Certificaciones
nCore cuenta con las certificaciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018.
La certificación ISO/IEC 27001 es una acreditación de alto valor que atestigua la implantación y el mantenimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI) superior. Esta norma internacional proporciona un marco completo y metódico para gestionar eficazmente la seguridad de la información, ayudando a las organizaciones a identificar, gestionar y mitigar los riesgos para la seguridad de los datos.
La norma ISO/IEC 27001 establece los requisitos de un SGSI, un sistema diseñado para preservar la confidencialidad, integridad y disponibilidad de la información empresarial. Esta norma se centra en el análisis de riesgos, la implantación de medidas de seguridad adecuadas y la mejora continua del sistema.
La obtención de la certificación ISO/IEC 27001 demuestra el compromiso de una organización para garantizar la seguridad de la información a todos los niveles. Esto incluye la adopción de políticas y procedimientos de seguridad, la gestión de riesgos informáticos, la formación del personal y la revisión constante para mantener un alto nivel de seguridad.
Esta certificación es crucial para organizaciones de cualquier tamaño o sector, ya que demuestra su compromiso con la protección de la información sensible y la gestión de los riesgos de seguridad. ISO/IEC 27001 es un distintivo de confianza para clientes, socios y partes interesadas, que demuestra la aplicación de medidas sólidas de seguridad de la información y el compromiso con la protección de datos sensibles.
La certificación ISO/IEC 27017 es una guía fundamental para la seguridad de la información en la prestación y el uso de servicios en la nube. Esta norma proporciona directrices y controles específicos para garantizar un entorno seguro para los servicios ofrecidos a través de la nube. La norma ISO/IEC 27017 se centra en cuestiones de protección de datos y garantía de la privacidad en el entorno de la computación en nube.
Esta certificación establece un conjunto de controles y mejores prácticas para los proveedores de servicios en la nube y los usuarios de estos servicios. En particular, ofrece orientación sobre las medidas de seguridad necesarias para proteger la información sensible y personal. Estas medidas incluyen la aplicación de controles de acceso, cifrado, protección de la identidad, confidencialidad de los datos y garantías de continuidad de la actividad.
La norma ISO/IEC 27017 es crucial para garantizar que los datos procesados en los servicios en nube se gestionan y protegen adecuadamente. Esta norma proporciona un conjunto de directrices cuyo objetivo es evitar riesgos de violaciones de la seguridad y la privacidad, garantizando que los datos se manejan de acuerdo con la normativa internacional y las mejores prácticas. La obtención de la certificación ISO/IEC 27017 demuestra el compromiso de garantizar que la seguridad de la información se gestiona adecuadamente en el entorno de la computación en nube.
La certificación ISO/IEC 27018 es una norma importante que proporciona directrices y controles específicos para la protección de los datos personales en los servicios en nube. Esta norma se centra en la privacidad de los datos y se centra en garantizar que los proveedores de servicios en la nube traten la información personal de una manera que respete la privacidad.
La norma ISO/IEC 27018 ofrece orientaciones detalladas sobre el tratamiento de datos personales en la nube, garantizando la transparencia y el control de los datos gestionados por terceros. Exige la aplicación de medidas de seguridad específicas para proteger los datos personales, como controles de acceso, cifrado, anonimización y procedimientos de gestión de la violación de datos.
Esta certificación es de especial importancia para las organizaciones que manejan información sensible, ya que ofrece una garantía adicional en cuanto al respeto de la privacidad de los datos. ISO/IEC 27018 demuestra el compromiso de proteger la información personal en el entorno de la nube, garantizando que los datos se gestionan y procesan de acuerdo con la normativa sobre privacidad y las mejores prácticas del sector.
Obtener la certificación ISO/IEC 27018 significa garantizar a los clientes y usuarios finales que los datos personales se tratan con el máximo cuidado y de conformidad con estrictas políticas de seguridad y privacidad. Esta norma subraya la importancia de un enfoque responsable del tratamiento de los datos personales en el contexto de la computación en nube.
Seguridad de la información
Las responsabilidades en materia de seguridad de la información están plenamente definidas y asignadas. Las tareas y áreas de responsabilidad conflictivas están separadas para reducir la posibilidad de uso indebido o modificación no autorizada o involuntaria de los activos de la organización.
nCore toma todas las medidas necesarias para garantizar que el personal y los colaboradores son conscientes de sus responsabilidades en materia de seguridad de la información y las cumplen.
Los departamentos competentes se aseguran de que los nuevos empleados, el personal contratado u otro personal son adecuados para la función que van a desempeñar y de que comprenden sus responsabilidades, con el fin de reducir el riesgo de daños o fraudes.
Las funciones empresariales pertinentes realizan comprobaciones de idoneidad de todos los solicitantes de empleo, de conformidad con las leyes, reglamentos y normas éticas pertinentes. Estas comprobaciones se llevan a cabo en proporción a las necesidades de la empresa, la clasificación de la información a la que se va a acceder y los riesgos percibidos en el empleo previsto. Los acuerdos contractuales con el personal y los contratistas especifican sus responsabilidades y las de la organización en materia de seguridad de la información.
La dirección de nCore exige a todo el personal y contratistas que apliquen la seguridad de la información de acuerdo con las políticas y procedimientos establecidos por la organización. Todo el personal de nCore y, en su caso, los contratistas externos, reciben la concienciación, educación, formación y actualizaciones periódicas adecuadas sobre las políticas y procedimientos de la organización, de forma relevante para su trabajo.
Las autorizaciones de acceso se retiran en caso de cese de empleo/colaboración o se modifican en caso de cambios en la estructura organizativa o asignación.
nCore ha implementado sistemas de seguridad definidos como «perimetrales» dentro de su Centro de Datos, es decir, en uso para todos los sistemas ubicados dentro del propio Centro de Datos, con especial referencia al acceso desde y hacia las redes de Internet. Estos sistemas y su gestión se describen a continuación.
nCore restringe el acceso a la información y a los servicios de procesamiento de la información según el criterio de «necesidad de acceso», es decir, según las necesidades operativas reales y legítimas de cada individuo. nCore publica Políticas específicas sobre el uso de estaciones de trabajo y dispositivos de procesamiento, incluidos los dispositivos móviles individuales, el correo y los servicios de Internet. Además, nCore publica una Política de Seguridad sobre el uso y la gestión de credenciales de autenticación en los sistemas de información.
Todo el personal de nCore y los terceros interesados están informados de la existencia de una Política específica para la gestión y el control del acceso lógico a los recursos y obligados, en función de sus responsabilidades o competencias, a respetar sus prescripciones.
Los instrumentos e instrucciones para el control de acceso se mantienen constantemente adaptados a las necesidades de negocio y de seguridad de acceso, también en relación con las evoluciones organizativas y tecnológicas.
Con el fin de garantizar el uso correcto y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información, nCore prevé el uso de controles criptográficos adecuados.
Cuando se considera necesario, con un análisis adecuado de los riesgos inminentes sobre los activos, se implementan controles criptográficos para proteger la información de las amenazas de violación de la confidencialidad y la integridad de los datos, también con fines de «no repudio» de la autenticidad de los mismos.
Se prevén técnicas de protección adecuadas por parte de las funciones responsables de los activos protegidos por controles criptográficos, y se establece la duración de las claves criptográficas a lo largo de todo su ciclo de vida.
nCore pretende asegurar los activos relevantes para el negocio y la seguridad de la información contra cualquier riesgo de daño, robo, pérdida de confidencialidad, desastres naturales o actos malintencionados. nCore prepara medidas adecuadas de control de acceso físico y normas de acceso para el personal y proporciona seguridad en la gestión de los equipos adquiridos para salvaguardar la prestación de servicios tecnológicos como generadores de emergencia, sistemas contra incendios, inundaciones y prevención de intrusiones, que requieren una comprobación periódica de la ubicación y del estado de eficiencia de los activos en general, de los sistemas, maquinaria y equipos presentes, así como la planificación de los trabajos de mantenimiento de los sistemas, maquinaria, equipos y activos en general y la eliminación de los activos inutilizables por obsoletos y/o que ya no puedan repararse.
Seguridad de las actividades operativas
nCore pretende evitar la pérdida, el daño, el robo o la puesta en peligro de activos, así como la interrupción de las actividades operativas de la organización.
nCore tiene como objetivo garantizar que las actividades operativas en las instalaciones de procesamiento de información cumplan con las mejores prácticas de seguridad de la información. Se documentan los procedimientos operativos adecuados y se ponen a disposición de todos los usuarios que los necesiten. Se controlan los cambios en la organización, los procesos empresariales, las instalaciones de procesamiento de la información y los sistemas que puedan afectar a la seguridad de la información. El uso de los recursos se supervisa y se ajusta. Se realizan proyecciones de las necesidades futuras de capacidad para garantizar el rendimiento necesario del sistema.
Las copias de seguridad de la información, el software y las imágenes del sistema se realizan y comprueban periódicamente de acuerdo con una política de copias de seguridad acordada.
Se registran los eventos relevantes y se generan pruebas.
El registro de eventos, actividades de usuarios, excepciones, fallos de funcionamiento y eventos de seguridad de la información se lleva a cabo, se mantiene y se revisa periódicamente.
Las instalaciones de recopilación de registros y la información de registro están protegidas frente a manipulaciones y accesos no autorizados.
Las actividades de los administradores y operadores del sistema se registran mediante registros, y éstos se protegen y revisan periódicamente.
La integridad de los sistemas de producción es un requisito de seguridad esencial para nCore. Existen procedimientos para controlar la instalación de software en los sistemas de producción.
Seguridad de las comunicaciones
nCore emite una Política de Control de Acceso a la Red específica.
Las redes se protegen y supervisan de forma adecuada y continua contra intrusiones, interceptaciones e intentos de ataque con el fin de proteger la información de los sistemas y aplicaciones. Los mecanismos de seguridad, los niveles de servicio y los requisitos de gestión de los servicios de red se identifican e incluyen en los acuerdos de nivel de servicio de red, independientemente de si estos servicios se prestan internamente o se subcontratan. En las redes, los grupos de servicios, usuarios y sistemas de información se segregan en función del nivel de riesgo para los activos pertinentes. Los entornos de desarrollo y producción se segregan mediante la definición de subredes adecuadas, aisladas entre sí o con interconexión controlada.
- gestión sistémica del cortafuegos: el cortafuegos, como sistema de software, está sujeto a una actualización de versión. La actualización se realiza según las recomendaciones del fabricante, con el fin de mantenerlo continuamente en plena eficacia;
- gestión administrativa del cortafuegos: por gestión administrativa se entiende la aplicación de reglas que permiten o deniegan el acceso a los sistemas situados a continuación del cortafuegos, o el acceso a la red Internet desde los propios sistemas. Las reglas se implementan en función de las necesidades de la aplicación a petición del Cliente, previa evaluación conjunta del cumplimiento de las políticas generales y de los riesgos de seguridad que dichas reglas puedan entrañar.
- gestión sistémica del IPS: el IPS, como sistema de software, está sujeto a una actualización de versión. La actualización se lleva a cabo de acuerdo con las recomendaciones del fabricante, con el fin de mantenerlo en perfecto estado de funcionamiento;
- gestión administrativa del IPS: por gestión administrativa se entiende la aplicación de reglas de análisis del tráfico destinadas a identificar posibles intentos de violación de los sistemas. Estas reglas se actualizan cuando (normalmente varias veces al mes) el proveedor publica un nuevo conjunto. Las actualizaciones de las reglas se aplican automáticamente según las configuraciones recomendadas por el Proveedor y, si es necesario, manualmente si surgen falsos positivos que bloquean la funcionalidad de las aplicaciones.
nCore ha desarrollado un sistema de defensa contra los ataques distribuidos de denegación de servicio (DDoS), capaz de detectar y bloquear el tráfico anómalo antes de que llegue a la conexión a Internet del cliente. En este contexto, por tráfico anómalo se entiende un flujo masivo de peticiones maliciosas procedentes de fuentes distribuidas y dirigidas a uno de los servicios prestados, capaz de saturar el ancho de banda de transmisión o la capacidad de procesamiento de los dispositivos de red. Una protección eficaz contra los ataques DDoS requiere mecanismos de interceptación del tráfico malicioso distribuido en la infraestructura de red del proveedor de conectividad (operador TLC), para poder intervenir lo más «aguas arriba» posible en los flujos que van de las fuentes de los ataques a sus objetivos (que en nuestro caso se encuentran en los centros de datos nCore). En caso de alarma de este tipo, señalada por los sistemas de control de nCore o los del operador del TLC, el mecanismo DDoS antes mencionado prevé el desvío por el propio operador del tráfico anómalo hacia un sistema de «limpieza» del tráfico, capaz de reenviar únicamente tráfico «limpio» hacia nCore. Para evitar falsas alarmas, el proceso de desvío no se activará automáticamente, sino sólo a petición explícita de nCore.
- nCore proporciona controles para proteger la transferencia de información, para todos los tipos de comunicación;
- las transferencias seguras de información empresarial entre la organización y las partes externas se formalizan en acuerdos apropiados;
- la información transmitida a través de mensajería electrónica está debidamente protegida en relación con el riesgo para ella de interceptación, alteración, violación de la confidencialidad;
- se establezcan acuerdos de confidencialidad o no divulgación según sea necesario para proteger la seguridad de nCore y la información empresarial relevante en contratos y acuerdos con terceros.
Gestión de la continuidad de las actividades
La continuidad de la seguridad de la información se integra en los sistemas de gestión de la continuidad de las actividades de la organización.
La organización determinará sus requisitos para la seguridad de la información y para la continuidad de la gestión de la seguridad de la información en situaciones adversas, por ejemplo, durante crisis o catástrofes. Se proporcionan instrucciones adecuadas al personal para garantizar el nivel requerido de continuidad de la seguridad de la información durante una situación adversa.
nCore verifica, a intervalos regulares, los controles de continuidad de la seguridad de la información establecidos e implantados para garantizar que son válidos y eficaces durante situaciones adversas.
Todos los servicios del sitio primario se prestan en arquitectura lógica y física de Alta Fiabilidad y cumplen los estrictos requisitos de la política de copias de seguridad. Se han analizado los factores de riesgo y se han establecido las contramedidas adecuadas y posibles. La zona se encuentra en el nivel más bajo de riesgo sísmico y no hay indicios de riesgos derivados de fenómenos naturales. Resultados similares se desprenden de la consulta de los mapas de protección civil, que no muestran situaciones de posibles riesgos de alta probabilidad y/o magnitud.
nCore también dispone de un Centro de Datos de Recuperación de Desastres en otras zonas de Fráncfort.
nCore pretende garantizar la máxima disponibilidad posible, de acuerdo con los SLA establecidos con los clientes y la normativa aplicable, de las instalaciones de procesamiento de la información. Las instalaciones de procesamiento de la información se implementan con la redundancia suficiente para cumplir los requisitos de disponibilidad.