Seguridad:

Como usuarios de nuestro propio producto, entendemos lo importante que es la seguridad y privacidad de su información y estamos comprometidos a ofrecer a nuestros clientes una aplicación altamente segura y confiable, para la cual hemos desarrollado un modelo y controles de seguridad que cumplen con los estándares internacionales ISO/IEC 27001 para la seguridad de la información e ISO/IEC 27018 para la protección de la información en la nube.

Trabajamos sólo con los mejores proveedores de renombre a nivel mundial:

Servicio de pasarela de pagos en línea

Servidores dedicados

Servidores de almacenamiento en la nube

Como parte de nuestro compromiso en este tema, nuestro equipo de seguridad realiza regularmente:

• Monitoreo, análisis y revisiones periódicas de la infraestructura para detectar actividades sospechosas y riesgos potenciales.
• Actualizar el modelo de seguridad de acuerdo a los hallazgos encontrados.
• Implementar medidas de detección y gestión de riesgos para prevenirlos.
• Se realizan copias de seguridad todos los días y se replican en diversos data centers con el fin mantener la información segura y disponible en todo momento. Además, el usuario tiene la posibilidad de descargar todos los documentos manualmente y resguardarlos.

A continuación, se describen los protocolos, certificaciones y metodologías utilizadas para garantizar la protección de su información en MyISO.

Amazon AWS y Bitbucket nos proporcionan la infraestructura para el almacenamiento de información y ambos cuentan con auditorias de servicio y como resultado muestra su informe SSAE16 SOC1 en donde se incluyen los objetivos y actividades de control de la información, puede consultar sus informes aquí:

• https://aws.amazon.com/compliance
• https://aws.amazon.com/security
• https://bitbucket.org/product/cloud-security

Nuestros proveedores de almacenamiento y seguridad de la información cuentan con la certificación International Organization for Standardization (ISO) para la seguridad de la información (ISO/IEC 27001:2013). La cual es el estándar más riguroso a nivel mundial y cuya certificación puede consultarse a continuación:

• https://aws.amazon.com/es/compliance/iso-27001-faqs/
• https://bitbucket.org/product/cloud-security

La arquitectura de MyISO está alojada en GoDaddy y Amazon AWS, proveedores líderes a nivel mundial de servicios para aplicaciones en la nube y que cuentan con las mejores medidas de protección y encriptación para garantizar la seguridad de la información. Se cuenta con tecnología de servidores espejo para garantizar la protección y disponibilidad de la información. Ambas compañías tienen un apartado de seguridad en las cuales describen a detalle esta información:

• https://aws.amazon.com/compliance
• https://aws.amazon.com/security
• https://ca.godaddy.com/help/what-is-website-security-26451

Además, ninguna otra persona más que nuestros desarrolladores de mayor confianza tienen acceso a la información, esto sólo ocurre si es necesario para resolver algún problema y que haya sido previamente solicitado por el cliente.
En caso de que el cliente decida cancelar la suscripción, podrá decidir si su información se mantiene o si se elimina permanentemente de nuestras bases de datos conforme a nuestra política de privacidad, que puede consultar en la siguiente liga:

• https://www.myiso.com.mx/privacy

Toda la información es almacenada en un ambiente de producción y nuestros desarrolladores tienen permiso únicamente acceder a la información para resolver algún problema que el cliente haya reportado. Las contraseñas e información sensible se encuentran almacenadas y encriptadas en una base de datos dedicada. Además, cada desarrollador firma acuerdos de confidencialidad.

Los servidores de GoDaddy y Amazon AWS están basados en las mejores tecnologías y estándares de seguridad a nivel mundial y constantemente buscan maneras de reducir fallas en sus data centers. Además, cuentan con las siguientes características:

• La información está centralizada en diferentes ubicaciones para garantizar la permanencia de los datos.
• Los servidores son monitoreados bajo videovigilancia y el acceso está estrictamente controlado y restringido.
• Poseen sistemas de protección contra incendios.
• Personal de seguridad 24/7.

• Contamos con un firewall especializado que trabaja 24/7, que se encarga de procesar las peticiones al servidor y bloquear aquellas que sean actividades inusuales o que provengan de aplicaciones maliciosas que busquen robar información. Este tipo de sistemas bloquea puertos y protocolos que pudieran ser una vulnerabilidad al sistema.
• Contamos con una infraestructura para prevenir ataques DDoS.
• Toda la información que procesa el servidor está encriptada bajo mecanismos que incluyen TLS, PGP y FTP.
• Las contraseñas de acceso de cada usuario también se encuentran centralizadas y almacenadas bajo estrictos niveles de encriptación, lo cual impide la recuperación de contraseñas, forzando a restablecerla.

• Todas las mejoras o nuevas funcionalidades del software son previamente probadas y evaluadas en un ambiente de pruebas antes de ser implementadas en producción, con lo cual nos aseguramos de seguir cumpliendo con nuestros protocolos y controles de seguridad y protección de la información.
• Manejamos un historial de versiones del software las cuales se almacenan en repositorios especializados que cuentan con diferentes certificaciones y auditorias de seguridad como SOC II, SOC III, PCCI DSS, ISO/IEC 27001 e ISO/IEC 27018.
• Encriptación de Passwords: Los passwords de nuestros usuarios son almacenados en nuestra Base de Datos usando mecanismos de encriptación como Bcrypt y Argon2. Los empleados de MyISO no pueden ver está información ya que llega encriptada a nuestros servidores.
• Filtro y validación de datos: Las entradas de datos de parte de los usuarios son filtradas y validadas antes de ser guardadas en la Base de Datos. De igual forma se valida que las peticiones a nuestro servidor vengan directamente del software. Esto ayuda a proteger de ataques comunes como SQL Injection, CSRF (Cross Site Request Forgery) y XSS (Cross Site Scripting).
• Cierre de sesión automático: Después de un periodo de inactividad, se cierra automáticamente la sesión del usuario, evitando que usuarios no deseados hagan uso del sistema.
• Control de acceso a las rutas: El software está configurado para prohibir a los usuarios no autorizados el acceso a rutas que contienen información que debe ser visible solo para el personal responsable de dicha información. Nadie puede acceder a documentos sobre los cuales no tenga permiso.
• Respaldos automáticos de Base de datos: Contamos con varias copias de la Base de Datos, las cuales son respaldadas diariamente de manera automática.
• Pruebas automatizadas del software: El software cuenta con pruebas automatizadas para asegurar su correcto funcionamiento siempre que se desarrollan nuevas características para el software.

Nuestro proveedor de pagos PayPal, quien es líder en su ramo a nivel mundial, cumple con el estándar PCI DSS (Payment Card Industry Data Security Standard). Este estándar consiste en un conjunto de requerimientos que deben cumplir todas las empresas que manejan pagos con tarjetas de crédito y débito, sin importar la cantidad ni el monto de las transacciones. Estos estándares ayudan a reducir la probabilidad de robo de datos financieros, pagos fraudulentos o transacciones no autorizadas. Puede ver más de esta información en la siguiente liga:

• https://www.paypal.com/c2/webapps/mpp/pci-compliance?locale.x=en_C2