Seguridad

Zoho proporciona productos de software como servicio (SaaS) a millones de usuarios de todo el mundo para solucionar sus problemas empresariales. La seguridad es un componente clave de nuestras ofertas y se refleja en el personal, el proceso y los productos. En esta página, se abordan temas como la seguridad de los datos, la seguridad operativa y la seguridad física con el fin de explicar cómo ofrecemos seguridad a nuestros clientes.

Fecha de actualización: 12 de julio del 2020

Descripción general

Nuestra estrategia de seguridad incluye los siguientes componentes

  •   Seguridad organizacional
  •   Seguridad física
  •   Seguridad de infraestructura
  •   Seguridad de los datos
  •   Control de acceso e identidad
  •   Seguridad operativa
  •   Gestión de incidentes
  •   Divulgaciones responsables
  •   Gestión de proveedores
  •   Controles del cliente por motivos de seguridad

Seguridad organizacional

Disponemos de un sistema de gestión de seguridad de la información (ISMS) que aborda nuestros objetivos de seguridad junto con los riesgos y las mitigaciones con respecto a todas las partes interesadas. Empleamos políticas y procedimientos estrictos que abarcan la seguridad, la disponibilidad, el procesamiento, la integridad y la confidencialidad de los datos del cliente.

Verificaciones de antecedentes de los empleados

Cada empleado se somete a un proceso de verificación de antecedentes. Contratamos agencias externas reconocidas para realizar esta verificación en nuestra representación. El motivo de esto es verificar los antecedentes penales, los registros de empleos anteriores, si los hubiera, y los antecedentes académicos. Al empleado no se le asignan tareas que puedan implicar riesgos para los usuarios hasta que se realice esta verificación. 

Concienciación sobre seguridad

Cada empleado, cuando se incorpora, firma un acuerdo de confidencialidad y una política de uso aceptable. Luego, realiza una capacitación sobre seguridad de la información, privacidad y cumplimiento. Además, evaluamos su comprensión a través de pruebas y cuestionarios para determinar en qué temas se necesita más capacitación. Proporcionamos capacitación sobre aspectos específicos de seguridad que puedan ser necesarios según su función.

Educamos continuamente a nuestros empleados acerca de la seguridad de la información, la privacidad y el cumplimiento en la comunidad interna, la que los empleados visitan con frecuencia, para mantenerlos informados sobre las prácticas de seguridad de la organización. También organizamos eventos internos para concienciar y fomentar la innovación en las áreas de seguridad y privacidad.

Equipos dedicados de seguridad y privacidad

Contamos con equipos dedicados de seguridad y privacidad que implementan y gestionan nuestros programas de seguridad y privacidad. Estos diseñan y mantienen nuestros sistemas de defensa, desarrollan procesos de revisión de seguridad y monitorean constantemente las redes para detectar actividades sospechosas. Prestan servicios de consultoría específicos del dominio y orientan a los equipos de ingeniería.

Auditoría y cumplimiento internos

Tenemos un equipo exclusivo de cumplimiento para revisar los procedimientos y las políticas de Zoho, a fin de alinearlos con los estándares y determinar qué controles, procesos y sistemas se necesitan para cumplir con dichos estándares. Este equipo también realiza auditorías internas periódicas y facilita las auditorías y evaluaciones independientes por parte de terceros.

Para obtener más detalles, consulte nuestro expediente de cumplimiento.

Seguridad de puntos de conexión

Todas las estaciones de trabajo entregadas a los empleados de Zoho ejecutan una versión actualizada del sistema operativo y están configuradas con un software antivirus. Están configuradas de manera que cumplan con nuestros estándares de seguridad, por lo que las soluciones de gestión de puntos de conexión de Zoho deben configurar y monitorear todas las estaciones de trabajo, además de instalar parches en estas y hacerles seguimiento de forma adecuada. Estas estaciones de trabajo son seguras de forma predeterminada, ya que están configuradas para encriptar datos en reposo, establecer contraseñas seguras y bloquearse cuando están inactivas. Los dispositivos móviles utilizados con fines empresariales están inscritos en el sistema de gestión de dispositivos móviles para garantizar que cumplan con nuestros estándares de seguridad.

Seguridad física

En el lugar de trabajo

Mediante tarjetas de acceso, controlamos el acceso a nuestros recursos (edificios, infraestructura e instalaciones), en los que el acceso incluye el consumo, la entrada y la utilización. A los empleados, contratistas, proveedores y visitantes les proporcionamos diferentes tarjetas de acceso que solo les permiten acceder con el fin estrictamente específico por el que ingresaron a las instalaciones. El equipo de Recursos Humanos (RR. HH.) establece y mantiene los propósitos específicos de las funciones. Mantenemos registros de acceso para detectar y abordar anomalías. 

En los centros de datos

En nuestros centros de datos, un proveedor de ubicación conjunta asume la responsabilidad del edificio, la refrigeración, la alimentación y la seguridad física, mientras que nosotros proporcionamos los servidores y el almacenamiento. El acceso a los centros de datos está restringido a un grupo reducido de personal autorizado. Cualquier otro acceso se convierte en un ticket y solo se autoriza después de obtener la aprobación de los gerentes pertinentes. Se requiere autenticación de dos factores y autenticación biométrica adicionales para ingresar a las instalaciones. Los registros de acceso, los registros de actividad y las grabaciones de las cámaras están disponibles en caso de que ocurra un incidente.

Monitoreo

Monitoreamos todos los movimientos de entrada y salida en cada una de las instalaciones de todos nuestros centros empresariales y centros de datos a través de cámaras de CCTV implementadas conforme a las regulaciones locales. Las grabaciones de respaldo están disponibles hasta un período determinado en función de los requisitos de esa ubicación.

Seguridad de infraestructura

Seguridad de red

Nuestras técnicas de seguridad y monitoreo de red están diseñadas para proporcionar varias capas de protección y defensa. Utilizamos firewalls para evitar el acceso no autorizado a la red y el tráfico no deseado en esta. Nuestros sistemas están segmentados en redes independientes para proteger los datos confidenciales. Los sistemas que sustentan las actividades de prueba y desarrollo están alojados en una red independiente de los sistemas que sustentan la infraestructura de producción de Zoho.

Monitoreamos el acceso del firewall con una programación estricta y regular. Un ingeniero de red revisa todos los cambios realizados diariamente en el firewall. Además, estos cambios se revisan cada tres meses para actualizar y verificar las reglas. Nuestro equipo dedicado de centro de operaciones de red monitorea la infraestructura y las aplicaciones en busca de cualquier discrepancia o actividad sospechosa. Todos los parámetros fundamentales se monitorean continuamente utilizando nuestra herramienta exclusiva, y las notificaciones se activan en caso de que se produzcan actividades sospechosas o anormales en el entorno de producción.

Redundancia de red

Todos los componentes de nuestra plataforma son redundantes. Utilizamos una arquitectura de red distribuida para proteger el sistema y los servicios contra los efectos de posibles fallas en el servidor. Si se produce una falla en el servidor, los usuarios pueden seguir trabajando como de costumbre, ya que los datos y los servicios de Zoho aún estarán a su disposición.

Además, utilizamos varios conmutadores, enrutadores y puertas de enlace de seguridad para garantizar la redundancia a nivel de dispositivo. Esto evita que ocurran fallas en un punto único de la red interna.

Prevención contra DDoS

Utilizamos las tecnologías de proveedores de servicios consolidados y confiables para prevenir ataques DDoS en nuestros servidores. Estas tecnologías ofrecen varias capacidades de mitigación de DDoS para evitar interrupciones debido a un tráfico negativo, al mismo tiempo que permiten el paso de un tráfico positivo. Esto mantiene una alta disponibilidad y un buen rendimiento de los sitios web, las aplicaciones y las API.

Fortalecimiento de servidores

Todos los servidores suministrados para ejecutar actividades de desarrollo y pruebas están reforzados (mediante la deshabilitación de cuentas y puertos no utilizados, la eliminación de contraseñas predeterminadas, etc.). La imagen del sistema operativo (SO) base tiene un fortalecimiento de servidor incorporado, y esta imagen del SO está incluida en los servidores para garantizar la coherencia en todos los servidores.

Detección y prevención de intrusos

Nuestro mecanismo de detección de intrusos identifica las señales basadas en host en dispositivos individuales y las señales basadas en red a partir de puntos de monitoreo dentro de los servidores. Se registran el acceso administrativo, el uso de comandos con privilegios y las llamadas de sistema en todos los servidores de nuestra red de producción. Las reglas y la inteligencia artificial integradas en estos datos les proporcionan advertencias de posibles incidentes a los ingenieros de seguridad. En la capa de aplicación, tenemos nuestro WAF exclusivo que funciona con las reglas de lista blanca y negra.

A nivel de los proveedores de servicios de Internet (ISP), se implementa un enfoque de seguridad de varias capas con limpieza, enrutamiento de red, límites de frecuencias y filtrado para manejar ataques desde la capa de red hasta la capa de aplicación. Este sistema proporciona un tráfico limpio, un servicio confiable de proxy y una rápida generación de informes de ataques, si los hubiera. 

Seguridad de los datos

Seguridad por diseño

Cada cambio y nueva característica se rige por una política de gestión de cambios para garantizar que todos los cambios en las aplicaciones estén autorizados antes de implementarlos en la producción. El propósito del ciclo de vida del desarrollo de software (SDLC) es respetar las directrices de codificación segura, además de examinar los cambios de código en caso de posibles problemas de seguridad, con las herramientas de analizador de códigos, los análisis de vulnerabilidades y los procesos de revisión manual.

Nuestro sólido marco de seguridad basado en los estándares OWASP, implementado en la capa de aplicación, ofrece funcionalidades para mitigar las amenazas como la inyección de SQL, el filtro de scripts de sitios y los ataques DOS de la capa de aplicación. 

Aislamiento de datos

El marco distribuye y mantiene el espacio en la nube para nuestros clientes. Los datos de servicio de cada cliente se separan de forma lógica de los datos de otros clientes utilizando un conjunto de protocolos seguros en el marco. Esto garantiza que ningún otro cliente pueda acceder a los datos de servicio del cliente.

Los datos de servicio se almacenan en nuestros servidores cuando utiliza los servicios. Los datos son de su propiedad y no de Zoho. No compartimos estos datos con ningún tercero sin su consentimiento.

Encriptado

En tránsito: se protegen todos los datos de los clientes que se transmiten a nuestros servidores a través de redes públicas mediante sólidos protocolos de encriptado. Exigimos que todas las conexiones a nuestros servidores utilicen el encriptado de seguridad de la capa de transporte (TLS 1.2/1.3) con cifrados sólidos en todas las conexiones, incluidos el acceso web, el acceso de API, nuestras aplicaciones móviles y el acceso al cliente de correo electrónico IMAP/POP/SMTP. Esto garantiza que la conexión sea segura, ya que permite la autenticación de ambas partes involucradas en la conexión y encripta los datos que se transferirán. Además, en el caso del correo electrónico, nuestros servicios aprovechan la TLS oportunista de manera predeterminada. TLS encripta y envía el correo electrónico de manera segura, lo que mitiga las interceptaciones entre los servidores de correo en los que los servicios de pares son compatibles con este protocolo.

Contamos con el respaldo completo de la confidencialidad directa total (PFS) con nuestras conexiones encriptadas, lo que garantiza que incluso si de alguna manera nos vemos afectados en el futuro, no se podría desencriptar ninguna comunicación anterior. Habilitamos el encabezado de seguridad de transporte estricta (HSTS) de HTTP en todas nuestras conexiones web. Esto les indica a todos los navegadores modernos que solo se pueden conectar con nosotros mediante una conexión encriptada, incluso si escribe una dirección URL en una página insegura de nuestro sitio. Además, en la Web, marcamos todas nuestras cookies de autenticación como seguras.

En reposo: los datos en reposo de los clientes se encriptan mediante el estándar de cifrado avanzado (AES) de 256 bits. Los datos encriptados en reposo varían según los servicios que elija. Poseemos y mantenemos las claves utilizando nuestro servicio de gestión de claves (KMS) interno. Ofrecemos capas adicionales de seguridad mediante el cifrado de las claves de encriptado de datos utilizando claves maestras. Las claves maestras y las claves de encriptado de datos se separan y almacenan físicamente en diferentes servidores con acceso limitado.

Haga clic aquí para obtener información detallada acerca del encriptado de Zoho y haga clic aquí para comprender qué datos encriptamos en nuestros servicios.

Retención y eliminación de datos

Conservamos los datos en su cuenta mientras utilice los servicios de Zoho. Una vez que cancele su cuenta de usuario de Zoho, los datos se eliminarán de la base de datos activa durante la próxima limpieza, la cual ocurre una vez cada seis meses. Los datos eliminados de la base de datos activa se eliminarán de las copias de seguridad después de tres meses. En caso de que su cuenta no pagada esté inactiva durante un período continuo de 120 días, la cancelaremos después de avisarle con anticipación y tendrá la opción de respaldar los datos.

Un proveedor verificado y autorizado realiza la eliminación de los dispositivos inutilizables. Hasta ese momento, los categorizamos y los almacenamos en un lugar seguro. Toda la información contenida en los dispositivos se formatea antes de eliminarlos. Desmagnetizamos los discos duros con fallas y los destruimos físicamente con un triturador. Trituramos y borramos de forma criptográfica los dispositivos de estado sólido (SSD) con fallas.

Control de acceso e identidad

Registro único (SSO)

Zoho ofrece un registro único (SSO), lo que les permite a los usuarios acceder a varios servicios utilizando la misma página de inicio de sesión y las mismas credenciales de autenticación. Cuando inicia sesión en cualquier servicio de Zoho, esto se produce solo a través de nuestro servicio integrado de gestión de identidad y acceso (IAM). Además, somos compatibles con SAML para el registro único, que permite que los clientes integren el proveedor de identidad de su empresa, como LDAP y ADFS, cuando inicien sesión en los servicios de Zoho

El SSO simplifica el proceso de inicio de sesión, garantiza el cumplimiento, proporciona un control de acceso y una generación de informes eficaces, y reduce el riesgo de sufrir fatiga de contraseña, lo que disminuye las contraseñas inseguras.

Autenticación de varios factores

Ofrece una capa adicional de seguridad, ya que exige una verificación adicional que el usuario debe conocer, además de la contraseña. Esto puede reducir en gran medida el riesgo de que se produzca un acceso no autorizado si la contraseña de un usuario se ve afectada. Puede configurar la autenticación de varios factores mediante Zoho One-Auth. Actualmente, distintos modos son compatibles, como la identificación biométrica por huella digital o reconocimiento facial, la notificación de inserción, el código QR y el OTP temporal.

Además, somos compatibles con la clave de seguridad de hardware Yubikey para la autenticación de varios factores.

Acceso administrativo

Utilizamos controles de acceso técnicos y políticas internas para prohibir que los empleados accedan arbitrariamente a los datos de los usuarios. Respetamos los principios de privilegios mínimos y permisos basados en funciones para minimizar el riesgo de exposición de los datos.

El acceso a los entornos de producción se mantiene mediante un directorio central y se autentica utilizando una combinación de contraseñas seguras, autenticación de dos factores y claves SSH protegidas por frase secreta. Igualmente facilitamos dicho acceso a través de una red independiente con reglas más estrictas y dispositivos reforzados. Además, registramos todas las operaciones y las auditamos periódicamente.

Seguridad operativa

Registro y monitoreo

Monitoreamos y analizamos la información recopilada de los servicios, el tráfico interno en nuestra red y el uso de dispositivos y terminales. Registramos esta información en forma de registros de eventos, registros de auditoría, registros de fallas, registros de administradores y registros de operadores. Estos registros se monitorean y analizan automáticamente en una medida razonable, lo que nos ayuda a identificar anomalías, como actividad inusual en las cuentas de los empleados o intentos de acceso a los datos de los clientes. Almacenamos estos registros en un servidor seguro aislado del acceso total al sistema para gestionar el control de acceso de forma centralizada y garantizar la disponibilidad. 

El registro detallado de auditoría que abarca todas las operaciones de actualización y eliminación realizadas por el usuario está disponible para los clientes en todos los servicios de Zoho.

Gestión de vulnerabilidades

Contamos con un proceso dedicado de gestión de vulnerabilidades que analiza activamente las amenazas de seguridad utilizando una combinación de herramientas de análisis certificadas de terceros y herramientas internas, así como actividades de pruebas de penetración manuales y automatizadas. Además, nuestro equipo de seguridad revisa activamente los informes de seguridad entrantes y monitorea las listas públicas de correo, los mensajes en blogs y los wikis para detectar incidentes de seguridad que podrían afectar la infraestructura de la empresa.

Una vez que identificamos una vulnerabilidad que requiere corrección, se registra, se prioriza según la gravedad y se asigna a un propietario. Igualmente identificamos los riesgos asociados y realizamos un seguimiento de la vulnerabilidad hasta el cierre del incidente, ya sea mediante la instalación de parches en los sistemas vulnerables o la aplicación de los controles pertinentes.

Protección contra malware y correos no deseados

Analizamos todos los archivos de los usuarios mediante nuestro sistema de análisis automatizado que está diseñado para evitar que el malware se propague a través del ecosistema de Zoho. Nuestro motor antimalware personalizado recibe actualizaciones periódicas de fuentes externas de inteligencia contra amenazas y analiza los archivos en busca de firmas que estén en la lista negra y de patrones maliciosos. Además, nuestro motor de detección exclusivo, que incluye técnicas de aprendizaje automático, garantiza que los datos del cliente estén protegidos contra el malware. 

Zoho es compatible con la autenticación de mensajes, la generación de informes y el cumplimiento basados en dominio (DMARC) como método para evitar los correos no deseados. DMARC utiliza SPF y DKIM para verificar que los mensajes sean auténticos. También empleamos nuestro motor de detección exclusivo para identificar usos indebidos de los servicios de Zoho, como actividades de suplantación de identidad y de correo no deseado. Además, tenemos un equipo exclusivo de correo no deseado para monitorear las señales provenientes del software y manejar las denuncias de uso indebido.
Para obtener más información, haga clic aquí.

Copia de seguridad

Ejecutamos copias de seguridad progresivas diariamente y copias de seguridad completas una vez a la semana mediante la consola de administración de Zoho (ZAC) para los DC de Zoho. Los datos de copias de seguridad contenidos en el DC se almacenan en la misma ubicación y se encriptan mediante el algoritmo AES de 256 bits. Los almacenamos en formato tar.gz. Todos los datos respaldados se retienen durante tres meses. Si un cliente solicita la recuperación de los datos dentro del período de retención, los restauraremos y les proporcionaremos un acceso seguro a ellos. La cronología para la restauración de los datos depende del tamaño de los datos y de la complejidad involucrada.

Para garantizar la seguridad de los datos respaldados, utilizamos un conjunto redundante de discos independientes (RAID) en los servidores de respaldo. Todas las copias de seguridad se programan y se les realiza un seguimiento periódicamente. En caso de una falla, se vuelve a iniciar la ejecución y se corrige inmediatamente. La herramienta ZAC realiza automáticamente las verificaciones de integridad y validación de las copias de seguridad completas.

Por su parte, recomendamos enfáticamente que programe copias de seguridad periódicas de los datos mediante su exportación desde los respectivos servicios de Zoho y almacenamiento local en la infraestructura.

Recuperación ante desastres y continuidad del negocio

Los datos de aplicación se almacenan en un almacenamiento resiliente que se refleja en todos los centros de datos. Los datos en el DC principal se reflejan en el secundario casi en tiempo real. En caso de que falle el DC principal, el DC secundario asume el control y las operaciones se realizan sin problemas con una pérdida mínima o nula de tiempo. Ambos centros están equipados con varios ISP.

Contamos con sistemas de respaldo de alimentación, de control de temperatura y de prevención de incendios como medidas físicas para garantizar la continuidad del negocio. Estas medidas nos ayudan a lograr la resiliencia. Además de la redundancia de datos, tenemos un plan de continuidad del negocio para ejecutar las operaciones principales, como el soporte y la gestión de infraestructura.

Gestión de incidentes

Generación de informes

Tenemos un equipo dedicado de gestión de incidentes. Lo notificamos sobre los incidentes en nuestro entorno que puedan afectarlo, junto con las acciones adecuadas que posiblemente deba adoptar. Realizamos un seguimiento y cerramos los incidentes con las medidas correctivas pertinentes. Siempre que corresponda, identificaremos, recopilaremos, adquiriremos y le proporcionaremos las pruebas necesarias en forma de registros de auditoría y de aplicación con respecto a los incidentes que puedan afectarlo. Además, implementamos controles para evitar que se repitan situaciones similares.

Respondemos a los incidentes de seguridad o privacidad que denuncie a través de incidents@zohocorp.com con una prioridad alta. En el caso de incidentes generales, se les notificará a los usuarios por medio de nuestros blogs, foros y redes sociales. En el caso de incidentes específicos de un usuario o una organización, se le notificará a la parte pertinente por correo electrónico (utilizando la dirección de correo electrónico principal del administrador de la organización registrado en nuestros servicios).

Notificación de infracciones

Como controladores de datos, notificamos a la autoridad de protección de datos pertinente sobre una vulneración dentro de las 72 horas posteriores a la detección de esta según el Reglamento General de Protección de Datos (RGPD). En función de los requisitos específicos, también notificamos a los clientes, cuando sea necesario. Como procesadores de datos, les informamos a los controladores de datos pertinentes sin demora indebida. 

Divulgaciones responsables

Existe un programa de generación de informes de vulnerabilidades en “Bug Bounty” que llega a la comunidad de investigadores. Este programa reconoce y recompensa el trabajo de los investigadores en el área de seguridad. Nos comprometemos a trabajar en conjunto con la comunidad para verificar, reproducir e implementar soluciones adecuadas respecto a las vulnerabilidades informadas, así como responder frente a ellas.

Si detecta alguna vulnerabilidad, envíe un informe del problema en el sitio web https://bugbounty.zoho.com/. Si desea informarnos directamente sobre vulnerabilidades, escríbanos a security@zohocorp.com. 

Gestión de proveedores y distribuidores externos

Evaluamos y calificamos a nuestros proveedores en función de nuestra política de gestión de proveedores. Incorporamos nuevos proveedores después de comprender sus procesos respecto a la prestación de servicios y la ejecución de evaluaciones de riesgos. Adoptamos las medidas adecuadas para garantizar que nuestro enfoque de seguridad se mantenga mediante el establecimiento de acuerdos que requieren que los proveedores cumplan los compromisos de confidencialidad, disponibilidad e integridad que tenemos con nuestros clientes. Monitoreamos el funcionamiento eficaz del proceso y las medidas de seguridad de la organización mediante la ejecución de revisiones periódicas de sus controles.

Controles del cliente por motivos de seguridad

Hasta ahora, analizamos las acciones que realizamos para ofrecer seguridad en varios ámbitos a nuestros clientes. Por su parte, estas son las acciones que usted, como cliente, puede ejecutar para garantizar la seguridad:

  •   Elija una contraseña única y segura, y protéjala.
  •   Aplique la autenticación de varios factores
  •   Utilice las últimas versiones del navegador, el SO móvil más reciente y aplicaciones móviles actualizadas para asegurarse de que cuenten con los parches necesarios contra las vulnerabilidades y para emplear las funciones de seguridad más recientes.
  •   Tome precauciones razonables cuando comparta datos de nuestro entorno en la nube.
  •   Clasifique la información en personal o confidencial, y etiquétela según corresponda.
  •   Monitoree los dispositivos vinculados a su cuenta, las sesiones web activas y el acceso de terceros para detectar anomalías en las actividades de la cuenta, así como gestionar las funciones y los privilegios asignados a su cuenta.
  •   Tenga en cuenta las amenazas de suplantación de identidad y malware mediante la observación de correos electrónicos, sitios web y enlaces desconocidos que puedan usar indebidamente su información confidencial a través de la suplantación de Zoho o de otros proveedores de servicios en los que confía.

Para obtener más información acerca de cómo puede trabajar con Zoho para lograr un entorno seguro en la nube, lea nuestro recurso acerca de la Comprensión de la responsabilidad compartida con Zoho. Proporcionamos un análisis minucioso acerca del modelo de responsabilidad compartida y cómo nuestros clientes y Zoho pueden colaborar, además de asumir la responsabilidad individual de la seguridad y privacidad en la nube.

Conclusión

Es su derecho que se vele por la seguridad de los datos y constituye un objetivo permanente de Zoho. Seguiremos esforzándonos para mantener sus datos seguros, como siempre lo hemos hecho. Ante cualquier consulta adicional acerca de este tema, revise las preguntas frecuentes o escríbanos a security@zohocorp.com.