

  • Secured / Sliced ​​Down OS . Las aplicaciones ManageEngine On-Demand se ejecutan dentro de un sistema operativo segmentado y reducido diseñado para la seguridad que minimiza las vulnerabilidades.

  • Detección de virus . El tráfico que llega a ManageEngine On-Demand Servers se escanea automáticamente en busca de virus dañinos mediante el uso de protocolos de escaneo de virus de última generación que se actualizan regularmente.

Procesos de personas

Diseñar y ejecutar la infraestructura del centro de datos no solo requiere tecnología, sino también un enfoque disciplinado de los procesos. Esto incluye políticas sobre escalada, administración, intercambio de conocimiento, riesgo, así como las operaciones diarias. El equipo de seguridad de ManageEngine On-Demand tiene años de experiencia en el diseño y operación de centros de datos y mejora continuamente nuestros procesos a lo largo del tiempo. ManageEngine On-Demand ha desarrollado prácticas de clase mundial para gestionar la seguridad y el riesgo de protección de datos.

  • Seleccionar empleados . Solo los empleados con la autorización más alta tienen acceso a los datos de nuestro centro de datos. El acceso del empleado se registra y las contraseñas están estrictamente reguladas. Limitamos el acceso a los datos de los clientes a solo algunos de estos empleados que necesitan dicho acceso para brindar asistencia y solución de problemas en nombre de nuestros clientes.

  • Auditorías . Las auditorías se realizan regularmente y todo el proceso es revisado por la gerencia

  • Como - Base necesaria . El acceso a la información del centro de datos, así como a los datos de los clientes se realiza según sea necesario y solo cuando el cliente lo aprueba (es decir, como parte de un incidente de soporte) o por parte de la alta gerencia de seguridad para brindar soporte y mantenimiento.

Redundancia y continuidad del negocio

Una de las filosofías fundamentales de la computación en la nube es el reconocimiento y la suposición de que los recursos informáticos fracasarán en algún momento. Hemos diseñado nuestros sistemas e infraestructura con eso en mente.

  • Arquitectura de grid distribuida . Los servicios de ManageEngine On-Demand se ejecutan en una arquitectura de grid distribuida. Eso significa que un servidor puede fallar sin un impacto notable en el sistema o nuestros servicios. De hecho, en una semana determinada, varios servidores fallan sin que nuestros clientes lo noten. El sistema ha sido diseñado sabiendo que el servidor eventualmente fallará; hemos implementado nuestra infraestructura para dar cuenta de eso.

  • Redundancia de energía . ManageEngine On-Demand configura sus servidores para la redundancia de la energía, desde el suministro de energía hasta la entrega de energía.

  • Redundancia de Internet . ManageEngine On-Demand está conectado al mundo (y a usted) a través de múltiples ISP Tier-1. Por lo tanto, si alguien falla o experimenta un retraso, puede acceder de manera confiable a sus aplicaciones e información.

  • Dispositivos de red redundantes . ManageEngine On-Demand se ejecuta en dispositivos de red redundantes (conmutadores, enrutadores, puertas de enlace de seguridad) para evitar cualquier punto único de falla en cualquier nivel de la red interna.

  • Refrigeración y temperatura redundantes . Los recursos informáticos intensos generan mucho calor y, por lo tanto, deben enfriarse para garantizar un funcionamiento sin problemas. Los servidores ManageEngine On-Demand están respaldados por N + 2 sistemas HVAC redundantes y sistemas de control de temperatura.

  • Geo Mirroring . Los datos del cliente se reflejan en una ubicación geográfica separada para fines de Recuperación ante desastres y Continuidad del negocio. Tenga en cuenta que la creación de reflejos geográficos está disponible en determinados productos y planes.

  • Prevención de incendios . Los centros de datos ManageEngine On-Demand están protegidos por sistemas de control y prevención de incendios estándar de la industria.

  • Protección de Datos y Copia de Seguridad . Los datos del usuario se respaldan periódicamente en varios servidores, lo que ayuda a proteger los datos en caso de falla del hardware por un desastre.

Certificaciones de seguridad

ISO / IEC 27001 es uno de los estándares de seguridad internacional independientes más ampliamente reconocidos. Este certificado se otorga a organizaciones que cumplen con los altos estándares globales de ISO. ManageEngine obtuvo la certificación ISO / IEC 27001: 2013 para Aplicaciones, Sistemas, Gente, Tecnología y Procesos.

SOC 2 ManageEngine cumple con SOC 2 tipo II. SOC 2 es una evaluación del diseño y la efectividad operativa de los controles que cumplen con los criterios de los Principios de los Servicios de Fideicomiso del AICPA.

Para obtener más información sobre nuestra política de seguridad y certificaciones, contáctese con security@zohocorp.com .
Para obtener una copia del informe de cumplimiento, contáctese con sales@zohocorp.com

Informes de vulnerabilidad:

ManageEngine valora el trabajo realizado por los investigadores de seguridad para mejorar la seguridad de nuestras ofertas de servicios y estamos comprometidos a trabajar con la comunidad para verificar, reproducir y responder a las vulnerabilidades legítimas informadas. Para informar un problema de seguridad, póngase en contacto con security@zohocorp.com .

bsi-aseguramientobsi-aseguramiento