Tu seguridad es nuestra prioridad, para que tú puedas centrarte en tu negocio

Infraestructura en la nube: Los servicios de Taktile se ejecutan íntegramente en la nube, lo que significa que no gestionamos ni mantenemos nuestros propios servidores. En su lugar, utilizamos Amazon Web Services (AWS) para nuestra infraestructura, lo que nos permite dar servicio a nuestros clientes en cualquier lugar del mundo. AWS cumple con los más altos estándares de seguridad y ha sido calificado como líder en seguridad en la nube por la consultora Forrester. Todos los centros de datos cumplen con los más altos estándares del sector, incluidos SOC 2 Tipo II e ISO 27001. AWS también cuenta con sistemas de supervisión y alertas de primer nivel. 

Seguridad de la red: Utilizamos una nube privada virtual y separamos el tráfico privado del público en diferentes subredes. Nuestra infraestructura de producción está separada de la de desarrollo (tanto en cuentas como en redes). Restringimos los puertos y supervisamos la configuración de nuestra red de forma continua mediante análisis automatizados. También utilizamos un sistema de detección de intrusiones para identificar actividades sospechosas.

Aislamiento riguroso de las cargas de trabajo de los clientes: dado que permitimos a los autores de decisiones ejecutar código en nuestra infraestructura, hemos invertido en una separación sólida entre clientes, tanto en lo que respecta a la capacidad de cálculo como al almacenamiento. Creamos espacios de trabajo dedicados donde se ejecutan las decisiones (a través de AWS Lambda) y se almacenan (a través de AWS S3). Los clientes no comparten funciones en la nube ni depósitos de almacenamiento. Solo utilizamos infraestructura multitenant para operaciones que no implican los datos de las decisiones de los clientes (por ejemplo, la gestión de usuarios). Los datos siempre están asociados a un único cliente y se requieren comprobaciones de autenticación para acceder a ellos.

Cifrado de datos: Los datos que Taktile recopila, almacena o procesa se cifran tanto durante su transmisión por redes públicas como cuando se encuentran almacenados. En concreto, ciframos los datos que se transmiten por redes públicas mediante el protocolo Transport Layer Security (TLS 1.2). Nuestro almacenamiento de datos se cifra utilizando métodos de cifrado estándar del sector. En el caso de la infraestructura específica del cliente que alberga los datos de toma de decisiones, utilizamos el Sistema de Gestión de Claves de AWS para crear y gestionar claves de cifrado específicas para cada cliente.

Control de acceso: Nos conectamos a los proveedores de inicio de sesión único (SSO) de los clientes y no gestionamos las credenciales. Esto permite a los clientes seguir utilizando su propio proveedor de autenticación y aplicar automáticamente sus propios controles de seguridad, como los requisitos de complejidad de las contraseñas y la autenticación de dos factores (2FA). El producto es compatible con el control de acceso basado en roles (RBAC) para gestionar los permisos.

Análisis de vulnerabilidades: Utilizamos herramientas de análisis de vulnerabilidades para analizar automáticamente nuestra infraestructura en la nube, las imágenes de contenedores y las dependencias, además de realizar análisis estáticos de aplicaciones con el fin de garantizar el cumplimiento de las mejores prácticas. 

Detección de intrusiones: Utilizamos una solución de detección de intrusiones (IDS) para detectar accesos no autorizados a nuestros sistemas.

Registros de auditoría: Registramos los eventos relevantes en nuestra infraestructura (a través de AWS CloudTrail) y recopilamos registros detallados de las aplicaciones con el fin de realizar un seguimiento de la actividad en nuestra plataforma.

Prácticas de desarrollo seguro: Seguimos las mejores prácticas de seguridad a la hora de desarrollar nuestras aplicaciones (como el «OWASP Top 10»). Todos los cambios en el código se someten a una revisión obligatoria que incluye la comprobación de posibles problemas de seguridad. Además, utilizamos pruebas estáticas de seguridad de aplicaciones (SAST) para detectar puntos débiles en nuestro código. También analizamos las dependencias del código en busca de vulnerabilidades conocidas.

Pruebas de penetración externas: Realizamos pruebas de penetración anuales con expertos en seguridad externos para garantizar que los actores malintencionados no puedan acceder a nuestros sistemas.

Acceso de los empleados: Seguimos el principio del mínimo privilegio y reducimos al mínimo el acceso de los empleados a los datos de producción. Los administradores conceden los derechos de acceso mediante un proceso de solicitud de tickets para garantizar que podamos realizar un seguimiento del proceso de concesión de permisos. Además, recopilamos registros de auditoría relacionados con nuestra infraestructura de datos para realizar un seguimiento de los cambios realizados por los empleados. Todos los empleados deben completar una formación sobre seguridad y privacidad de los datos y firmar nuestra Política de control de acceso.

Respuesta ante incidentes: Nuestro equipo está disponible las 24 horas del día, los 7 días de la semana, para responder a las alertas automáticas, así como a los problemas críticos que nos comuniquen los clientes. Contamos con un plan de respuesta ante incidentes y formamos periódicamente a nuestros empleados en este ámbito.

Continuidad del negocio y recuperación ante desastres: Taktile cuenta con una Política de Continuidad del Negocio (BC) y una Política de Recuperación ante Desastres (DR). Realizamos pruebas anuales para simular cómo respondería nuestra empresa y cómo mantendría la continuidad de sus operaciones en diferentes escenarios de crisis. Realizamos copias de seguridad diarias de todos los sistemas de producción para poder restaurar los datos con rapidez.

El RGPD y otras normativas de privacidad: Nos comprometemos a proteger los datos de los clientes y a ayudarles a cumplir con las leyes y normativas locales. Taktile cumple con el RGPD y actúa como encargado del tratamiento de datos, tal y como se describe en nuestro Acuerdo de tratamiento de datos (DPA). Si desea consultar una copia de nuestro DPA, póngase en contacto con su gestor de cuentas. 

Infraestructura regionalizada para mantener los datos confidenciales a nivel local: Almacenamos la información confidencial de los clientes que circula por nuestros sistemas como parte del proceso de toma de decisiones en la región de AWS que elijan nuestros clientes, con el fin de ayudarles a cumplir con sus obligaciones en materia de localización de datos. 

Solicitudes de información y supresión: Contamos con identificadores que nos permiten localizar la información confidencial de los clientes en nuestros sistemas y podemos recuperar o suprimir dicha información cuando se nos solicite, con el fin de ayudar a nuestros clientes a cumplir con sus obligaciones en materia de privacidad.

Bandeja de entrada de vulnerabilidades: puedes informar de forma responsable sobre vulnerabilidades enviando un correo electrónico a security@taktile.com. Por favor, incluye el nivel de gravedad de la vulnerabilidad y suficientes detalles para que podamos verificarla. Ofreceremos recompensas no monetarias a nuestra discreción.