Documento técnico

Seguridad en los servicios de nube de Claris

Introducción

Claris International Inc. tiene un compromiso con la excelencia; tanto en el desarrollo de sus productos como en la forma de asistir a sus clientes. Nuestros productos están diseñados para contribuir a la mejora de los negocios de nuestros clientes mediante soluciones seguras, de alto rendimiento y de alta disponibilidad. Y Claris valora la confianza. Para demostrarlo, hemos aplicado regularmente las prácticas de seguridad más destacadas del sector a nuestras propias prácticas. Estos valores respaldan el trabajo que hacemos en Claris.

Los productos de la Plataforma Claris, como Claris FileMaker Server y Claris FileMaker Pro, cuentan desde hace tiempo con la tecnología de seguridad estándar del sector en su arquitectura. Los productos más nuevos de la plataforma, como Claris FileMaker Cloud y Claris Connect, también han sido diseñados para que incorporen las normas y protocolos de seguridad más recientes.

La infraestructura de producción de FileMaker Cloud y Claris Connect se aloja en Amazon Web Services (AWS). Los centros de datos AWS y los servicios AWS proporcionan la infraestructura física, los controles del entorno, los mecanismos de control de acceso y los sistemas de supervisión para habilitar las ofertas de alta seguridad y alta disponibilidad de Claris. Además, Apple provee a Claris de servicios de centro de datos para respaldar su red, sus plataformas de identidad y sus sistemas de seguridad física.

Gracias a nuestro firme compromiso con la excelencia y a nuestra relación con AWS y Apple, Claris tiene capacidad para ofrecer productos y servicios de uso empresarial a organizaciones de todos los tamaños en su afán por implementar la transformación digital.

Gestión de la seguridad

Entorno de seguridad y control

El equipo de Seguridad de la Información es el responsable de garantizar la confidencialidad, integridad y disponibilidad de toda la información de Apple y Claris en las instalaciones, los equipos y las redes utilizadas propiedad de Apple y Claris o que forman parte de la colaboración directa entre ambas. Entre los métodos específicos utilizados para alcanzar estos objetivos se incluyen, a título enunciativo, el desarrollo y la distribución de políticas y procedimientos de seguridad, las evaluaciones de la seguridad, la supervisión y el procesamiento de alertas de seguridad y la respuesta a incidentes de seguridad.

Personas, políticas y formación

Claris tiene el compromiso de contratar a personas que sean profesionales del más alto nivel en su ámbito y se comprometan con los principios fundamentales de la organización: sinceridad, respeto, confidencialidad y cumplimiento normativo.

Para guiar a sus profesionales, Claris cuenta con un conjunto de políticas, normas y directrices que conforman los requisitos y pautas para la implementación de sistemas de alta seguridad y alta disponibilidad.

De acuerdo con estas políticas, normas y directrices de la organización, se requiere al personal que realice cursos de concienciación sobre la seguridad en el momento de su contratación y, posteriormente, una vez al año. Quienes tienen responsabilidades que afectan a la seguridad de los productos de Claris y a los esfuerzos encaminados al cumplimiento normativo reciben información adicional sobre distintos temas

Seguridad técnica

Claris utiliza marcos de seguridad global como guía en sus procesos y controles de seguridad. A continuación se detallan asuntos fundamentales, como la seguridad física, la autenticación, el cifrado, la seguridad de red y el endurecimiento del sistema.

Seguridad física y controles del entorno

Claris utiliza Amazon Web Services (AWS) para cubrir sus necesidades de alojamiento. AWS ha obtenido la certificación SOC 2 Tipo II en los servicios que utiliza Claris, entre los que se incluye el control de la seguridad física y del entorno en sus centros de datos.

Además, Claris, como filial propiedad al cien por cien de Apple, utiliza los servicios de TI de Apple. Apple se rige según los más altos estándares, lo cual se refleja en la forma en que diseña, construye y opera sus centros de datos. Apple ha implementado controles de seguridad para restringir el acceso físico a sus instalaciones y sistemas críticos, entre ellos, los centros de datos, los entornos de POD y las salas de telecomunicaciones. Estos controles incluyen el sistema de acceso mediante insignia por proximidad (que restringe el acceso estrictamente al requerido para llevar a cabo las responsabilidades del puesto), lectores biométricos, sistemas de cámaras en las instalaciones y registros de visitantes.

Controles de autenticación

La seguridad de los sistemas, los dispositivos y las cuentas de Claris comienzan con una creación y gestión segura de las credenciales.

Autenticación multifactor

El acceso administrativo a los entornos de Claris está limitado a los administradores mediante autenticación multifactor. En el entorno de Claris, se implementa el concepto del privilegio mínimo. Mediante las características de control de acceso basado en funciones de AWS, Claris puede proporcionar permisos muy detallados a los distintos tipos de administrador (por ejemplo, administración de servidores, administración de bases de datos o administración de redes).

ID de Claris

El ID de Claris es un sistema de acceso integrado para autenticar a los usuarios de los productos y servicios de Claris. También admite la autenticación a través de proveedores de identidad externos, incluidos Okta y Microsoft Active Directory.

Autenticación con el proveedor de identidad OAuth

OAuth 2.0 se utiliza para autenticar a los usuarios de Claris que inician sesión en apps personalizadas a través de un proveedor de identidad externo como Amazon, Google o Microsoft Azure.

Administración

Claris Customer Console

Claris Customer Console es una aplicación web para trabajar con apps personalizadas alojadas en FileMaker Cloud y para administrar equipos de FileMaker Cloud y Claris Connect. Esta consola se utiliza también para administrar cuentas de ID de Claris, usuarios, grupos, hosts, configuraciones y suscripciones de FileMaker Cloud y Claris Connect.

Cifrado de datos

La protección de la información sensible está grabada en el ADN de Claris. El cifrado de los datos en tránsito o en reposo es una de las herramientas que Claris utiliza y que supone un elemento clave en su compromiso con los clientes.

FileMaker Cloud:

  • En tránsito: las conexiones de los clientes requieren el uso del protocolo TLS 1.2.
  • En reposo: FileMaker Cloud utiliza varios entornos de almacenamiento de datos de AWS para la conservación de datos. En estas plataformas de datos, Claris utiliza AWS Key Management Service (KMS) para el cifrado de datos en reposo.
  • En disco: Claris utiliza AWS KMS con cifrado AES de 256 bits.

Claris Connect:

  • En tránsito: las conexiones de los clientes requieren el uso del protocolo TLS 1.2. Entre los hosts (por ejemplo, entre el nivel de aplicación y el de base de datos), se requieren certificados y un cifrado PFS TLS 1.2 efímero.
  • En reposo: los datos en reposo se almacenan en soluciones de almacenamiento para empresas con un cifrado mínimo AES de 256 bits.
  • En disco: Claris utiliza AWS KMS con cifrado AES de 256 bits.

Seguridad de red

Los servidores de seguridad son una pieza importante en la implementación de la seguridad. En términos generales, un servidor de seguridad se refiere a un control que se puede utilizar para evitar que cierto tráfico de red entre en una red privada. Claris utiliza servidores de seguridad en toda la red y entre distintas zonas de la red. Se trata de servidores de seguridad de aplicaciones, servidores de seguridad de aplicaciones web y servidores de seguridad del nivel de red.

Además, el tráfico de red se supervisa de forma continua. Consulte la sección sobre inicio de sesión y supervisión para obtener más información.

Endurecimiento del sistema

Las configuraciones de línea de base endurecidas contribuyen a que exista coherencia en el entorno operativo y garantizan el uso de software aprobado por Claris en la construcción de los sistemas, al tiempo que minimizan la superficie de ataque en la que se podría producir un evento de código malintencionado.

Como parte de la configuración de línea de base, las herramientas aprobadas por el equipo de Seguridad de la Información para la detección de software malintencionado son requisitos predeterminados dentro de las líneas de base de la configuración. Estas aplicaciones proporcionan detección, supervisión y creación de alertas en el nivel del sistema en cuanto a posibles eventos de seguridad y pueden evitar que el código malintencionado se ejecute. Además, estas herramientas cuentan con rutas de integración definidas a funciones de supervisión empresarial y gestión de eventos, lo cual permite al equipo de Seguridad de la Información añadir temas y actividades en todo el entorno, ejecutar acciones de respuesta a los incidentes y asistir en las investigaciones forenses.

Evaluaciones de la seguridad y gestión de vulnerabilidades

Las evaluaciones de la seguridad las realiza el equipo de Seguridad de la Información antes de la implantación en el entorno de producción de funciones, servicios, configuraciones o códigos nuevos o actualizados.

Las pruebas de seguridad en la infraestructura, incluidos los dispositivos de red y los sistemas operativos, se llevan a cabo mediante la detección de vulnerabilidades y su resolución.

Gestión de amenazas y respuesta a incidentes

Procesos y canal de registros

Los registros suponen una pieza fundamental en la gestión de la seguridad de la información que llevamos a cabo en Claris, ya que estos contribuyen a garantizar la seguridad de nuestros sistemas. El equipo de Seguridad de la Información ofrece a los equipos de producto métodos y herramientas estándar para que le envíen de forma sencilla los registros desde cualquier sistema de Claris. El canal de eventos recibe registros de distintas fuentes y los añade a una ubicación única, disponible de forma global para el personal autorizado en la respuesta a incidentes.

Personal de respuesta a incidentes

El equipo de Respuesta a Incidentes trabaja de forma ininterrumpida supervisando los sistemas y las alertas para identificar los eventos de seguridad en su origen y clasificar las alertas entrantes según su prioridad. Se realiza un seguimiento de los eventos mediante una herramienta centralizada en la que se capturan los detalles del evento y se evalúa el posible impacto de este en el negocio. En la resolución de eventos participan otros equipos mediante un proceso estandarizado y optimizado.

Gestión de incidentes

Claris se apoya en el programa de gestión de incidentes de Apple. Apple ha implementado un programa de gestión de incidentes que incluye políticas y procedimientos para gestionar los riesgos a tiempo y de forma efectiva. Siguiendo el plan de respuesta a incidentes documentado, los eventos de seguridad se asignan al personal adecuado para ser analizados antes de clasificarlos como incidente. Una vez que se identifican como incidente, Apple aplica un enfoque estandarizado mediante el cual se asigna un nivel de severidad al incidente para clasificarlo, priorizarlo y darle una respuesta según corresponda. Además, la organización ha presentado su plan de comunicación de incidentes para documentar y definir las funciones, responsabilidades, obligaciones de cumplimiento y procedimientos de comunicación en los incidentes.

Continuidad de la actividad y recuperación ante desastres

Claris utiliza Amazon Web Services (AWS) para cubrir sus necesidades de alojamiento. Claris ha diseñado la arquitectura de su entorno para que sea altamente redundante y proporcione una alta disponibilidad a sus clientes.

Además, Claris, como filial propiedad al cien por cien de Apple, utiliza los servicios de TI de Apple en ciertas zonas. Como parte del proceso de certificación ISO 27001 de Apple, los centros de datos de Apple se someten a auditoría para garantizar su resistencia y la continuidad operativa.

Gestión de datos y privacidad

Conservación de datos

La organización ha desarrollado políticas y programaciones de conservación para describir los periodos de conservación requeridos para los registros.

El contenido creado por los clientes en los productos de Claris está disponible durante 45 días tras la finalización o expiración de la suscripción del cliente, periodo tras el cual se elimina todo el contenido.

Los datos del cliente utilizados para la administración del usuario (nombre, correo electrónico y número de teléfono) se conservan según considere el cliente y en cumplimiento con la política de privacidad de Claris.

Política de privacidad

Claris está comprometida con la privacidad del cliente y cumple la normativa aplicable sobre privacidad en lo que respecta a nuestros productos y servicios. Claris solo recopila los datos mínimos necesarios para proporcionar el servicio a los clientes.

Los datos recopilados de los clientes se tratan en todo momento de acuerdo con la Política de privacidad de Claris.

RGPD: Claris cumple el RGPD; no obstante, es responsabilidad de los clientes garantizar que la creación de las apps y la gestión de los datos se realizan de acuerdo con las disposiciones del RGPD. Para obtener más información sobre el cumplimiento del RGPD por parte de Claris o si desea realizar una solicitud acerca del RGPD, visite esta página.

HIPAA: Claris no declara el cumplimiento de HIPAA. Si usted es una entidad con cobertura, un socio empresarial o un representante de una entidad con cobertura o socio empresarial, acepta no utilizar ningún componente, función u otro elemento de Claris FileMaker Cloud o Claris Connect para crear, recibir, mantener o transmitir información protegida sobre salud.

PCI: Claris cumple con el estándar PCI en el procesamiento de tarjetas de crédito para sus clientes. No obstante, los productos de Claris no han sido sometidos a una auditoría de PCI, por lo que los datos de las tarjetas de crédito no deben almacenarse en dichos productos.