¿Cómo garantiza la infraestructura de MailUp el cumplimiento del RGPD?

Para muchos sectores, el RGPD representa una importante innovación social; de hecho, aclara y permite al individuo gestionar su propia privacidad. MailUp tiene una importante experiencia en la protección contra amenazas, en la protección de la privacidad y en la conformidad con las diversas normativas.

Aplicamos una política de transparencia y buscamos proporcionarte la información que necesitas para que te sientas seguro al utilizar la plataforma.

Todos los días renovamos nuestro compromiso de respetar los principios de confianza en la nube, en la protección de los datos y en su seguridad.

• Compromisos contractuales: las relaciones con MailUp están respaldadas por los compromisos contractuales para nuestros servicios, que incluyen estándares de seguridad, soporte y notificación oportuna de acuerdo con los nuevos requisitos del RGPD.
• Compartir nuestra experiencia: compartiremos la información que recopilamos a través de diversas autoridades de protección de datos y otras organizaciones acreditadas, para que podamos adaptar lo que hemos aprendido para ayudarte a crear la mejor ruta para tu organización.

Tal como requiere el reglamento, nuestras políticas de infraestructura y seguridad han pasado por una fase de evaluación de la adecuación y del impacto preliminar en la protección de datos. Estas evaluaciones continuarán realizándose de forma regular para estar siempre al día con los más altos estándares de conformidad en materia de protección de datos.

Para salvaguardar la confidencialidad, integridad y disponibilidad de los datos, la plataforma MailUp se basa en un centro de datos físico ubicado en Italia al que accede nuestro personal tanto físicamente (con control biométrico) como a través de una red privada virtual.

MailUp cree que las funciones de prevención de la pérdida de datos son fundamentales ya que impiden que la información sensible se comparta sin permiso.

Los datos de una organización son fundamentales para su éxito; deben estar disponibles de inmediato a fin de permitir la toma de decisiones, pero al mismo tiempo deben estar protegidos para evitar que se compartan con destinatarios no autorizados al acceso a los mismos.

Por este motivo, hemos implementado una serie de medidas organizativas y técnicas que nos permiten garantizar a nuestros clientes no solo la prevención contra los accesos no autorizados, sino también una seguridad adecuada, en relación con la clasificación de los datos tratados, para todos los accesos autorizados.

La infraestructura ha sido diseñada para resistir a ataques DDoS (Denegación de Servicio Distribuida) a través de sistemas de mitigación DDoS capaces de detectar y filtrar automáticamente el exceso de tráfico mediante procesos de escalabilidad para gestionar volúmenes de tráfico imprevistos mediante equilibradores de carga apropiados.

• A nivel físico, protegemos nuestros datos a través de una metodología que, en caso de robo de soportes de memoria física, no permite la extracción de datos sensibles. La tecnología utilizada para almacenar datos en soportes físicos tiene como objetivo aumentar el rendimiento, hacer que el sistema pueda resistir la pérdida de uno o más discos y poder reemplazar los soportes sin interrumpir el servicio.
• A nivel de aplicación, tenemos la posibilidad de proteger los datos contenidos en las bases de datos del cliente mediante cifrado de datos en reposo.
• A nivel de transporte, los datos son vulnerables al acceso no autorizado mientras viajan a través de Internet o dentro de las redes. Por esta razón, la protección de los datos en tránsito tiene una prioridad alta.
• Usamos protocolos criptográficos TLS / SSL con cifrado simétrico basado en una clave compartida a fin de proporcionar seguridad en la comunicación y garantizar la integridad de los datos en la red.
• Para estar aún más seguros, dentro del TLS/SSL utilizamos un algoritmo de cifrado por bloques denominado AES-256 (Estándar de cifrado avanzado) que reemplaza la tecnología de cifrado de clave pública DES (Estándar de cifrado de datos) y RSA 2048.

• Usamos sistemas avanzados para detectar virus en el correo electrónico (tanto en entrada como en salidad), spoofing (uso de remitentes falsos) y tenemos una clara política antispam.
• Herramientas de análisis antiphishing y protección avanzada contra amenazas como el spear phishing y cualquier ataque Zero Day Attack.
• Identificación y bloqueo de archivos dañinos en nuestra red interna gracias al uso de antivirus y sistemas de proxy.
• Comprobamos de forma periódica y automática que todos nuestros servidores están actualizados y tenemos instalados los últimos parches de seguridad.

• La infraestructura de la empresa está protegida por varios firewalls de red integrados.
• También existen firewalls para aplicaciones y dispositivos web IDS (Sistema de Detección de Intrusos) que se utilizan para monitorear los recursos informáticos (pattern). También, gracias al análisis puntual del tráfico de datos realizado por nuestro personal altamente especializado, es posible detectar ataques a la red o a las computadoras donde los Sistemas de Detección de Intrusos actúan como “antirrobo”.
• La autenticación multifactor es un método de autenticación que requiere más de un método de verificación y con el que se agrega al menos un segundo nivel de seguridad a los accesos y las transacciones del usuario. Este método, utilizado por los administradores de sistema, es el que emplean Google y Amazon.

• Visibilidad avanzada en llamadas API.
• Opciones de agrupación de los log para optimizar las búsquedas y los informes de conformidad.
• Definición, aplicación y gestión de políticas de acceso de los usuarios en todos los servicios.
• La monitorización de los accesos sospechosos permite detectar posibles intrusiones mediante funciones de aprendizaje automático muy sólidas.
• Notificaciones de advertencia programables en caso de superar límites o ante determinados eventos.
• Los derechos y niveles de acceso de los empleados se basan en sus funciones y roles laborables, utilizando los principios de “menos privilegios” y “necesidad de saber”, según las responsabilidades definidas para el empleado.
• Cualquier otra solicitud de acceso sigue un proceso formal que requiere la aprobación del propietario de los datos o del sistema, o la aprobación de responsables u otros dirigentes, según los criterios de seguridad establecidos.

• MailUp ejecuta de manera cíclica pruebas de vulnerabilidad en todos los sistemas de la infraestructura y en los clientes a ella conectados.
• Ejecutamos periódicamente pruebas de penetración de la seguridad, a través de distintos proveedores.
• Las pruebas incluyen pruebas de penetración de servidores de alto nivel, pruebas exhaustivas de vulnerabilidades dentro de la aplicación y ejercicios de ingeniería social.
• Por último, previa solicitud, es posible autorizar una evaluación de vulnerabilidad de terceros.

• Tenemos un proceso riguroso de gestión de los incidentes (incident management) para eventos de seguridad que pueden afectar la confidencialidad, integridad o disponibilidad de sistemas o datos.
• Si ocurre un incidente, el equipo de seguridad registra y prioriza en función de la gravedad. Los eventos que tienen un impacto directo en los clientes tienen mayor prioridad.

• Nuestros centros de datos son monitoreados 24/7 mediante cámaras internas y externas de alta resolución, capaces de detectar y monitorear intrusos. Los registros de acceso, los registros de actividad y las tomas de las cámaras están disponibles si se produce un incidente.
• Los centros de datos también están vigilados de forma estable por guardias de seguridad experimentados, que han superado rigurosos controles antecedentes y adiestramiento.
• A medida que nos acercamos al centro de datos, también aumentan las medidas de seguridad. El acceso al centro de datos se rige por el uso de un distintivo de seguridad personal y solo pueden acceder los empleados aprobados con funciones específicas.
• No hay que olvidar que nuestros avanzados sistemas de refrigeración mantienen una temperatura operativa constante para servidores y otros hardware, lo que reduce el riesgo de interrupciones del servicio. El equipo de detección y supresión de incendios, por otro lado, ayuda a evitar daños en el hardware. El calor, el fuego y los detectores de humo activan alarmas sonoras y visibles en el área afectada, en las consolas de seguridad y en las mesas de monitoreo remoto.

A fin de garantizar la disponibilidad de los datos, en caso de problemas de funcionamiento del hardware, se realizan copias de seguridad de los servidores más importantes, como mínimo una vez al día. Estos datos se guardan en sistemas instalados en una ubicación, siempre dentro de la Unión Europea, dedicada a las copias de seguridad.

MailUp mantiene una copia de seguridad de las bases de datos cargadas por los clientes durante el tiempo necesario especificado en la política de retención de datos; dichos datos, luego se eliminan automáticamente. Estas copias de seguridad, organizadas de tal manera que garantizan la separación de los datos para cada cliente, se revisan periódicamente y están encriptadas de forma segura para así garantizar la máxima confidencialidad de los datos.

• El control comienza con la adquisición, sigue con la instalación, hasta llegar a la eliminación y posible destrucción.
• Para la eliminación del hardware, contamos con un proveedor altamente calificado y con experiencia que garantiza con un documento de destrucción efectuada, la destrucción del disco y la eliminación de los datos.

Para necesidades concretas, recurrimos a proveedores de servicios/partner tras verificar que puedan proporcionar un nivel adecuado de seguridad y privacidad, además de garantías precisas sobre sus posibilidades de gestionar el tratamientos de datos por completo en Europa.
Nuestros partner son:

• Amazon AWS
  Para la provisión de servicios de red de soporte y almacenamiento de imágenes cargadas por los clientes, incluidos los servicios CDN (Content Delivery Network) y Web Proxy.
  Amazon AWS cumple con muchos estándares internacionales y específicos del sector.
  Se puede encontrar más información directamente en la página de conformidad AWS
• Google
  Herramientas para productividad y seguridad de empresa.
  La plataforma Google cumple con muchos estándares internacionales y específicos del sector; para más información, ver su página de seguridad y conformidad.