La seguridad de tu información es un asunto que nos interesa

Somos una plataforma de email marketing que ayuda a las organizaciones a ejecutar campañas de marketing efectivas. Somos conocidos por la experiencia que tenemos en esta industria y por nuestro distinguido servicio al cliente. Impulsamos a las organizaciones al logro de sus objetivos a través de servicios profesionales, incluyendo consultoría estratégica de campañas, diseño de emails, estrategia de contenidos y más. Al brindar tecnología sofisticada para tal fin, también estamos comprometidos a resguardar con seguridad la información de nuestros clientes al máximo grado. Es por ello que la confiabilidad en privacidad y seguridad de la información son la base de nuestra promesa con nuestros clientes.

Seguridad operacional

La promesa con nuestros clientes es siempre tomar medidas preventivas y adaptables.

Equipo de seguridad dedicado

Tenemos personal de seguridad de la información encargados de resguardar la aplicación, identificar vulnerabilidades y responder a eventos de seguridad.

Almacenamiento de datos y locaciones de procesamiento 

Almacenamos nuestra información en un centro de datos ubicado en Estados Unidos, en un entorno híbrido en la nube. Nuestro proveedor de servicios administrados, Expedient, satisfacen requerimientos críticos para cumplir con estándares donde se incluyen HIPAA, PCI DSS y SOX, soportado por reportes SSAE18/SOC con la garantía de ser provenientes de un tercero. Adicionalmente, complementamos nuestra infraestructura con Amazon Web Services (AWS) para servicios en la nube y procesamiento de datos. 

Políticas de seguridad

Contamos con políticas de seguridad alineadas con el estándar ISO 27001. Nuestra documentación de seguridad es frecuentemente revisada y se actualiza constantemente para reflejar los cambios que realizamos en los procesos en respuesta a nuevas amenazas identificadas, así como nuestro compromiso con la mejora continua. Usamos el marco de referencia NIST de Cyber Seguridad https://www.nist.gov/topics/cybersecurity para medir nuestra habilidad de identificar, proteger, detectar, responder y recuperarnos ante eventos de seguridad.

Conocimiento y entrenamiento

Todos nuestros colaboradores y proveedores pasan a través de un proceso de examinación donde son sujetos a verificación de antecedentes y todos firman convenios de confidencialidad con cláusula penal. Todos los colaboradores reciben entrenamiento en seguridad cada año. Se provee tanta capacitación adicional como sea necesaria basada en amenazas existentes y nuevas. Además, es requerido que todos los nuevos colaboradores lean y adopten plenamente las políticas de seguridad.

Seguridad física

Implementamos controles diseñados para prevenir acceso no autorizado, o divulgación no autorizada de datos de nuestros clientes.

Controles de nuestro Centro de Datos

La información de nuestros clientes está guardada en instalaciones que cumplen los requerimientos de SSAE 16, con cámaras, vigilancia con personal 24 horas, trampas de acceso, control biométrico y un Centro de Servicio de Operaciones (CSO). La entrada y la salida es controlada por personal del CSO, es requerida una fotografía e identificación de cada persona lo cual queda en una bitácora, y es obligatorio el uso de gafete de identificación en todo momento en estas instalaciones.

Operación del Centro de Datos de conformidad a Estándares

El proveedor donde vive nuestro software, Expedient, está certificado en el cumplimiento de los siguientes Estándares: HIPAA, PCI-DSS, SOX y SOC 1 / 2. Nuestro proveedor de servicios en la nube, Amazon Web Services, cuenta con las siguientes certificaciones: PCI-DSS, ISO 27001, SOC 1 / 2 / 3, IRAP, ISO 27018 e ISO 9001.

Seguridad del Aplicativo NeoRed

Nuestra plataforma ha sido diseñada con enfoque en la seguridad al aprovechar los principios de alinearnos a OWASP https://www.owasp.org para la ingeniería de software, tecnologías de encripción y la seguridad de la información.

Pruebas de seguridad

Nuestra infraestructura está sujeta a monitoreo y cotejo con lo que se utiliza en la industria para que podamos mantener o exceder los estándares de seguridad. También usamos una serie de escaneos a nuestros aplicativos tales como pruebas de penetración, así como rutinas para la de identificación de errores para asegurar que cada rincón de nuestro software haya pasado por un riguroso proceso de pruebas de seguridad. Nuestro calendario de examinación de vulnerabilidades simula un usuario malicioso mientras que se mantiene la integridad y seguridad de la información de los datos así como la disponibilidad del aplicativo. Además aprovechamos los servicios de un tercero especialista en el ramo para realizar pruebas de penetración una vez por año para asegurar que tengamos todo ángulo cubierto.

Controles de seguridad

La reputación de NeoRed es crítica para nosotros y para el éxito de nuestros clientes, por consiguiente la privacidad es una piedra angular para nuestras operaciones. El resultado final es que nunca usaremos la información que nos confían nuestros clientes para un fin distinto al encomendado. Revisa nuestro aviso de privacidad y convenio de confidencialidad contenido en nuestro contrato de servicios para mayores detalles.

Desarrollo de sistemas seguro

Seguimos una metodología de integración para nuestra ingeniería de software. La programación de sistemas atiende los requerimientos de seguridad al realizar revisiones frecuentes de código como parte del proceso de liberación de versiones nuevas de nuestro aplicativo. Todas las actualizaciones son desplegadas a nuestro entorno de pruebas antes de ser puestas en productivo. Seguimos las mejores prácticas de la industria tales como OWASP y SANS. Tenemos entornos separados incluyendo bases de datos para las diferentes etapas del proceso de desarrollo de software. No usamos datos productivos en nuestros ambientes de desarrollo ni de pruebas.

Encriptación de la información

Para proteger los datos de nuestros clientes, encriptamos la información almacenada estáticamente, incluyendo nuestros respaldos, utilizando AES 256. Utilizamos encriptación de datos en tránsito por el Internet público soportada por TLS 1.1 y 1.2. 

Acceso de usuarios

Ofrecemos a nuestros clientes la posibilidad de proteger sus cuentas utilizando autenticación multi-factor. Ayudamos a proteger sus datos al guardar la información de cada panel con un identificador único el cual es usado para recibir datos por medio de la aplicación web o la API. Cada solicitud es autenticada y registrada en bitácora. Ponemos un esfuerzo considerable en asegurar la integridad de las sesiones y credenciales de acceso. El almacenamiento de contraseñas y verificación son basadas en métodos de encriptación de una vía, lo cual significa que dichas contraseñas se almacenan usando un hash fuerte y salado. Las direcciones de email que fungen como nombre de usuario, son validadas contra un hash fuerte y salado almacenado junto con el email. Las bases de datos se protegen por restricción de acceso e información llave (incluyendo la contraseña) que se encripta al almacenarse. Los datos son entonces almacenados directamente al aplicativo usando un navegador web o cargados mediante API/FTP los cuales usan protocolos de transferencia seguros.

Bitácoras y manejo de cookies

Usamos cookies para la autenticación de nuestros usuarios con permisos de administración de los aplicativos NeoRed. Estos identificadores de sesión se contienen en cookies de solo-HTTPS, no disponibles para JavaScript. Una vez que un usuario administrador ingresa, toda actividad clave realizada en la aplicación se almacena en bitácora para poder ser auditada por nuestros clientes, esto incluye también si alguno de nuestros colaboradores ingresa al área de uno de nuestros clientes para mantenimiento o realizar sus funciones de soporte, dichas actividades se registran en bitácora para poder referirse a ellas posteriormente.