Tu seguridad es nuestra prioridad, para que tú puedas enfocarte en tu negocio

Infraestructura en la nube: Los servicios de Taktile se ejecutan íntegramente en la nube, lo que significa que no operamos ni mantenemos nuestros propios servidores. En su lugar, utilizamos Amazon Web Services (AWS) para nuestra infraestructura, lo que nos permite atender a nuestros clientes en cualquier región del mundo. AWS mantiene los más altos estándares de seguridad y ha sido calificado como líder en seguridad en la nube por la firma de investigación Forrester. Todos los centros de datos cumplen con los más altos estándares de la industria, incluyendo SOC 2 Tipo II e ISO 27001. AWS también cuenta con sistemas de monitoreo y alertas de clase mundial. 

Seguridad de red: Utilizamos una nube privada virtual y separamos el tráfico privado y el público en diferentes subredes. Nuestra infraestructura de producción se mantiene separada de nuestra infraestructura de desarrollo (tanto en cuentas como en redes). Restringimos los puertos y supervisamos nuestra configuración de red de manera continua mediante escaneos automatizados. También empleamos un sistema de detección de intrusiones para identificar actividades sospechosas.

Aislamiento sólido de las cargas de trabajo de los clientes: dado que permitimos a los autores de decisiones ejecutar código en nuestra infraestructura, hemos invertido en una separación robusta entre los clientes, tanto en lo que respecta a la computación como al almacenamiento. Creamos espacios de trabajo dedicados donde se ejecutan las decisiones (a través de AWS Lambda) y se almacenan (a través de AWS S3). Los clientes no comparten funciones en la nube ni compartimentos de almacenamiento. Solo utilizamos infraestructura multitenant para operaciones que no involucran los datos de las decisiones de los clientes (por ejemplo, la administración de usuarios). Los datos siempre están asociados a un solo cliente y se requieren verificaciones de autenticación para acceder a ellos.

Cifrado de datos: Los datos que Taktile captura, almacena o procesa se cifran tanto cuando se transmiten por redes públicas como cuando se encuentran en reposo. Específicamente, ciframos los datos que se transmiten por redes públicas mediante el protocolo Transport Layer Security (TLS 1.2). Nuestro almacenamiento de datos se cifra en reposo utilizando métodos de cifrado estándar de la industria. Para la infraestructura específica del cliente que aloja los datos de toma de decisiones, utilizamos el Sistema de Administración de Claves (Key Management System) de AWS para crear y administrar claves de cifrado específicas para cada cliente.

Control de acceso: Nos conectamos a los proveedores de inicio de sesión único (SSO) de los clientes y no administramos las credenciales. Esto permite a los clientes volver a utilizar su propio proveedor de autenticación y aplicar automáticamente sus propios controles de seguridad, como los requisitos de complejidad de contraseñas y la autenticación de dos factores (2FA). El producto es compatible con el control de acceso basado en roles (RBAC) para administrar los permisos.

Análisis de vulnerabilidades: Utilizamos escáneres de vulnerabilidades para analizar automáticamente nuestra infraestructura en la nube, las imágenes de contenedores y las dependencias, además de realizar análisis estáticos de aplicaciones con el fin de garantizar el cumplimiento de las mejores prácticas. 

Detección de intrusiones: Utilizamos una solución de detección de intrusiones (IDS) para detectar accesos no autorizados a nuestros sistemas.

Registros de auditoría: Registramos los eventos relevantes en nuestra infraestructura (a través de AWS CloudTrail) y recopilamos registros detallados de las aplicaciones para dar seguimiento a la actividad en nuestra plataforma.

Prácticas de desarrollo seguro: Seguimos las mejores prácticas de seguridad al desarrollar nuestras aplicaciones (como el Top 10 de OWASP). Todos los cambios en el código se someten a una revisión obligatoria que incluye la verificación de posibles problemas de seguridad. Además, utilizamos pruebas estáticas de seguridad de aplicaciones (SAST) para detectar debilidades en nuestro código. También analizamos las dependencias del código en busca de vulnerabilidades conocidas.

Pruebas de penetración externas: Realizamos pruebas de penetración anuales con expertos en seguridad externos para asegurarnos de que los actores maliciosos no puedan acceder a nuestros sistemas.

Acceso de los empleados: Seguimos el principio del privilegio mínimo y reducimos al mínimo el acceso de los empleados a los datos de producción. Los administradores otorgan los derechos de acceso mediante un proceso de solicitud de tickets para garantizar que podamos dar seguimiento al proceso de otorgamiento de permisos. Además, recopilamos registros de auditoría relacionados con nuestra infraestructura de datos para dar seguimiento a los cambios realizados por los empleados. Todos los empleados deben completar una capacitación sobre seguridad y privacidad de los datos y firmar nuestra Política de control de acceso.

Respuesta ante incidentes: Nuestro equipo está disponible las 24 horas del día, los 7 días de la semana, para responder a las alertas automáticas, así como a los problemas críticos que nos reporten los clientes. Contamos con un plan de respuesta ante incidentes y capacitamos regularmente a nuestros empleados en este tema.

Continuidad del negocio y recuperación ante desastres: Taktile cuenta con una Política de Continuidad del Negocio (BC), así como con una Política de Recuperación ante Desastres (DR). Realizamos pruebas anuales para simular cómo respondería nuestra empresa y mantendría la continuidad de sus operaciones ante diferentes escenarios de crisis. Realizamos copias de seguridad diarias de todos los sistemas de producción para poder restaurar los datos de manera oportuna.

El RGPD y otras normativas de privacidad: Estamos comprometidos a proteger los datos de nuestros clientes y a ayudarlos a cumplir con las leyes y normativas locales. Taktile cumple con el RGPD y actúa como encargado del tratamiento de datos, tal como se describe en nuestro Acuerdo de tratamiento de datos (DPA). Si desea consultar una copia de nuestro DPA, comuníquese con su ejecutivo de cuentas. 

Infraestructura regionalizada para mantener los datos confidenciales a nivel local: Almacenamos la información confidencial de los clientes que circula por nuestros sistemas como parte del proceso de toma de decisiones en la región de AWS que elijan nuestros clientes, con el fin de ayudarlos a cumplir con sus obligaciones de localidad de datos. 

Solicitudes de información y eliminación: Contamos con identificadores que nos permiten localizar la información confidencial de los clientes en nuestros sistemas y podemos recuperar o eliminar dicha información cuando así se nos solicite, con el fin de ayudar a nuestros clientes a cumplir con sus obligaciones en materia de privacidad.

Bandeja de entrada de vulnerabilidades: Puedes informar de vulnerabilidades de manera responsable enviando un correo electrónico a security@taktile.com. Por favor, incluye el nivel de gravedad de la vulnerabilidad y suficientes detalles para que podamos verificarla. Ofreceremos recompensas no monetarias a nuestra discreción.