Con el objetivo de ser transparentes y satisfacer las necesidades de seguridad de nuestros clientes, compartimos las prácticas de seguridad que aplicamos en AB Tasty a través de esta política. También encontrará aquí nuestras respuestas a las preguntas más frecuentes sobre seguridad.
Confidencialidad
Acceso a los datos
Gestión de accesos
Aplicamos el principio del menor privilegio, lo que significa que sólo un número limitado de personas puede acceder a los datos de nuestros clientes. Estas personas están identificadas por su nombre y se conserva sistemáticamente un rastro de su acceso.
El acceso a los datos de los clientes sólo se permite cuando es necesario para el mantenimiento de nuestros servicios o con fines de asistencia al cliente.
Además, los derechos de acceso concedidos se actualizan y revisan periódicamente y todo nuestro personal está sujeto a una cláusula de confidencialidad.
Conservación
Los datos se eliminan automáticamente 25 meses después de su recogida. Actualmente, no es posible personalizar el periodo de conservación directamente en la solución.
Mudanzas
Al finalizar los contratos, eliminamos automáticamente las cuentas de usuario de nuestra plataforma y ponemos las campañas en espera.
Tiene la opción de solicitar la eliminación de datos en bounty@abtasty.com.
Recuperación
La solución de AB Tasty le ofrece la posibilidad de recuperar usted mismo los datos de sus campañas de prueba en cualquier momento a través de su función de exportación de datos .csv.
Autentificación
Nuestros usuarios tienen varias posibilidades para autenticarse en nuestra plataforma:
Autenticación simple
El usuario se autentica mediante una combinación de nombre de usuario y contraseña.
La contraseña debe respetar las siguientes condiciones de complejidad:
- Estar compuesto por al menos 12 caracteres
- Contener al menos 1 mayúscula, 1 minúscula, 1 número o carácter especial
- Cambiarse en la primera conexión
La contraseña se almacena en nuestra base de datos en formato hash y salado, es decir, nunca almacenamos la contraseña en texto claro.
Autenticación multifactor
Además del par usuario/contraseña, el usuario introduce un código enviado por SMS para conectarse a la plataforma.
Federación de identidades
Nuestra plataforma es compatible con SAML v2, por lo que puede utilizar su propia solución de federación de identidades para autenticarse.
Gestión de permisos
Los permisos dentro de la solución se conceden según el modelo de autorización RBAC (Role Based Access Control).
Existen varios roles de usuario.
Cifrado
Los datos recogidos se cifran en tránsito (HTTPS/TLS 1.2+).
Supervisamos constantemente el mercado y aplicamos los últimos estándares en criptografía para garantizar la mejor protección a nuestros usuarios.
Separación de entornos de clientes
Los datos recogidos en los sitios web de nuestros clientes se almacenan en una base de datos específica para impedir el acceso no autorizado.
Integridad
Gestión de cambios
AB Tasty quiere ofrecer el mejor producto posible a sus clientes. Por eso nuestra plataforma evoluciona constantemente y desplegamos nuevas versiones con regularidad.
Para evitar la introducción de errores o vulnerabilidades durante estos desarrollos, todos los cambios en nuestra plataforma se controlan estrictamente.
Hemos adoptado un enfoque automatizado de la integración y la publicación continua. Cada vez que un desarrollador modifica el código fuente de la plataforma, lo revisa un compañero. Se realizan sistemáticamente una serie de pruebas unitarias y funcionales en un entorno de ensayo y preproducción antes del lanzamiento en producción.
Suma de comprobación
Nuestras soluciones le permiten modificar y personalizar fácilmente la interfaz gráfica de sus sitios.
En el caso de AB Tasty, estas modificaciones se guardan en un archivo llamado Tag.js, que se almacena en un espacio seguro.
Para mejorar aún más la seguridad del Tag.js, puede comprobar su integridad comparando su suma de comprobación con la que calculamos cuando se depositó en nuestro espacio de almacenamiento mediante nuestra API pública.
Disponibilidad
Centro de datos
Toda nuestra infraestructura informática (aplicaciones, red y almacenamiento) se basa en proveedores de servicios en la nube (AWS y Google Cloud) que cumplen los mejores estándares del mercado y cuentan con las certificaciones ISO 27001 y SOC 2.
Copias de seguridad – Replicación
Hacemos copias de seguridad de sus instancias de base de datos con un periodo de retención de 3 días.
Los datos recogidos se replican en tiempo real en varias zonas, lo que garantiza su disponibilidad en todo momento. Los datos recopilados se almacenan siempre en la región relacionada con el cliente.
Plan de recuperación en caso de catástrofe
Las copias de seguridad y la redundancia de nuestra infraestructura informática en varios centros de datos de nuestros proveedores de servicios en la nube nos permiten garantizar la disponibilidad de nuestros servicios en caso de desastre.
Probamos nuestro plan de recuperación en caso de catástrofe al menos una vez al año para asegurarnos de que los procedimientos de recuperación y la organización definida funcionan correctamente.
Acuerdo de nivel de servicio (SLA)
Garantizamos contractualmente la disponibilidad de nuestros servicios. Los niveles de servicio garantizados pueden consultarse en el apéndice de las condiciones generales de servicio.
Puede comprobar el estado de nuestros servicios casi en tiempo real en una página web específica.
Trazabilidad
Registro
Llevamos un registro de todos los accesos a los datos. La información mínima registrada es la fecha, la hora, el origen de la acción (el usuario o el recurso) y el tipo de operación (insertar, actualizar, eliminar, etc.).
El acceso a los registros se limita al mínimo estrictamente necesario para preservar su integridad y para que puedan utilizarse como elementos de investigación en caso de incidente de seguridad o como prueba en cualquier procedimiento judicial.
Controles de seguridad
Recursos humanos
Antes de incorporarse a AB Tasty, todos nuestros empleados han pasado por un riguroso proceso de selección. Se han comprobado sus antecedentes y nos aseguramos de que tienen las aptitudes adecuadas para el trabajo que van a realizar.
Todos nuestros empleados están sujetos a una cláusula de confidencialidad que se mantiene una vez finalizado su contrato de trabajo.
AB Tasty presenta a todos los recién llegados una carta para el buen uso de los recursos informáticos. Esta carta se adjunta al reglamento interno y, por lo tanto, es aplicable a todos sus empleados. Toda persona que no respete las normas de seguridad podrá ser objeto de medidas disciplinarias.
Seguridad física
El acceso a los edificios de AB Tasty, ya sea para empleados o visitantes, está estrictamente controlado por dispositivos de seguridad como videovigilancia, alarmas de intrusión y tarjetas electrónicas de acceso.
Estamos muy comprometidos con el respeto de la confidencialidad de la información tanto dentro como fuera de nuestras instalaciones. No dejamos ningún documento ni información confidencial a la vista.
Toda la infraestructura informática está alojada en nuestros proveedores de servicios en la nube con certificación ISO 27001.
Vigilancia, auditorías y corrección de vulnerabilidades
Además de los controles de seguridad realizados internamente por los equipos de AB Tasty, como la revisión periódica de las autorizaciones, recurrimos regularmente a proveedores de seguridad independientes para que auditen nuestros servicios.
Realizamos una prueba de penetración anual para descubrir posibles vulnerabilidades y fallos de seguridad. Cuando se descubren dichas vulnerabilidades, proporcionamos los parches de seguridad necesarios lo antes posible.
Dispositivos de protección y seguridad
Todos nuestros sistemas están protegidos por dispositivos de seguridad como antivirus, antimalware o cortafuegos.
El acceso a nuestros servidores y a nuestro entorno de producción está protegido por la implantación de una autenticación fuerte y por un bastión de administración dedicado, accesible a través de VPN.
Se refuerza la configuración de los servidores. Los servicios y puertos abiertos se reducen al mínimo para minimizar la superficie de ataque y limitar nuestra exposición a las ciberamenazas.
Incidente de seguridad
Informamos a nuestros clientes de cualquier incidente de seguridad que pueda afectarles directa o indirectamente. Hemos definido un procedimiento de gestión de incidentes de seguridad para prepararnos lo mejor posible ante esta posibilidad.
Puede notificar cualquier suceso o anomalía que pueda afectar a la seguridad de los datos a la siguiente dirección de correo electrónico: bounty@abtasty.com