The Klaxoon Trust Center
Con nuestro equipo de expertos en seguridad y cumplimiento, responderemos a cualquier solicitud de validación de la seguridad o de gestión de riesgos de terceros, y proporcionaremos ayuda para navegar por las normativas y la gobernanza de datos globales.
Seguridad
1.2 Protección de datos
1.2.1 Acceso a Klaxoon - política de acceso y contraseña
Los usuarios de Klaxoon activan sus cuentas a través de un enlace de activación que reciben por correo electrónico.
Protegen el acceso a sus datos creando una contraseña cuando se conectan por primera vez a Klaxoon.
La política de contraseñas de Klaxoon está en línea con las recomendaciones del NIST: el usuario debe crear una frase de contraseña segura o una contraseña ayudado por una herramienta de medición proporcionada en la interfaz de creación de contraseñas. La detección de la fuerza se basa en la longitud, los diccionarios, el reconocimiento de patrones o incluso el uso de información personal identificable.
1.2.2 Normas de autenticación / SSO
Para facilitar y cumplir con los estándares de autenticación de nuestros clientes, apoyamos la integración del SSO:
- Federación de identidades corporativas (SSO privado): integración SSO específica con cualquier proveedor de identidades compatible con SAMLv2 u OIDC.
- Federación de identidades en línea (SSO públicos): existen varios modos de autenticación en línea para facilitar el acceso a Klaxoon.
1.2.3 Organización y gobernanza de la seguridad
Basándose en las normas ISO, Klaxoon ha creado una organización y una gobernanza de la seguridad, con una dirección general de seguridad, responsables de seguridad y expertos técnicos que participan en las operaciones diarias.
1.2.4 Seguridad de los recursos humanos
Nos aseguramos de que todos los nuevos contratados estén sujetos a la obligación de confidencialidad contractual respecto a la información a la que tienen acceso en el ejercicio de sus funciones. Firman un acuerdo de confidencialidad en el momento de la contratación.
De acuerdo con las leyes aplicables, se realizan controles para todas las nuevas contrataciones. El personal de I+D y administrativo pasa por un control específico antes de poder acceder a los sistemas y a las oficinas de I+D restringidas.
Los contratos de los empleados de Klaxoon incluyen una carta informática en la que se describen sus obligaciones en materia de protección de datos.
Existe un programa permanente de concienciación de los empleados sobre la seguridad y la privacidad de los datos.
1.2.5 Seguridad por diseño
Siendo la seguridad la máxima prioridad en Klaxoon, aplicamos las mejores prácticas de seguridad en los desarrollos que contribuyen a nuestro enfoque de Seguridad por Diseño y al principio de Defensa en Profundidad.
Para su SDLC seguro, Klaxoon el equipo de I+D utiliza una metodología basada en SCRUM con una integración de la seguridad en las diferentes etapas del ciclo de desarrollo.
Dado que la seguridad es un pilar básico de la aplicación, Klaxoon implementa las mejores prácticas recomendadas por los proyectos OWASP SDL (Secure Development Lifecycle) y ASVS (Application Security Verification Standard), desde la fase de diseño.
Se presta especial atención a los principales rankings de riesgos de las aplicaciones, como los 10 proyectos más importantes de OWASP o los CWE Top 25. Las pruebas e hitos de seguridad se integran en el SDLC y las llevan a cabo especialistas internos en seguridad.
1.2.6 Codificación de datos
Tus datos se encriptan en tránsito y en reposo utilizando las técnicas de encriptación y cifrado más robustas y fiables.
En tránsito: Todos los intercambios se realizan en HTTPS. La sesión se encripta mediante TLS 1.2 o superior. Sólo se admiten cifrados fuertes. Consulta el informe completo de la prueba SSL en Qualys SSL Labs (calificación A+).
Los certificados del servidor están refrendados por una Autoridad de Certificación reconocida.
En reposo: Los datos generados por los usuarios se encriptan en reposo con un cifrado por volumen que cumple la norma FIPS 140. Nivel de cifrado: AES-256.
Las contraseñas de los usuarios de Klaxoon se convierten en hash - el algoritmo utilizado: Bcrypt.
1.2.7 Protección de pagos
Todos los pagos son procesados por nuestro socio con certificación PCI-DSS, Klaxoon no almacena los datos de pago en ningún momento.
1.2.8 Auditorías de seguridad
La plataforma de Klaxoon se somete regularmente a pruebas de penetración internas como parte de su S-SDLC.
Las pruebas de penetración externas son realizadas al menos una vez al año por organizaciones independientes certificadas por la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI). Nos aseguramos de que el auditor siga las metodologías más avanzadas (como PTES, NIST).
1.2.9 Gestión de incidentes
El primer nivel de Soporte Técnico es el punto de entrada de cualquier incidente de seguridad, ya sea detectado por el cliente, internamente, o por una fuente externa como la ANSSI. El incidente se rastrea en la herramienta interna de gestión de incidentes de Klaxoon y es tenida en cuenta por nuestros equipos de seguridad y operaciones. Se establece una dirección de correo electrónico específica para informar de cualquier incidente de seguridad.
Los niveles 2 y 3 se activan en función de la gravedad del incidente. En cada nivel, el CISO de Klaxoon y su equipo supervisan las operaciones de análisis, corrección y comunicación con el cliente y/o las autoridades.
1.3 Infraestructura
1.3.1 Infraestructura segura
La infraestructura de Klaxoon utiliza las medidas de seguridad más avanzadas propuestas por nuestros proveedores de la nube, como el cortafuegos basado en reglas, el equilibrio de carga, el escudo DDoS y la gestión de intrusiones.
La administración de Klaxoones gestionada por un equipo especializado que aplica controles de seguridad basados en las normas ISO 27001. El acceso a la administración se realiza a través de túneles seguros, utilizando MFA siempre que sea posible.
Los centros de datos que alojan el servicio cumplen los requisitos de nivel III y el acceso físico está controlado y supervisado. Nuestros proveedores de la nube tienen varias certificaciones, como la ISO 27001 y la SOC, entre otras.
1.3.2 Trazabilidad
Todos los eventos administrativos (registros del sistema operativo) son supervisados y registrados.
También se controlan y registran todos los eventos de acceso generados por las acciones de los usuarios (registros de acceso a la web).
Los registros se centralizan para facilitar el análisis y la correlación, y se archivan y encriptan durante 12 meses en servidores seguros dedicados.
1.3.3 Gestión de la vulnerabilidad
Se realizan escaneos automáticos de vulnerabilidad (bibliotecas, middleware, SO) en la infraestructura de Klaxoon. Existe una política de gestión de vulnerabilidades basada en estándares reconocidos, como el CVSS, para garantizar la aplicación de parches a tiempo.
1.3.4 Antimalware/antivirus
La plataforma de Klaxoon se escanea continuamente, las 24 horas del día, y cada archivo cargado se escanea en tiempo real. La base de datos de malware se actualiza diariamente.
1.4 Elementos de seguridad estándar y opcionales
1.4.1 Autenticación y SSO
Por defecto, el acceso a la aplicación se concede bien proporcionando un nombre de usuario y una contraseña personales e individuales o bien mediante los modos de autenticación SSO en línea disponibles.
Se puede proponer la integración del SSO privado (SAML). Este modo de autenticación puede ser forzado para los usuarios identificados, prohibiendo así cualquier otro mecanismo de autenticación.
Una vez iniciada la sesión en Klaxoon los datos solo son accesibles por su propietario/creador y por aquellos a los que se han compartido (por ejemplo, en un Network, todos los suscriptores tienen acceso a los datos de este Network).
Dependiendo de la oferta suscrita, se pueden proponer configuraciones de filtro más avanzadas para los clientes corporativos (ponte en contacto con nosotros para obtener más información).
1.4.2 Acceso a los datos
La aplicación permite a los anfitriones de Klaxoon invitar a los participantes a las actividades que crean. Por defecto, se puede entrar en cada actividad a través de una única URL. Hay varios mecanismos disponibles de forma nativa para restringir el acceso a las actividades de Klaxoon y los datos asociados:
- Bloqueo de la actividad: los anfitriones pueden desactivar la opción de unirse a una actividad mediante una URL o un código de sesión. Así, pueden gestionar los participantes a través de la interfaz de Klaxoon. El bloqueo puede hacerse en cualquier momento durante la vida de la actividad.
- Gestión de los derechos de acceso en Board: ajuste de las posibilidades de interacción de los participantes en Boards.
- Los "Networks" de Klaxoon: un conjunto de actividades de Klaxoon agrupadas en un espacio restringido cuyo acceso es gestionado por el creador de la Network mediante invitaciones. Las invitaciones se envían por correo electrónico, son personales, intransferibles y solo son válidas una vez.
Dependiendo de la oferta suscrita, existen algunas medidas de restricción adicionales (ponte en contacto con nosotros para obtener más información sobre los requisitos).
- Restringir el acceso a los miembros de toda una organización: evita que usuarios externos accedan a las actividades de tu organización.
- Restringir la subida y descarga de archivos: elimina la opción de subir archivos durante las actividades para los usuarios declarados, así como la descarga de contenidos de Klaxoon.
- Network/Restricciones de IP: restringe el acceso a Klaxoon cuando se utilizan filtros de nivel de red e IP.
1.5 Política coordinada de divulgación de vulnerabilidades
Klaxoon tiene una política responsable de divulgación coordinada de vulnerabilidades (CVD) para los investigadores de seguridad interesados en informar de posibles problemas de seguridad al Klaxoon equipo de seguridad.
La política está disponible aquí.
Calidad del servicio
2.1 Disponibilidad y escalabilidad
El servicio de Klaxoon está disponible y es supervisado las 24 horas del día. En los últimos 12 meses, la disponibilidad medida del servicio es superior al 99,5 %.
La infraestructura proporciona una escalabilidad horizontal automática y una gran resistencia: los componentes críticos del software están redundados en servidores separados.
Cuando está disponible, cada despliegue se realiza en varias "Zonas de Disponibilidad".
2.2 Copia de seguridad
Las copias de seguridad completas se guardan encriptadas en una ubicación remota al menos una vez al día. Las transacciones se guardan continuamente.
Las pruebas de restauración de las copias de seguridad se realizan regularmente. Las copias de seguridad se conservan durante 4 semanas.
2.3 Recuperación de desastres
En caso de que un desastre afecte a las infraestructuras nominales que alojan el servicio, el Plan de Recuperación de Catástrofes de Klaxoon ofrece la posibilidad de activar los centros de recuperación.
Los SLA de recuperación de desastres son los siguientes
- Tiempo de recuperación del servicio (RTO): 72 horas
- Máxima pérdida de datos permitida (RPO): 24 horas.
Términos legales
3.1 Condiciones de servicio
Condiciones de servicio3.2 Condiciones de servicio - eshop
Condiciones de servicio - eshop3.3 Condiciones de uso
Condiciones de uso3.4 Klaxoon Anexo AI
Klaxoon Anexo AI3.5 Aviso legal
El sitio web (https://klaxoon.com) está gestionado por Klaxoon, sociedad SAS inscrita en el Registro Mercantil y de Sociedades de Rennes con el número 511 962 219, con domicilio social en 3 avenue Belle Fontaine 35510 Cesson-Sévigné, Francia, número de IVA FR18511962219.
Director de la publicación: Sr. Hervé Simonin, Director General.
Número de teléfono : +33 (0)2 22 74 06 70
Dirección de correo electrónico : legal@klaxoon.com
Este sitio web (https://klaxoon.com) está alojado en Webflow, Inc. 398 11th Street, 2nd Floor, San Francisco, CA 94103, contact@webflow.com y para algunas páginas por Amazon Web Services (AWS) cuya dirección es Clonshaugh Road, Clonshaugh, Dublín 17 Irlanda (+1 844-902-4700).
Cumplimiento
4.1 Cumplimiento de los datos personales
La gestión de los datos personales cumple con las leyes de protección de datos aplicables, como el Reglamento General de Protección de Datos europeo (RGPD) o la Ley de Privacidad del Consumidor de California (CCPA).
Para obtener más información sobre cómo procesamos los datos personales, lee nuestra Política de Privacidad y nuestro Anexo de Procesamiento de Datos.
Los datos personales se alojan en una infraestructura con certificación ISO 27018. Los usuarios son informados de sus derechos cuando se conectan por primera vez a través de la lectura de los Términos y Condiciones de Uso del Usuario Final.
4.2 Reglamentos, certificaciones y normas
4.2.1 Operaciones en la nube y alojamiento certificados
Klaxoon cumple con la norma SOC2 Tipo 2 (Service Organization Control 2, Type 2). Se realiza una auditoría anual que aborda la idoneidad del diseño y la eficacia operativa de los controles de Klaxoon. El informe de Tipo 2 certifica la excelencia de los controles en los ámbitos de seguridad, disponibilidad y confidencialidad.
La administración de Klaxoon la infraestructura es gestionada por un equipo de operaciones dedicado con certificación ISO 27001.
Los proveedores de alojamiento en la nube de Klaxoon tienen varias certificaciones, como ISO 27001, ISO 27017 y 27018, ISO 9001, HDS / HDA, PCI, DSS, SOC 1 y 2, entre otras.
4.2.2 Normas de diseño y pruebas de seguridad
Desde la fase de diseño, la aplicación Klaxoon implementa los estándares de seguridad y las mejores prácticas basadas en la SDL del OWASP, así como en la ANSSI y el referencial del NIST.
Klaxoon lleva a cabo pruebas de penetración realizadas por un auditor independiente certificado por la ANSSI.
Declaración de accesibilidad
En Klaxoonqueremos ofrecer una experiencia de colaboración en la que todo el mundo pueda participar fácilmente, en la que la información sea clara y accesible, en la que las decisiones se tomen con resultados, en la que avancemos como un equipo, ya sea in situ o a distancia.
Para ello, nos aseguramos de proporcionar aplicaciones accesibles para todas las personas, incluidos los usuarios que trabajan con dispositivos de asistencia, como el software de reconocimiento de voz y los lectores de pantalla.
Según Klaxoon hoja de ruta, el objetivo es alcanzar gradualmente un alto nivel medio de cumplimiento en la Klaxoon aplicación y el sitio web en general.
5.1 Cómo apoyamos la accesibilidad
Klaxoon toma las siguientes medidas para mejorar la accesibilidad en nuestra Klaxoon aplicación y en nuestro sitio web:
- Incluir la accesibilidad como parte de nuestra declaración de objetivos;
- Nombrar a un responsable de accesibilidad y formar regularmente a nuestros equipos en materia de accesibilidad;
- Incluir a las personas con discapacidad en nuestro diseño de personas;
- Define una hoja de ruta dedicada a la accesibilidad con objetivos y responsabilidades claros;
- Realiza una auditoría de terceros.
5.2 Estado de conformidad
Las Directrices de Accesibilidad al Contenido en la Web (WCAG ) definen los requisitos para que los diseñadores y desarrolladores mejoren la accesibilidad de las personas con discapacidad. Define tres niveles de conformidad: Nivel A, Nivel AA y Nivel AAA.
Klaxoon es parcialmente conforme con el nivel AA de las WCAG 2.1 y la RGAA 4.1. Parcialmente conforme significa que algunas partes del contenido no se ajustan totalmente a la norma de accesibilidad.
El último alcance de la auditoría incluye el proceso de inicio de sesión, la página de inicio, el menú del perfil y algunas funcionalidades comunes utilizadas en Klaxoon actividades con un enfoque en las actividades "Board" y "Adventure". Nuestra puntuación media de conformidad con los criterios WCAG 2.1 de nivel AA es actualmente del 87% en este ámbito.
5.3 Principios y características generales de accesibilidad en Klaxoon aplicación
- Modo de alto contraste:
- El botón de accesibilidad está disponible en el formulario de acceso y en la sección de perfil;
- En Board: modo "alto contraste", modo "noche" y nivel de zoom ajustable para aumentar la legibilidad;
- Navegación con el teclado: tecla de tabulación, teclas de acceso directo;
- Lector de pantalla: todas las páginas son legibles por herramientas de lectura de pantalla;
- "Saltar al contenido": para activar el modo de saltar al contenido, debes pulsar la tecla TAB como primera acción al llegar a la página;
- Encabezamiento: Títulos de página HTML (H1, H2...) coherencia en todas las páginas;
- Uso de ARIA: atributos específicos añadidos en las páginas HTML para mejorar la experiencia de lectura en pantalla.
5.4 Especificaciones técnicas, compatibilidad con navegadores y tecnología de asistencia
La accesibilidad de Klaxoon se basa en las siguientes tecnologías para funcionar con la combinación particular de navegador web y cualquier tecnología de asistencia o plugins instalados en tu ordenador:
- HTML
- WAI-ARIA
- CSS
- JavaScript
Se confía en que estas tecnologías sean conformes con las normas de accesibilidad utilizadas.
Navegadores compatibles: consulte la lista actualizada.
Lectores de pantalla probados: VoiceOver (mejor experiencia con el navegador Apple Safari), NVDA
5.5 Limitaciones y alternativas
A pesar de nuestros esfuerzos por garantizar la accesibilidad de Klaxoonhay limitaciones identificadas. Como parte de nuestro compromiso de accesibilidad, dedicamos un esfuerzo constante a mejorar la accesibilidad y a colmar las lagunas restantes.
Ponte en contacto con nosotros en accessibility@klaxoon.com si observas algún problema que limite tu uso de Klaxoon o deseas saber más.
5.6 Retroalimentación
Si quieres dar tu opinión o estás interesado en ayudar a nuestro equipo a hacer Klaxoon un producto aún más accesible, ponte en contacto con nosotros en accessibility@klaxoon.com
Esta declaración se actualizó en marzo de 2024.