Preguntas frecuentes sobre la seguridad de Zoho

  • ¿Zoho cumple con los estándares de seguridad de la información? 

    Implementamos un sistema de gestión de seguridad de la información (ISMS) derivado de los estándares ISO, que incluye nuestros objetivos de seguridad, junto con los riesgos y las mitigaciones referentes a todas las partes interesadas. Obtuvimos las certificaciones ISO 27001, ISO 27017 e ISO 27018 para demostrar nuestro cumplimiento con los estándares. 

  • ¿Dónde se almacenarán mis datos? ¿Puedo elegir dónde se ubicarán mi cuenta y los datos?

    El centro de datos en el que se almacenan los datos se selecciona automáticamente según el país que elija cuando se registre en los servicios de Zoho.  La información sobre el centro de datos que se seleccionó se muestra justo debajo de la lista de selección País en el formulario de registro.

    Para saber en cualquier momento en qué centro de datos se encuentran sus datos, observe la dirección URL en el navegador cuando inicie sesión en Zoho y cuando utilice nuestras aplicaciones.

    • 1. Si la dirección URL está en el formato *.zoho.com (en el que el [asterisco] indica el nombre de una aplicación de Zoho, como CRM, People, One), entonces sus datos se almacenan en el DC de EE. UU. (Estados Unidos). 
    • 2. Si la dirección URL está en el formato *.zoho.eu, entonces sus datos se almacenan en el DC de la UE (Unión Europea).
    • 3. Si la dirección URL está en el formato *.zoho.in, entonces sus datos se almacenan en el DC de IN (India).
    • 4. Si la dirección URL está en el formato *.zoho.com.au, entonces sus datos se almacenan en el DC de AU (Australia)./li>
  • ¿Los empleados de Zoho tendrán acceso a nuestros datos y a qué datos tendrán acceso?

     Solo un número muy limitado de empleados tiene acceso a los servidores para realizar cualquier trabajo debido a una emergencia, como la solución de problemas. Además, dicho acceso se monitorea, registra y audita de forma estricta para minimizar el riesgo de exposición de los datos.

  • ¿Los datos se almacenan en los productos de Zoho que están encriptados en la nube?

    Encriptamos los datos del cliente tanto en tránsito como en reposo. Los datos en reposo se encriptan con el estándar AES-256 de la industria. Todos los datos de los clientes se encriptan en tránsito a través de redes públicas utilizando la seguridad de la capa de transporte (TLS) 1.2/1.3 con confidencialidad directa total (PFS) para protegerlos de la divulgación o modificación no autorizadas. Para obtener más información sobre el encriptado de Zoho, haga clic aquí.

  • ¿Cómo se gestionan las claves de encriptado? ¿Los clientes pueden cargar sus propias claves?

    Poseemos y mantenemos las claves utilizando nuestro servicio de gestión de claves (KMS) interno. Actualmente, no existe una función para que los clientes carguen sus propias claves.

  • ¿Cómo se almacenan las contraseñas de los servicios en la nube de Zoho?

    Las contraseñas que utiliza para acceder a los servicios de Zoho se almacenan en un esquema de encriptado irreversible. Utilizamos el algoritmo de hash bcrypt con sal por usuario, de modo que incluso si nos robaran nuestra base de datos de inicio de sesión, sería extremadamente costoso aplicar técnicas de ingeniería inversa en las contraseñas.

  • ¿Cómo se implementa la segmentación de datos del cliente en los servicios en la nube de Zoho?

    El marco distribuye y mantiene el espacio en la nube para nuestros clientes. Los datos de varios clientes están separados de forma lógica entre sí y nuestro marco garantiza que ningún otro cliente pueda acceder a los datos de servicio de los clientes.

  • ¿Cómo se protege Zoho contra los ataques DDoS?

    Utilizamos tecnologías de proveedores de servicios consolidados y confiables, que ofrecen variadas capacidades de mitigación de los ataques DDoS para evitar interrupciones provocadas por dichos ataques.

  • ¿Zoho realiza pruebas de penetración y análisis de códigos?

    Sí, realizamos actividades de pruebas de penetración manuales y automatizadas con frecuencia. Utilizamos una combinación de herramientas certificadas de análisis de terceros y herramientas internas para ejecutar el análisis de códigos.

  • Detecté una vulnerabilidad en uno de sus productos. ¿Cómo la informo?

    Si descubrió una vulnerabilidad en uno de nuestros productos, le agradecemos que nos informe para que podamos solucionarla lo antes posible. Contamos con una política de divulgación responsable y un programa Bug Bounty. Obtenga más detalles en https://bugbounty.zoho.com/.

  • ¿Zoho tiene un programa de respuesta frente a incidentes?

    Disponemos de un equipo dedicado de respuesta a incidentes que se encarga de la detección, la evaluación, el análisis forense, la contención y las actividades de recuperación frente a incidentes. En los casos en los que seamos controladores de datos y un incidente derive en una vulneración de datos, se notificará a los clientes afectados dentro de 72 horas después de la detección de este incidente. En los casos en los que seamos procesadores de datos y un incidente derive en una vulneración de datos, se informará a los controladores pertinentes sin demora indebida. 

    En el caso de incidentes generales, se les notificará a los usuarios por medio de nuestros blogs, foros y redes sociales. En el caso de incidentes específicos de un usuario individual o una organización, se le notificará a la parte correspondiente mediante un correo electrónico (a su dirección de correo electrónico principal). El informe completo se entregará a los clientes a pedido en un plazo de cinco a siete días hábiles.

  • ¿Cuáles son las responsabilidades de Zoho durante un incidente de seguridad?

    Lo notificamos sobre incidentes que pueden afectarlo junto con las acciones adecuadas que posiblemente deba adoptar. Realizamos un seguimiento y cerramos los incidentes con las medidas correctivas pertinentes. Siempre que corresponda, le entregaremos las pruebas necesarias sobre los incidentes que puedan afectarlo. Se proporcionará un análisis de causa raíz a pedido.

  • ¿Zoho cumple con el estándar PCI DSS? 

    Dentro de los servicios de Zoho, los siguientes cumplen con el estándar PCI DSS: todos los productos de Zoho Finance Plus, es decir, Zoho Books, Zoho Invoice, Zoho Inventory, Zoho Subscription, Zoho Expense, Zoho Checkout y Zoho Commerce. El servicio de pagos que los clientes utilizan para adquirir suscripciones de Zoho también cumple con el estándar PCI.

    Otros servicios de Zoho no transmiten ni almacenan los detalles de su tarjeta de crédito.

  • Como cliente de Zoho, ¿cuáles son las opciones de seguridad adicionales que están disponibles para proteger mis datos?

    A continuación, se mencionan las funciones de seguridad adicionales que pueden aprovechar los clientes:

    • Autenticación de varios factores
    • Política de contraseñas configurable
    • Restricción por IP
    • Control de acceso basado en funciones
    • Encriptado de campos personalizados
    • Auditoría de actividad de la cuenta
  • Si un cliente suspende un servicio de Zoho, ¿durante cuánto tiempo se retienen los datos?

    Conservamos los datos en su cuenta mientras usted elija utilizar los servicios de Zoho. Una vez que usted rescinde su cuenta de usuario Zoho, sus datos se eliminarán finalmente de la base de datos activa durante la próxima limpieza, la cual ocurre cada 6 meses. Los datos eliminados de la base de datos activa se eliminarán de los respaldos después de tres meses.

  • ¿En qué consiste el plan de continuidad del negocio y de recuperación ante desastres de Zoho?

    Tenemos un plan de continuidad del negocio para ejecutar las principales operaciones, como el soporte y la gestión de infraestructura. Respecto a la redundancia, los datos presentes en el centro de datos (DC) primario se reflejan en el secundario. En caso de que falle el DC primario, el DC secundario asume el control y las operaciones se realizan sin problemas con una pérdida mínima o nula de tiempo.

  • ¿Cuál es su política de respaldo de datos?

    Realizamos respaldos completos una vez a la semana y respaldos progresivos diariamente. Los datos de respaldo presentes en un DC se almacenan en la misma ubicación y se encriptan en reposo, al igual que los datos originales. Además, restauramos y validamos los respaldos semanalmente. Se aplica un período de retención de tres meses para todos los datos respaldados. En caso de que lo solicite un cliente específico, restauraremos los datos a partir del respaldo y se los facilitaremos.

  • ¿Qué controles tiene implementados respecto al acceso a los datos del cliente?

    Utilizamos controles de acceso técnicos y políticas internas para prohibir que los empleados accedan arbitrariamente a los datos del usuario. Respetamos los principios de privilegios mínimos y permisos basados en funciones para minimizar el riesgo de exposición de los datos.  El acceso a los entornos de producción se facilita a través de una red independiente con reglas más estrictas y dispositivos reforzados. Un directorio central mantiene el control de acceso y se autentica utilizando una combinación de contraseñas seguras, autenticación de dos factores y claves SSH protegidas con frase secreta.

  • ¿Cuál es su compromiso de SLA de disponibilidad?

    Nuestro compromiso de SLA de disponibilidad es un 99,9 % de tiempo de actividad mensual. Para ello, implementamos redundancias en diversos niveles, desde la infraestructura hasta el ISP. Los datos del centro de datos primario se reflejan en el secundario y siempre se proporciona una versión de solo lectura de las aplicaciones de Zoho a partir del centro de datos secundario.

  • ¿Cuál es su proceso de evaluación de riesgos? ¿Con qué frecuencia se realiza la evaluación de riesgos?

    Tenemos una política y un procedimiento de evaluación de riesgos para identificar, analizar y mitigar los riesgos mediante la implementación de los controles adecuados. Realizamos una evaluación de riesgos de cada cambio importante que ocurra en nuestro entorno. Los riesgos generales se revisan y actualizan una vez al año. 

  • ¿Cuál es la política de verificación de antecedentes de los empleados?

    Cada empleado se somete a un proceso de verificación de antecedentes. Contratamos agencias externas reconocidas para realizar esta verificación en nuestra representación. El motivo de esto es verificar los antecedentes penales, los registros de empleos anteriores, si los hubiera, y los antecedentes académicos. Al empleado no se le asignan tareas que puedan implicar riesgos para los usuarios hasta que se realice esta verificación.

  • ¿Qué certificaciones posee Zoho para demostrar su cumplimiento con los estándares?

    Contamos con las certificaciones ISO 27001, ISO 27017 e ISO 27018.  Y Zoho también cumple con SOC 2 tipo II en los ámbitos de seguridad, confidencialidad, integridad de procesamiento, disponibilidad y privacidad. Estas auditorías ISO y SOC se realizan anualmente y abarcan todos los controles esenciales y relevantes. Zoho Corporation participa y ha certificado su cumplimiento con el Marco del Escudo de la privacidad UE-EE. UU.

    Haga clic aquí para obtener más detalles.

  • ¿Compartirá mis datos con el fin de cumplir la ley?

    Siempre le otorgamos la máxima importancia a la privacidad de los clientes. Cuando recibimos solicitudes de autoridades encargadas del cumplimiento de la ley, revisamos dichas solicitudes para verificar si se cumple el proceso legal correspondiente con el fin de obtener una orden válida y vinculante. Nos oponemos a exceder solicitudes inapropiadas. A menos que lo prohíba la ley, notificamos a los clientes antes de divulgar datos de los clientes para que puedan buscar protección contra la divulgación.