cuerdas cuerdas cuerdas

Medidas de seguridad de Jitterbit

Efectivo a partir del 8 de diciembre de 2022

Última actualización: 6 / 1 / 2021

Las principales medidas de seguridad que Jitterbit implementa para proteger los Datos del Cliente se describen en este Anexo de medidas de seguridad de Jitterbit:

Política de seguridad de Jitterbit

Este documento de Medidas de seguridad de Jitterbit (la "Política de seguridad") describe las medidas administrativas, técnicas y físicas que Jitterbit toma para proteger los Datos del cliente del acceso o divulgación no autorizados. Jitterbit ha sido evaluado para cumplir con los requisitos de SOC 1, SOC 2, ISO 27001, US HIPAA Privacy and Security, California Consumer Privacy Act (CCPA) y las reglas del RGPD de la UE. Jitterbit tiene un plan de seguridad de la información por escrito para implementar los términos de esta Política de seguridad que es revisado y aprobado anualmente por su equipo de alta gerencia. Esta Política de seguridad se menciona y forma parte de su acuerdo de Cliente con Jitterbit (el "Acuerdo"). En caso de conflicto entre los términos del Acuerdo y esta Política de seguridad, esta Política de seguridad prevalecerá con respecto a su objeto. Los términos en mayúscula utilizados pero no definidos en esta Política de seguridad tienen los significados establecidos en el Acuerdo o en la Documentación.

Privacidad por diseño: Jitterbit tiene en cuenta activamente la protección de datos y la privacidad en cada paso; esto incluye proyectos internos, desarrollo de productos, desarrollo de software y sistemas de TI.

Privacidad por defecto: Una vez que Jitterbit lanza un producto o servicio al público, se aplican configuraciones estrictas de privacidad de forma predeterminada, sin ninguna intervención manual por parte del usuario. Además, los datos personales proporcionados por el usuario para permitir el uso óptimo de un producto se almacenan, procesan y/o transmiten solo durante el tiempo necesario para proporcionar el producto o servicio, de acuerdo con los estándares definidos.

1. Acceso y gestión de datos del cliente

1.1 El Cliente controla el acceso a su cuenta en la Aplicación Jitterbit a través de ID de usuario, contraseñas y autenticación de dos factores.
1.2 El Personal de Jitterbit no tiene acceso a los Datos del Cliente sin cifrar a menos que el Cliente proporcione acceso a su cuenta de Jitterbit a dicho Personal de Jitterbit. “Personal de Jitterbit” significa empleados de Jitterbit y subcontratistas individuales autorizados de Jitterbit.
1.3 Jitterbit utiliza los Datos del Cliente solo según sea necesario para proporcionar la Aplicación de Jitterbit y el soporte al Cliente, según lo dispuesto en el Acuerdo.
1.4 Jitterbit aloja los metadatos de la aplicación cliente y del proyecto generados por la aplicación Jitterbit solo en el entorno de producción de la aplicación Jitterbit y solo dentro de la región en la que se origina (es decir, los datos de EE. UU. permanecen en EE. UU., los datos de la UE permanecen en la UE y los datos de APAC en región APAC).
1.5 Jitterbit creará y mantendrá diagramas de flujo que indiquen cómo fluyen los datos del cliente a través de la aplicación Jitterbit. Jitterbit proporcionará dichos diagramas de flujo a pedido razonable del Cliente.

2. Separación lógica de los datos del cliente

2.1 Jitterbit Harmony aísla los datos del cliente mediante el uso de:

  • Arquitectura de base de datos segura: base de datos separada y arquitectura de esquema separada
  • Conexiones o tablas seguras: conexiones de base de datos confiables
  • Cifrado: oculta los datos críticos para que permanezcan inaccesibles para las partes no autorizadas, incluso si llegan a poseerlos. Consulte la Sección 16 para obtener más detalles.
  • Filtrado: usar una capa intermedia entre un arrendatario y una fuente de datos que actúa como un tamiz, haciendo que el Cliente parezca que sus datos son los únicos datos en la base de datos.
  • Listas de control de acceso: para determinar quién puede acceder a los datos en la aplicación Jitterbit y qué pueden hacer con ellos.

3. Gestión de acceso a la infraestructura de aplicaciones Jitterbit

3.1 El acceso a los sistemas y la infraestructura que respaldan la Aplicación Jitterbit está restringido al Personal de Jitterbit que requiere dicho acceso como parte de sus responsabilidades laborales.
3.2 El acceso a los registros del sistema y de la aplicación está restringido al Personal autorizado de Jitterbit con el único fin de brindar soporte, identificar problemas y mejorar la Aplicación de Jitterbit.
3.2 Las identificaciones de usuario únicas, las contraseñas y las credenciales de autenticación de dos factores a través de una conexión VPN se asignan al personal de Jitterbit que requiere acceso a los servidores de Jitterbit que admiten la aplicación de Jitterbit.
3.3 La política de contraseñas del servidor para la aplicación Jitterbit en el entorno de producción supera los requisitos de contraseñas de PCI-DSS.
3.4 Los privilegios de acceso del personal Jitterbit separado se desactivan de inmediato. Los privilegios de acceso de las personas que se transfieren a trabajos que requieren privilegios reducidos se ajustan en consecuencia.
3.5 El acceso de los usuarios a los sistemas e infraestructura que soportan la Aplicación Jitterbit se revisa trimestralmente.
3.6 Los intentos de acceso a los sistemas y la infraestructura que respaldan la Aplicación Jitterbit son registrados y monitoreados por Jitterbit.
3.7 Los grupos de seguridad de AWS tienen políticas predeterminadas de denegación total y solo habilitan los protocolos de red requeridos por la empresa para el tráfico de red de entrada y salida.
3.8 Cortafuegos: Jitterbit utiliza un cortafuegos de grupos de seguridad proporcionado por AWS detrás de un equilibrador de carga para controlar el acceso y el tráfico hacia y desde los hosts de la infraestructura.
3.9 Detección de intrusos: Jitterbit supervisa su IDS de Lacework.net

4. Gestión de riesgos

4.1 El proceso de gestión de riesgos de Jitterbit se basa en NIST 800-30
4.2 Jitterbit realiza evaluaciones de riesgos técnicos y no técnicos de varios tipos a lo largo del año, incluidas evaluaciones y pruebas propias y de terceros, escaneos automatizados y revisiones manuales.
4.3 Los resultados de las evaluaciones, incluidos los informes formales, según corresponda, se informan a los Oficiales de seguridad de la información y a los Oficiales de protección de datos. Un comité de seguridad se reúne cada dos semanas para revisar informes, identificar deficiencias de control y cambios materiales en el entorno de amenazas, y hacer recomendaciones para controles nuevos o mejorados y estrategias de mitigación de amenazas a la alta gerencia.
4.4 Los cambios en los controles y las estrategias de mitigación de amenazas se evalúan y priorizan para su implementación sobre una base ajustada al riesgo.
4.5 Las amenazas se monitorean a través de varios medios, incluidos los servicios de inteligencia de amenazas, notificaciones de proveedores y fuentes públicas confiables.

5. Exploración de vulnerabilidades y pruebas de penetración

5.1 Los escaneos de vulnerabilidades que utilizan herramientas de grado comercial se realizan automáticamente trimestralmente y ad-hoc en los sistemas necesarios para operar y administrar la aplicación Jitterbit. La base de datos de vulnerabilidades se actualiza periódicamente.
5.2 Se realizan periódicamente exploraciones que detectan vulnerabilidades que cumplen los criterios de riesgo definidos por Jitterbit; las notificaciones basadas en prioridad se comparten con el personal de seguridad y se abordan.
5.3 El personal evalúa el impacto potencial de las vulnerabilidades que desencadenan alertas.
5.4 Las vulnerabilidades que desencadenan alertas y tienen explotaciones publicadas se informan al Comité de Seguridad, que determina y supervisa las acciones de remediación apropiadas.
5.5 La administración de seguridad supervisa o se suscribe a fuentes confiables de informes de vulnerabilidad e inteligencia de amenazas. 5.6 Las pruebas de penetración realizadas por un experto externo independiente se realizan al menos una vez al año.
5.7 Las pruebas de penetración realizadas por Jitterbit Security se realizan regularmente durante todo el año.
5.8 Jitterbit Harmony el código es revisado por personal interno y externo utilizando herramientas de código abierto y de grado comercial. A las vulnerabilidades descubiertas se les asignan niveles de criticidad y se reparan rápidamente, de acuerdo con el riesgo presentado y las opciones de reparación.

6. Acceso remoto y red inalámbrica

6.1 Todo acceso a las VPC de Jitterbit (p. ej., cuentas de desarrollo y producción) requiere autenticación a través de una conexión segura a través de métodos aprobados, como VPN, y se aplica con autenticación de certificado mutuo y autenticación de dos factores.
6.3 Las oficinas corporativas de Jitterbit, incluidas las redes LAN y Wi-Fi de esas oficinas, se consideran redes no confiables y requieren una autenticación exitosa en la VPN en las cuentas de AWS para acceder. Solo un miembro del equipo de soporte de TI puede acceder de forma remota y segura a la red de la oficina corporativa para respaldar el firewall. phones y otras infraestructuras.
6.4 Jitterbit mantiene una política de no almacenar Datos del Cliente en computadoras de escritorio locales, computadoras portátiles, dispositivos móviles, unidades compartidas, medios extraíbles, así como en sistemas públicos que no estén bajo el control administrativo o los procesos de monitoreo de cumplimiento de Jitterbit.

7. Ubicación de la aplicación Jitterbit

7.1 Los datos del cliente se almacenan en las regiones de aplicación de Jitterbit disponibles: EE. UU., UE y AP; la nube de EE. UU. no se replica con la nube de EMEA (o la nube AP) o viceversa. Cada región dentro de los EE. UU. se replica entre las demás regiones de los EE. UU.

8. Registro de eventos del sistema

8.1 Las herramientas y los servicios de monitoreo se utilizan para monitorear sistemas, incluidos la red, los eventos del servidor y los eventos de seguridad de la API de AWS, los eventos de disponibilidad y la utilización de recursos.
8.2 Infraestructura Jitterbit Eventos de seguridad Los registros se recopilan en un sistema central y se protegen contra la manipulación. Los registros se almacenan durante 12 meses.
8.3 Jitterbit Harmony los registros de aplicaciones se recopilan en un sistema central y se protegen contra manipulaciones. Los registros se almacenan durante 90 días.

9. Administración del sistema, prevención de malware y gestión de parches

9.1 Jitterbit ha creado, implementado y mantiene procedimientos de administración del sistema para los sistemas que acceden a los Datos del Cliente que cumplen o superan los estándares de la industria, incluidos, entre otros, el fortalecimiento del sistema, la aplicación de parches al sistema y al dispositivo (sistema operativo y aplicaciones) y la instalación adecuada de software de detección de amenazas, malware prevención, firma diaria y actualizaciones heurísticas de los mismos.
9.2 El acceso a Internet de los empleados se audita con acceso restringido a sitios en la lista negra.
9.3 Jitterbit Security revisa semanalmente los anuncios de US-Cert y otras nuevas vulnerabilidades y evalúa su impacto en Jitterbit en función de un criterio de riesgo definido por Jitterbit, incluida la aplicabilidad y la gravedad.
9.4 Las actualizaciones de seguridad aplicables de US-Cert y otras clasificadas como "altas" o "críticas" se abordan dentro de los 30 días posteriores al lanzamiento del parche.

10. Capacitación en seguridad de Jitterbit y personal de Jitterbit

10.1 Jitterbit mantiene un programa de concientización sobre seguridad para el Personal de Jitterbit, que brinda educación inicial, concientización continua y reconocimiento individual del Personal de Jitterbit de la intención de cumplir con las políticas de seguridad corporativa de Jitterbit. Los nuevos empleados completan la capacitación inicial sobre seguridad, HIPAA, CCPA y GDPR, firman un acuerdo de información patentada y firman digitalmente la política de seguridad de la información que cubre aspectos clave de la Política de seguridad de la información de Jitterbit.
10.2 Todo el Personal de Jitterbit reconoce que es responsable de informar sobre incidentes o inquietudes de seguridad reales o sospechados, robos, infracciones, pérdidas y divulgaciones o accesos no autorizados a los Datos del Cliente.
10.3 Se requiere que todo el personal de Jitterbit complete satisfactoriamente la capacitación anual en seguridad. Se entregan recordatorios periódicos y capacitación proactiva sobre phishing con regularidad.
10.4 Jitterbit realiza una verificación de antecedentes penales como parte del proceso de contratación de Jitterbit, en la medida en que lo permita la ley.
10.5 Jitterbit se asegurará de que sus subcontratistas, proveedores y otros terceros que tengan acceso directo a los Datos del Cliente en relación con las Aplicaciones de Jitterbit se adhieran a los estándares de seguridad de datos aplicables según lo definido por Jitterbit en Política y Procedimientos, que es una combinación de ISO 27001/27002, NIST 800-53, requisitos CIS, CSA y CERT, HIPAA y GDPR.

11. Seguridad física

11.1 La Aplicación Jitterbit está alojada en AWS y AWS administra todos los controles de seguridad física. Jitterbit revisa el informe AWS SOC 2 Tipo 2 anualmente para garantizar los controles de seguridad física adecuados.

12. Notificación de violación de seguridad

12.1 Una "violación de la seguridad" es (a) el acceso no autorizado o la divulgación de los Datos del Cliente, o (b) el acceso no autorizado a los sistemas dentro de la Aplicación Jitterbit que transmiten o analizan los Datos del Cliente.
12.2 Jitterbit notificará al Cliente por escrito sin demora indebida dentro de las setenta y dos (72) horas de una Infracción de seguridad confirmada.
12.3 Dicha notificación describirá la Violación de seguridad y el estado de la investigación de Jitterbit. 12.4 Jitterbit tomará las medidas adecuadas para contener, investigar y mitigar la Infracción de seguridad.

13. Recuperación ante desastres

13.1 Jitterbit mantiene un Plan de Recuperación de Desastres ("DRP") para las Aplicaciones de Jitterbit. El DRP se prueba anualmente. 13.2 La Aplicación Jitterbit se administra en diferentes Regiones de AWS como implementaciones independientes, que pueden emplearse como parte de la estrategia DRP del Cliente. Para utilizar de forma eficaz la disponibilidad interregional de la Aplicación Jitterbit con fines de recuperación ante desastres, el Cliente es responsable de lo siguiente:
13.2.1 Solicitar cuentas adicionales de la aplicación Jitterbit en diferentes regiones para respaldar su programa DRP. 13.2.2 Administrar su replicación de datos en las regiones correspondientes.
13.2.3 Configurar y administrar sus cuentas de Jitterbit.
13.2.4 Gestión de estrategias de copia de seguridad y restauración.

14. Cumplimiento de la seguridad de Jitterbit, certificaciones y atestaciones de terceros

14.1 Jitterbit contrata a terceros acreditados para realizar auditorías y dar fe de varios cumplimientos y certificaciones anualmente, que incluyen:
14.1.1 Informe de certificación SOC 2
14.1.2 Informe de certificación SOC 1
14.1.2 Informe de cumplimiento de HIPAA para socios comerciales
14.1.3 Informe de cumplimiento del RGPD
14.1.4 Resumen del informe de prueba de penetración
14.1.5 Resumen del informe de evaluación de vulnerabilidades
14.1.6 Informe de certificación ISO 27001
14.1.7 Informe de cumplimiento de CCPA para la Ley de privacidad de California

15. Nube Jitterbit y agente local

15.1 Jitterbit Harmony La nube se ha diseñado teniendo en cuenta la configuración de seguridad más alta para que incluso las implementaciones simples (requisitos de seguridad más bajos) puedan aprovechar esta alta seguridad "integrada".
15.2 Jitterbit proporciona una opción de implementación (agente local) para los Clientes que eligen procesar datos confidenciales fuera de la infraestructura en la nube de Jitterbit y detrás de su propio firewall y red corporativa.

16. Cifrado de datos

16.1 Cifrado de Datos del Cliente en reposo en Harmony: Harmony Los datos de la nube se cifran en reposo con un algoritmo AES-256 FIPS 140-2. Para más detalles, revise el Jitterbit Harmony Documento técnico de arquitectura y seguridad en: https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper
16.2 Cifrado de Datos del Cliente en tránsito hacia/desde Harmony: Harmony Los datos en la nube se cifran en tránsito mediante HTTPS (TLS 1.2), SSH y/o IPsecSsEC. Para más detalles, revise el Jitterbit Harmony Documento técnico de arquitectura y seguridad en:https://success.jitterbit.com/display/DOC/Jitterbit+Security+and+Architecture+White+Paper

17. Responsabilidades del cliente

17.1 El Cliente es responsable de administrar sus propias cuentas y roles de usuario dentro de la Aplicación Jitterbit y de proteger su propia cuenta y credenciales de usuario. El Cliente cumplirá con los términos de su Acuerdo con Jitterbit, así como con todas las leyes aplicables.
17.2 El Cliente notificará de inmediato a Jitterbit si una credencial de usuario se ha visto comprometida o si el Cliente sospecha posibles actividades sospechosas que podrían afectar negativamente la seguridad de la Aplicación Jitterbit o la cuenta del Cliente. El Cliente no puede realizar ninguna prueba de penetración de seguridad o actividades de evaluación de seguridad sin el consentimiento expreso previo por escrito de Jitterbit.
17.3 Para las Aplicaciones de Jitterbit que no están alojadas en Jitterbit, el Cliente es responsable de actualizar su Software de Cliente de Jitterbit siempre que Jitterbit anuncie una actualización.
17.4 Los Clientes son responsables de administrar una estrategia de respaldo con respecto a los Datos del Cliente.
17.5 Los clientes cuyos datos de cliente incluyen PCI, PHI, GDPR, PII u otros datos confidenciales deben implementar la lista blanca de IP y la autenticación multifactor (MFA) proporcionadas por Jitterbit en la aplicación de Jitterbit y considerar el uso del agente local, con una configuración de registro limitada adicional. .

¿Tiene preguntas? Estamos aquí para ayudar.

Contáctenos