Prácticas de seguridad de datos

Verisign ha adoptado y continuará manteniendo prácticas de seguridad técnicas y organizativas apropiadas para los datos de los clientes. Tales prácticas se relacionan con la infraestructura, el software, los empleados y los procedimientos de Verisign, y tienen en cuenta la naturaleza, el alcance y los fines del procesamiento, tal como se especifica en el acuerdo del cliente. Los controles y las prácticas de seguridad están diseñados y destinados a proteger la confidencialidad, integridad y disponibilidad de los datos de los clientes frente a los riesgos inherentes al procesamiento de datos personales, en particular los riesgos de destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada de los datos de los clientes transmitidos, almacenados o procesados de otro modo, o el acceso a dichos datos. Verisign trabaja continuamente para fortalecer y mejorar esos controles y prácticas de seguridad.

Verisign opera bajo prácticas que están alineadas con los Principios y Criterios de Servicios Fiduciarios (Controles del Sistema y la Organización ["SOC", por sus siglas en inglés]) del Instituto Estadounidense de Contadores Públicos Certificados ("AICPA"). (www.aicpa.org). Las prácticas de seguridad de la información de Verisign establecen y rigen las áreas de seguridad aplicables a Verisign y al uso de los servicios de Verisign por parte de los clientes. El personal de Verisign, incluidos los empleados, contratistas y empleados temporales, están sujetos a estas prácticas y a cualquier otra adicional que rija su empleo o los servicios que proporcionan a Verisign.

El enfoque de Verisign con respecto a la seguridad de la información es integral, implementando una estrategia de múltiples niveles en la que la seguridad física, la infraestructura de las redes, el software y las prácticas y los procedimientos de seguridad de los empleados desempeñan un papel esencial reforzado por una gobernanza y supervisión sólidas.

a) Garantías físicas

Verisign emplea medidas diseñadas específicamente para evitar que personas no autorizadas accedan a las instalaciones de Verisign en las que se alojan los datos de los clientes, incluidas sus oficinas y toda su infraestructura de producción. Entre los controles frecuentes que se utilizan en las oficinas y los centros de datos/ubicaciones compartidas de Verisign se encuentra, por ejemplo:

  • Todo acceso físico está restringido y requiere autorización.
  • Todas las instalaciones de Verisign están controladas y monitoreadas por video con capacidad de grabación.
  • Las entradas están protegidas por barreras físicas diseñadas para evitar la entrada no autorizada de vehículos.
  • Las instalaciones cuentan con vigilancia —las 24 horas del día, los 365 días del año— a cargo de guardias de seguridad que se ocupan, entre otras cosas, del reconocimiento visual de la identidad de las personas y de escoltar a los visitantes.
  • Todos los empleados y visitantes deben portar una identificación oficial en un lugar visible mientras estén en el sitio.
  • Los visitantes deben firmar un registro de visitantes y ser escoltados u observados mientras estén en el sitio.
  • Se supervisa la posesión de llaves/tarjetas de acceso y la capacidad de acceder a las instalaciones. El personal que deja de trabajar en Verisign debe devolver las llaves/tarjetas.
  • Se han implementado múltiples generadores, UPS, HVAC y sistemas de supresión de incendios en todas las ubicaciones.

b) Controles de acceso a los sistemas

Los firewalls, los controles de seguridad perimetrales, las VPN y los enrutadores que controlan el acceso están instalados y configurados según los estándares de Verisign para evitar las comunicaciones no autorizadas. Los sistemas de detección de intrusos basados en la red están configurados para detectar ataques o comportamientos sospechosos y se llevan a cabo exploraciones de vulnerabilidades para identificar posibles debilidades en la seguridad y confidencialidad de los sistemas y datos. Verisign puede, dependiendo del servicio específico, aplicar los siguientes controles: (i) autenticación mediante contraseñas y/o autenticación multifactorial; (ii) procesos documentados de autorización y gestión de cambios; y (iii) registro de acceso. El software que soporta la infraestructura de Verisign incluye sistemas operativos, bases de datos y software antivirus que se actualiza según sea necesario. Las aplicaciones desarrolladas internamente realizan funciones de entrega de productos. Además, Verisign utiliza varias utilidades de copia de seguridad/restauración para realizar copias de seguridad diarias y periódicas de los sistemas de producción.

El acceso de Verisign a los datos de sus clientes está restringido al personal autorizado y el acceso se concede tras recibir la aprobación correspondiente de la gerencia. Solo el personal de Verisign que necesite conocerlos tendrá acceso a los datos de los clientes con el único fin de proporcionarles asistencia. Además, Verisign ofrece un mecanismo mediante el cual los clientes pueden controlar el acceso a sus entornos y a su contenido por parte de su personal autorizado.

c) Control conexión y transmisión

Verisign implementa medidas para evitar que los datos del cliente sean leídos, copiados, alterados o eliminados por partes no autorizadas durante su almacenamiento físico, la transmisión y el transporte. Esto se logra a través de diversas medidas, incluido el uso de firewalls adecuados, VPN, protocolo seguro y tecnologías de cifrado para proteger las puertas de enlace y los canales a través de lis cuales se transmiten los datos de los clientes. El acceso de los clientes a los portales de clientes de Verisign también se realiza a través de un protocolo de comunicación seguro provisto por Verisign. Si el acceso se realiza a través de una conexión habilitada para la seguridad en capas de transporte (Transport Layer Security, "TLS"), dicha conexión se negocia con un cifrado de al menos 128 bits. La clave privada utilizada para generar la clave de cifrado es de al menos 2048 bits. La conexión TLS se implementa o puede configurarse para todas las aplicaciones con certificación TLS basadas en la Web que se implementen en Verisign.

d) Segregación de datos

Los datos de los clientes se segregan lógica o físicamente de los de otros clientes alojados en los entornos de Verisign.

e) Confidencialidad y capacitación

El personal de Verisign que pueda tener acceso a los datos de los clientes está sujeto a acuerdos de confidencialidad. Se requiere que el personal de Verisign realice una capacitación de forma periódica.

f) Políticas de seguridad de la información de Verisign

Las políticas de seguridad de la información de Verisign establecen y rigen las áreas de seguridad aplicables a los servicios de Verisign y al uso de dichos servicios por parte de los clientes. El personal de Verisign está sujeto a las políticas de seguridad de la información de Verisign y a cualquier política adicional que rija su empleo o los servicios que presta a Verisign. La información pertinente sobre estas políticas está disponible en el SOC 2 correspondiente o en otros informes de terceros que se pueden compartir con los clientes que lo soliciten.

g) Evaluaciones de la seguridad

Verisign emplea procesos internos para probar, evaluar y mantener regularmente la eficacia de las medidas de seguridad técnicas y organizativas descritas en el presente. Verisign puede emplear a terceros para realizar revisiones independientes y garantizar el cumplimiento de lo siguiente (la disponibilidad y el alcance de los informes pueden variar según el servicio y el país):

  • Principios y Criterios de Servicios Fiduciarios (Controles del Sistema y la Organización y Controles de la Organización ["SOC"] 2 Tipo II) de AICPA.
  • Ley Sarbanes-Oxley de 2002
  • Otras pruebas de seguridad independientes de terceros para revisar la eficacia de los controles administrativos y técnicos.

Fecha de entrada en vigor: 24 de mayo de 2018