The Klaxoon Trust Center

1.2 Protección de datos

1.2.1 Acceso a Klaxoon - política de acceso y contraseña

Los usuarios de Klaxoon activan sus cuentas a través de un enlace de activación que reciben por correo electrónico.

Protegen el acceso a sus datos creando una contraseña cuando se conectan por primera vez a Klaxoon.

La política de contraseñas de Klaxoon está en línea con las recomendaciones del NIST: el usuario debe crear una frase de contraseña segura o una contraseña ayudado por una herramienta de medición proporcionada en la interfaz de creación de contraseñas. La detección de la fuerza se basa en la longitud, los diccionarios, el reconocimiento de patrones o incluso el uso de información personal identificable.

1.2.2 Normas de autenticación / SSO

Para facilitar y cumplir con los estándares de autenticación de nuestros clientes, apoyamos la integración del SSO:

• Federación de identidades corporativas (SSO privado): integración SSO específica con cualquier proveedor de identidades compatible con SAMLv2
• Federación de identidades en línea (SSO públicos): existen varios modos de autenticación en línea para facilitar el acceso a Klaxoon.
  

1.2.3 Organización y gobernanza de la seguridad

Basándose en las normas ISO, Klaxoon ha creado una organización y una gobernanza de la seguridad, con una dirección general de seguridad, responsables de seguridad y expertos técnicos que participan en las operaciones diarias.

1.2.4 Seguridad de los recursos humanos

Nos aseguramos de que todos los nuevos contratados estén sujetos a la obligación de confidencialidad contractual respecto a la información a la que tienen acceso en el ejercicio de sus funciones. Firman un acuerdo de confidencialidad en el momento de la contratación.

De acuerdo con las leyes aplicables, se realizan controles para todas las nuevas contrataciones. El personal de I+D y administrativo pasa por un control específico antes de poder acceder a los sistemas y a las oficinas de I+D restringidas.

Los contratos de los empleados de Klaxoon incluyen una carta informática en la que se describen sus obligaciones en materia de protección de datos.

Existe un programa permanente de concienciación de los empleados sobre la seguridad y la privacidad de los datos.

1.2.5 Seguridad por diseño

Siendo la seguridad la máxima prioridad en Klaxoon, aplicamos las mejores prácticas de seguridad en los desarrollos que contribuyen a nuestro enfoque de Seguridad por Diseño y al principio de Defensa en Profundidad.

Para su SDLC seguro, Klaxoon el equipo de I+D utiliza una metodología basada en SCRUM con una integración de la seguridad en las diferentes etapas del ciclo de desarrollo.

Dado que la seguridad es un pilar básico de la aplicación, Klaxoon implementa las mejores prácticas recomendadas por los proyectos OWASP SDL (Secure Development Lifecycle) y ASVS (Application Security Verification Standard), desde la fase de diseño.

Se presta especial atención a los principales rankings de riesgos de las aplicaciones, como los 10 proyectos más importantes de OWASP o los CWE Top 25. Las pruebas e hitos de seguridad se integran en el SDLC y las llevan a cabo especialistas internos en seguridad.

1.2.6 Codificación de datos

Tus datos se encriptan en tránsito y en reposo utilizando las técnicas de encriptación y cifrado más robustas y fiables.
En tránsito: Todos los intercambios se realizan en HTTPS. La sesión se encripta mediante TLS 1.2 o superior. Sólo se admiten cifrados fuertes. Consulta el informe completo de la prueba SSL en Qualys SSL Labs (calificación A+).
Los certificados del servidor están refrendados por una Autoridad de Certificación reconocida.

En reposo: Los datos generados por los usuarios se encriptan en reposo con un cifrado por volumen que cumple la norma FIPS 140. Nivel de cifrado: AES-256.

Las contraseñas de los usuarios de Klaxoon se convierten en hash - el algoritmo utilizado: Bcrypt.

1.2.7 Protección de pagos

Todos los pagos son procesados por nuestro socio con certificación PCI-DSS, Klaxoon no almacena los datos de pago en ningún momento.

1.2.8 Auditorías de seguridad

La plataforma de Klaxoon se somete regularmente a pruebas de penetración internas como parte de su S-SDLC.

Las pruebas de penetración externas son realizadas al menos una vez al año por organizaciones independientes certificadas por la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI). Nos aseguramos de que el auditor siga las metodologías más avanzadas (como PTES, NIST).

1.2.9 Gestión de incidentes

El primer nivel de Soporte Técnico es el punto de entrada de cualquier incidente de seguridad, ya sea detectado por el cliente, internamente, o por una fuente externa como la ANSSI. El incidente se rastrea en la herramienta interna de gestión de incidentes de Klaxoon y es tenida en cuenta por nuestros equipos de seguridad y operaciones. Se establece una dirección de correo electrónico específica para informar de cualquier incidente de seguridad.

Los niveles 2 y 3 se activan en función de la gravedad del incidente. En cada nivel, el CISO de Klaxoon y su equipo supervisan las operaciones de análisis, corrección y comunicación con el cliente y/o las autoridades.

1.3 Infraestructura

1.3.1 Infraestructura segura

La infraestructura de Klaxoon utiliza las medidas de seguridad más avanzadas propuestas por nuestros proveedores de la nube, como el cortafuegos basado en reglas, el equilibrio de carga, el escudo DDoS y la gestión de intrusiones.

La administración de Klaxoones gestionada por un equipo especializado que aplica controles de seguridad basados en las normas ISO 27001. El acceso a la administración se realiza a través de túneles seguros, utilizando MFA siempre que sea posible.

Los centros de datos que alojan el servicio cumplen los requisitos de nivel III y el acceso físico está controlado y supervisado. Nuestros proveedores de la nube tienen varias certificaciones, como la ISO 27001 y la SOC, entre otras.

1.3.2 Trazabilidad

Todos los eventos administrativos (registros del sistema operativo) son supervisados y registrados.

También se controlan y registran todos los eventos de acceso generados por las acciones de los usuarios (registros de acceso a la web).

Los registros se centralizan para facilitar el análisis y la correlación, y se archivan y encriptan durante 12 meses en servidores seguros dedicados.

1.3.3 Gestión de la vulnerabilidad

Se realizan escaneos automáticos de vulnerabilidad (bibliotecas, middleware, SO) en la infraestructura de Klaxoon. Existe una política de gestión de vulnerabilidades basada en estándares reconocidos, como el CVSS, para garantizar la aplicación de parches a tiempo.

1.3.4 Antimalware/antivirus

La plataforma de Klaxoon se escanea continuamente, las 24 horas del día, y cada archivo cargado se escanea en tiempo real. La base de datos de malware se actualiza diariamente.

1.4 Elementos de seguridad estándar y opcionales

1.4.1 Autenticación y SSO

Por defecto, el acceso a la aplicación se concede bien proporcionando un nombre de usuario y una contraseña personales e individuales o bien mediante los modos de autenticación SSO en línea disponibles.

Se puede proponer la integración del SSO privado (SAML). Este modo de autenticación puede ser forzado para los usuarios identificados, prohibiendo así cualquier otro mecanismo de autenticación.

Una vez iniciada la sesión en Klaxoon los datos solo son accesibles por su propietario/creador y por aquellos a los que se han compartido (por ejemplo, en un Network, todos los suscriptores tienen acceso a los datos de este Network).

Dependiendo de la oferta suscrita, se pueden proponer configuraciones de filtro más avanzadas para los clientes corporativos (ponte en contacto con nosotros para obtener más información).

1.4.2 Acceso a los datos

La aplicación permite a los anfitriones de Klaxoon invitar a los participantes a las actividades que crean. Por defecto, se puede entrar en cada actividad a través de una única URL. Hay varios mecanismos disponibles de forma nativa para restringir el acceso a las actividades de Klaxoon y los datos asociados:

• Bloqueo de la actividad: los anfitriones pueden desactivar la opción de unirse a una actividad mediante una URL o un código de sesión. Así, pueden gestionar los participantes a través de la interfaz de Klaxoon. El bloqueo puede hacerse en cualquier momento durante la vida de la actividad.
• Gestión de los derechos de acceso en Board: ajuste de las posibilidades de interacción de los participantes en Boards.
• Los "Networks" de Klaxoon: un conjunto de actividades de Klaxoon agrupadas en un espacio restringido cuyo acceso es gestionado por el creador de la Network mediante invitaciones. Las invitaciones se envían por correo electrónico, son personales, intransferibles y solo son válidas una vez.
  

Dependiendo de la oferta suscrita, existen algunas medidas de restricción adicionales (ponte en contacto con nosotros para obtener más información sobre los requisitos).

• Restringir el acceso a los miembros de toda una organización: evita que usuarios externos accedan a las actividades de tu organización.
• Restringir la subida y descarga de archivos: elimina la opción de subir archivos durante las actividades para los usuarios declarados, así como la descarga de contenidos de Klaxoon.
• Network/Restricciones de IP: restringe el acceso a Klaxoon cuando se utilizan filtros de nivel de red e IP.

1.5 Política coordinada de divulgación de vulnerabilidades

Klaxoon tiene una política responsable de divulgación coordinada de vulnerabilidades (CVD) para los investigadores de seguridad interesados en informar de posibles problemas de seguridad al Klaxoon equipo de seguridad.

La política está disponible aquí.

2.1 Disponibilidad y escalabilidad

El servicio de Klaxoon está disponible y es supervisado las 24 horas del día. En los últimos 12 meses, la disponibilidad medida del servicio es superior al 99,5 %.

La infraestructura proporciona una escalabilidad horizontal automática y una gran resistencia: los componentes críticos del software están redundados en servidores separados.

Cuando está disponible, cada despliegue se realiza en varias "Zonas de Disponibilidad".

2.2 Copia de seguridad

Las copias de seguridad completas se guardan encriptadas en una ubicación remota al menos una vez al día. Las transacciones se guardan continuamente.

Las pruebas de restauración de las copias de seguridad se realizan regularmente. Las copias de seguridad se conservan durante 4 semanas.

2.3 Recuperación de desastres

En caso de que un desastre afecte a las infraestructuras nominales que alojan el servicio, el Plan de Recuperación de Catástrofes de Klaxoon ofrece la posibilidad de activar los centros de recuperación.

Los SLA de recuperación de desastres son los siguientes

• Tiempo de recuperación del servicio (RTO): 72 horas
• Máxima pérdida de datos permitida (RPO): 24 horas.

4.1 Cumplimiento de los datos personales

La gestión de los datos personales cumple con las leyes de protección de datos aplicables, como el Reglamento General de Protección de Datos europeo (RGPD) o la Ley de Privacidad del Consumidor de California (CCPA).
Para obtener más información sobre cómo procesamos los datos personales, lee nuestra Política de Privacidad y nuestro Anexo de Procesamiento de Datos.
Los datos personales se alojan en una infraestructura con certificación ISO 27018. Los usuarios son informados de sus derechos cuando se conectan por primera vez a través de la lectura de los Términos y Condiciones de Uso del Usuario Final.

4.2 Reglamentos, certificaciones y normas

4.2.1 Operaciones en la nube y alojamiento certificados

Klaxoon cumple las normas de Control de Organización de Servicios 2. Actualmente cuenta con la certificación de Tipo 1, Klaxoon aspira a la certificación de Tipo 2 a corto plazo.

La administración de Klaxoon la infraestructura es gestionada por un equipo de operaciones dedicado con certificación ISO 27001.

Los proveedores de alojamiento en la nube de Klaxoon tienen varias certificaciones, como ISO 27001, ISO 27017 y 27018, ISO 9001, HDS / HDA, PCI, DSS, SOC 1 y 2, entre otras.

4.2.2 Normas de diseño y pruebas de seguridad

Desde la fase de diseño, la aplicación Klaxoon implementa los estándares de seguridad y las mejores prácticas basadas en la SDL del OWASP, así como en la ANSSI y el referencial del NIST.

Klaxoon lleva a cabo pruebas de penetración realizadas por un auditor independiente certificado por la ANSSI.