Comprensión de la responsabilidad compartida con Zoho

Zoho asume la responsabilidad de crear productos que sean seguros, confiables y sólidos. Mientras mantenemos la infraestructura en la nube, usted es responsable de proteger los datos y la configuración que establece en las aplicaciones de Zoho.

Cuando utiliza Zoho, la seguridad y privacidad de los datos son una responsabilidad compartida entre nosotros y usted. Este es un modelo que describe la arquitectura de alto nivel de nuestro entorno en la nube, que es software como servicio (SaaS), y las responsabilidades asociadas.

Fecha de actualización: 12 de julio del 2020

Responsabilidad del cliente

  •   Responsabilidad de los datos
  •   Contraseñas
  •  Seguridad del cliente y el punto de conexión

Responsabilidad compartida

  •   Gestión de identidad y acceso
  •   Gestión de datos
  •   Gestión de datos de otras partes
  •   Encriptado
  •   Copias de seguridad
  •   Gestión de incidentes
  •   Concienciación y capacitación
  •   Política y cumplimiento

Responsabilidad de Zoho

  •  Seguridad de los datos
  •  Disponibilidad
  •   Continuidad del negocio
  •   Controles de red
  •   Infraestructura de alojamiento
  •   Seguridad física

Creamos esta guía para ayudarlo a comprender qué realiza Zoho a fin de mantener la cuenta segura, qué puede llevar a cabo para proteger los datos y cómo podemos trabajar en conjunto a fin de lograr un entorno seguro en la nube.

Responsabilidad del cliente

Veamos cuál es su responsabilidad en la protección de los datos en la nube y la seguridad de los dispositivos.

Responsabilidad de los datos

Usted es responsable de lo siguiente:

  • Los datos que comparte y recibe a través de la nube. Usted decide con quién los comparte, el período y los medios para compartirlos.
  • Garantizar la privacidad de los datos que maneja mediante los servicios de Zoho, a fin de asegurarse de que no colocar a disposición del público ningún contenido privado de manera accidental o voluntaria.
  • Mantener la precisión de los datos que procesa en el sistema.
  • Garantizar que usted u otras personas no utilicen la cuenta de servicios de Zoho en su nombre para actividades ilegales o de correo no deseado, y que los servicios de Zoho solo se utilicen para los propósitos previstos.

Contraseñas

Es responsable de crear una contraseña sólida y protegerla cuando la utiliza para iniciar sesión y acceder a la nube.

Seguridad del cliente y el punto de conexión

  • El riesgo de uno de los puntos de conexión (ya sea la computadora portátil, computadora de escritorio o teléfono inteligente) hará que todos los demás controles sean ineficaces.
  • Es responsable de la seguridad del punto de conexión y se espera que mantenga actualizados los servicios del navegador, el SO móvil y las aplicaciones móviles a la última versión, y que cuenten con parches contra las vulnerabilidades.

Responsabilidad compartida

Responsabilidad de control que afectará a Zoho y a usted.

Gestión de identidad y acceso

Proporcionamos infraestructura para gestionar cuentas de usuario a través del servicio de gestión de identidad y acceso (IAM), que facilita lo siguiente:

  • Registro de usuarios, opciones de anulación de registro y especificaciones acerca de cómo utilizarlos.
  • Funcionalidad para gestionar los derechos de acceso de los usuarios en la nube.
  • Técnicas de autenticación sólidas, tales como la autenticación de varios factores y las restricciones de dirección IP.

Usted es responsable de lo siguiente:

  • Implementar controles sólidos de gestión de acceso de usuarios.
  • Configurar contraseñas sólidas según la política de la organización y protegerlas.
  • Habilitar la autenticación de varios factores para los usuarios de la organización.
  • Administrar cuentas y privilegios de usuario: configuración de funciones del usuario según el principio de privilegios mínimos.
  • Definir los administradores de la cuenta de la organización y tener un proceso adecuado para las transferencias de propiedad. Tomar las medidas necesarias para garantizar que la organización no pierda el control de las cuentas de administrador.
  • Revisar periódicamente la lista de usuarios con acceso a los datos y eliminar el acceso de cualquier persona que no deba tenerlo.
  • Revisar con frecuencia los dispositivos vinculados a las cuentas de usuario de la organización y eliminar los dispositivos no utilizados o no autorizados.
  • Monitorear las cuentas de usuario de la organización en busca de acceso o uso malicioso.
  • Notificar a Zoho de cualquier uso no autorizado de las cuentas de la organización.
  • Educar a los usuarios acerca de la importancia de una buena gestión de contraseñas, los riesgos de la reutilización de credenciales, el inicio de sesión en redes sociales y los ataques de suplantación de identidad.

Gestión de datos

Le proporcionamos una plataforma para que gestione los datos con lo siguiente:

  • Funciones de uso compartido de datos para controles de administrador y de nivel de usuario.
  • Funciones de auditoría con respecto a los datos de los clientes para proporcionar transparencia en las actividades importantes y realizar un seguimiento de los cambios.
  • Interoperabilidad de datos: la opción de realizar una copia de seguridad completa de los datos y las configuraciones para migrar todos o una parte de los datos a otro proveedor de SaaS.
  • Retención y eliminación de datos: conservamos los datos en la cuenta mientras utilice los servicios de Zoho. Una vez que cancela la cuenta de usuario de Zoho, los datos se eliminan de la base de datos activa durante la próxima limpieza, la que se produce una vez cada seis meses. Los datos eliminados de la base de datos activa se eliminan de las copias de seguridad después de tres meses.
  • Las funciones de limitaciones de acceso restringen el acceso a los datos del cliente por parte de los empleados y garantizan que solo puedan hacerlo si existe un motivo específico.

Usted es responsable de lo siguiente:

  • Debida diligencia mientras se procesa la información que pertenece a categorías especiales (por ejemplo, datos personales o confidenciales) mediante la aplicación de controles adecuados para cumplir con los requisitos de la legislación vigente.
  • Configurar el uso compartido y la visualización adecuados de los permisos.
  • Revisar periódicamente los informes de auditoría para identificar cualquier actividad sospechosa.
  • Mantener la información de contacto actualizada con Zoho.
  • Quitar datos del sistema una vez que deje de utilizar nuestros servicios. De lo contrario, se someterá a eliminación permanente sin ningún alcance de recuperación.

Gestión de datos de otras partes

Trabajamos a fin de tener integraciones y extensiones seguras para nuestras aplicaciones de la siguiente manera:

  • Aplicaciones de Marketplace: realización de pruebas funcionales, pruebas de seguridad y pruebas de privacidad una vez que nos envía una aplicación. Además, realizamos la revisión del producto y del contenido.
  • Subprocesadores: evaluación de las prácticas de seguridad y privacidad de los subprocesadores que deseamos contratar para garantizar que estén en línea con los estándares de privacidad y de seguridad de la información de Zoho. Luego, ejecutamos los acuerdos de protección de datos adecuados con ellos.
  • Revisamos la política de privacidad y las condiciones de servicio de nuestros proveedores y nos aseguramos de que sus operaciones las cumplan.

Esperamos que usted realice lo siguiente:

  • Habilite o deshabilite integraciones de terceros después de tener en cuenta los datos que se comparten con los entornos de terceros. Debe revisar las condiciones y la política de privacidad del servicio de terceros con respecto a la recopilación, el uso o la divulgación de datos.
  • Marque su preferencia respecto a si le gustaría compartir los detalles con los proveedores cada vez que instale una extensión.
  • Evalúe la idoneidad de las aplicaciones del Marketplace y la razonabilidad de los permisos solicitados antes de la instalación.
  • Notifique a Zoho sobre cualquier comportamiento malicioso identificado en las aplicaciones de Marketplace.

Derechos del interesado

Somos responsables de lo siguiente:

  • Proporcionar funciones que permitan a los clientes ajustarse y proteger los derechos de los clientes.
  • Notificarle las solicitudes de los clientes cuando se comunican con nosotros directamente para ejercer sus derechos.

Está obligado a realizar lo siguiente:

  • Respetar y manejar las solicitudes de los clientes del acceso a los datos, la rectificación, la eliminación y las restricciones en el procesamiento de su información personal.

Encriptado

Protegemos los datos mediante el encriptado en tránsito y en reposo de las siguientes maneras:

  • Datos en tránsito: todos los datos de los clientes que se transmiten a nuestros servidores a través de redes públicas se protegen mediante herramientas de encriptado sólidas. Exigimos que todas las conexiones a nuestros servidores utilicen el encriptado de seguridad de la capa de transporte (TLS 1.2/1.3) con cifrados sólidos en todas las conexiones, incluido el acceso web, el acceso de API, nuestras aplicaciones móviles y el acceso a IMAP/POP/SMTP.
  • Datos en reposo: los datos confidenciales de los clientes se encriptan mediante el algoritmo del estándar de cifrado avanzado (AES) de 256 bits. Los datos encriptados en reposo varían según los servicios que elija. Poseemos y mantenemos las claves utilizando nuestro servicio de gestión de claves (KMS) interno.

Le sugerimos realizar lo siguiente:

  • Determine las necesidades de encriptado. En el caso de los datos en reposo, en muchas situaciones mientras se utilizan nuestros servicios, puede ser responsable de definir cuál de los campos se debe encriptar.
  • Cuando los datos de nuestra nube se descargan o exportan a su entorno o se sincronizan en las integraciones de Zoho o con cualquier otra integración de terceros, se debe asegurar de que se apliquen los controles de encriptado pertinentes. Por ejemplo, habilite el encriptado de disco en los dispositivos y utilice la función de exportación con la protección por contraseña habilitada, etc.

Copias de seguridad

Estamos equipados con un sistema sólido para realizar lo siguiente:

  • Mantener las copias de seguridad a nivel del sistema encriptadas con el algoritmo de AES de 256 bits y almacenadas de manera segura. Ejecutar automáticamente verificaciones de integridad y validación de las copias de seguridad completas.
  • Habilitar las solicitudes de restauración de datos y proporcionar acceso seguro a ellos dentro del período de retención. Proporcionar a los clientes una función para exportar y realizar una copia de seguridad de los datos.

Por su parte, puede realizar lo siguiente:

  • Programar una copia de seguridad para los datos, exportarla de los respectivos servicios de Zoho y almacenarla de manera local en la infraestructura, si es necesario. Usted es responsable de almacenarla de manera segura.

Gestión de incidentes

Desde nuestra parte, garantizamos lo siguiente:

  • Informar todos los incidentes de vulneración de los que estamos al tanto y lo afectan, junto con los detalles del impacto y las acciones adecuadas. En el caso de incidentes específicos de un usuario individual o una organización, se le notificará a la parte correspondiente por el correo electrónico registrado en nuestros servicios.
  • Realizar un seguimiento de dichos incidentes y cerrarlos.
  • Implementar controles para evitar que se repitan situaciones similares.
  • Si se solicita, proporcionaremos pruebas adicionales relacionadas con el incidente que lo afecta.

Esperamos que usted realice lo siguiente:

  • Tome las medidas sugeridas por Zoho en caso de una vulneración.
  • Cumpla con los requisitos de notificación y divulgación de la vulneración de datos, tales como la notificación a los usuarios finales y a las autoridades de protección de datos cuando sea pertinente.
  • Informe acerca de los incidentes de seguridad y privacidad de los que está al tanto a incidents@zohocorp.com.

Concienciación y capacitación

Asumimos toda la responsabilidad de lo siguiente:

  • Capacitar a nuestros empleados para que tengan en cuenta la seguridad y cumplan con un estándar de desarrollo seguro. Los empleados recién contratados forman parte de la capacitación obligatoria acerca de seguridad y privacidad, además de recibir capacitación periódica con respecto a la concienciación sobre seguridad a través de correos electrónicos informativos, presentaciones y recursos disponibles en nuestra intranet.
  • Capacitar a nuestros empleados acerca del manejo adecuado de los datos del cliente del servicio en la nube.

Usted es responsable de capacitar a los usuarios de la nube acerca de lo siguiente:

  • Estándares y procedimientos para el uso de nuestros servicios.
  • Cómo se gestionan los riesgos relacionados con nuestros servicios.
  • Riesgos en el sistema general y el entorno de red.
  • Consideraciones legales y normativas vigentes.

Política y cumplimiento

Cumplimos con un conjunto de directrices, por ejemplo:

  • Tenemos un programa integral de gestión del riesgo implementado e implementamos los controles de manera eficaz.
  • Operamos bajo la ley de diversas jurisdicciones desde las que operamos.
  • Proporcionamos pruebas del cumplimiento de las legislaciones vigentes y según nuestros requisitos contractuales.
  • Ayudaremos en las evaluaciones de la DPIA de nuestros clientes en la medida permitida por las leyes vigentes.

Esperamos que usted realice lo siguiente:

  • Evalúe las regulaciones y las leyes que se le aplican y revise nuestro cumplimiento de las regulaciones y los estándares que se necesitan para la empresa. Puede solicitar información adicional para utilizarla como prueba de nuestro cumplimiento.
  • Comprenda nuestras políticas, nuestros métodos de evaluación de políticas y cómo procesamos los datos.
  • Lleve a cabo una DPIA según lo exijan las leyes de protección de datos vigentes en la organización antes o durante el procesamiento de datos
  • Antes de procesar cualquier dato personal o confidencial, evalúe la base legal. En caso de que la base legal tenga consentimiento, asegúrese de obtener el consentimiento de los clientes.
  • Evalúe la idoneidad de nuestros servicios basados en la nube según la información que proporcionamos y asegúrese de que sea suficiente para satisfacer las necesidades de cumplimiento.
  • Comprenda el perfil de riesgo y la confidencialidad de los datos alojados en los servicios de Zoho y aplique los controles adecuados.

Responsabilidad de Zoho

Somos responsables de la protección “de” la nube y los controles relacionados que ejecutan todos los servicios de Zoho.

Seguridad de los datos

  • Somos responsables del aislamiento de los datos que almacenamos. Los datos de servicio de cada cliente están separados de forma lógica de los datos de otros clientes mediante un conjunto de protocolos seguros en el marco.
  • Somos responsables de la confidencialidad de los datos que almacenamos en reposo, en la transmisión y durante el procesamiento.
  • Somos responsables de la integridad de sus datos y los datos del sistema, tales como los registros y los datos de configuración.
  • Somos responsables de la trazabilidad y el control de los datos, de tal manera que, en un momento dado, se pueda conocer la ubicación física y el procesamiento de los datos.

Disponibilidad

  • Somos responsables de garantizar que nuestros servicios estén disponibles de acuerdo con nuestro SLA de tiempo de actividad de un 99,9 %, mediante el manejo de fallas y amenazas de hardware o software, como la denegación de ataques de servicio.
  • Como cliente, puede visitar zohostatus.com en cualquier momento para consultar el estado actual del sitio, además de las interrupciones anteriores.

Continuidad del negocio

  • Somos responsables de tener un plan de continuidad del negocio activo para ejecutar las principales operaciones, tales como la asistencia y la gestión de infraestructura.
  • Nos aseguraremos de que los datos de la aplicación almacenados de manera resiliente se reflejen en todos los centros de datos. Los datos en el DC principal se reflejan en el secundario casi en tiempo real y podemos cambiar al secundario en caso de algún desastre.

Controles de red

Somos responsables de operar una red de producción segura. Utilizamos firewalls para evitar el acceso no autorizado a la red y el tráfico no deseado en esta. El acceso a las redes de producción se controla estrictamente.

Infraestructura de alojamiento

Somos responsables de proteger y asegurar la infraestructura de alojamiento. Todos los servidores puestos a disposición en la red de producción se fortalecieron de acuerdo con los estándares. Se adoptan las tecnologías de gestión de parches del SO, configuración de línea de base y detección de intrusos de host para mantener una infraestructura segura.

Seguridad física

Somos responsables de garantizar que nuestra infraestructura esté protegida contra accesos físicos, intrusos y desastres no autorizados.

Conclusión

El modelo de responsabilidad compartida para la seguridad en la nube proporciona claridad acerca de las expectativas de seguridad para los usuarios de la nube y los proveedores de servicios en la nube. Sin embargo, comprender las expectativas es solo el primer paso. Los usuarios deben tomar medidas acerca de estas responsabilidades mediante la creación de políticas y procedimientos para su parte de la seguridad en la nube. Zoho seguirá esforzándose para mantener los datos seguros, como siempre, y trabajar en un entorno seguro en la nube.

Si tiene alguna consulta adicional acerca de este tema, no dude en comunicarse con nosotros a security@zohocorp.com