Políticas de seguridad de Velneo Cloud
Este capítulo muestra las características de seguridad usadas por Velneo dentro de su servicio Velneo Cloud, en el que puedes desarrollar y poner en producción aplicaciones desarrolladas con nuestra plataforma.
Política de datos
Velneo Cloud adopta un Modelo de Responsabilidad Compartida para definir claramente los límites de la seguridad. Velneo, como proveedor, se encarga de la seguridad de la nube: mantenimiento de la infraestructura, la capa de virtualización y los sistemas operativos de vServer, garantizando un SLA de alta disponibilidad en los servidores de producción y protegiendo los datos mediante copias de seguridad cifradas y replicadas en múltiples ubicaciones. Por su parte, el cliente, como responsable de la seguridad en la nube, debe gestionar usuarios, contraseñas, permisos de acceso y ser consciente del tipo de información que introduce en la plataforma, así como de sus obligaciones en materia de cumplimiento normativo (como RGPD).
Velneo no es el propietario de tus datos. Los datos nunca pertenecen a Velneo, son propiedad de nuestro cliente del servicio Velneo Cloud. La relación contractual existente entre nuestro cliente y sus clientes no es incumbencia de Velneo.
No nos posicionamos respecto a si los datos pertenecen al cliente de Velneo Cloud o al usuario (este asunto incumbe solo a estas dos partes), pero, si algo sabemos, es que no nos pertenecen a nosotros.
Los datos que introduces en nuestros sistemas son tuyos y creemos que así debe ser. Esto implica tres cuestiones fundamentales:
No los compartimos con nadie.
Guardamos tus datos el tiempo que tú quieras mientras seas suscriptor de Velneo.
Puedes llevarte los datos cuando tú quieras mientras seas suscriptor de Velneo. Para ello puedes realizar una exportación o usar el servicio de copia de seguridad que figura en el panel de control de Velneo Cloud.
Protección
Cada cuenta de usuario reside en un contenedor digital independiente, un entorno estanco y aislado que funciona como una caja fuerte privada dentro de nuestros servidores. Esta tecnología de compartimentación garantiza que sea técnicamente imposible que un usuario acceda, visualice o interfiera con los datos de otro. Los sistemas están diseñados para que ni terceros ni otros usuarios puedan traspasar los límites de su propio entorno, asegurando la privacidad total de tu información. Nuestras APIs y las integraciones con terceros están protegidas contra el acceso no autorizado mediante un enfoque integral de seguridad. Implementamos prácticas sólidas de autenticación y autorización para garantizar que solo las entidades legítimas puedan interactuar con nuestros servicios.
Servicios externos subcontratados
Velneo utiliza explícitamente Amazon Web Services (AWS) en Irlanda y París para el "almacenamiento de datos y la custodia de copias de seguridad" de los clientes europeos, de cara a asegurar el cumplimiento del Reglamento General de Protección de Datos (RGPD). Esto confirma que, para clientes europeos, el alojamiento principal se realiza dentro de la UE. Para nuestros clientes en LATAM, empleamos las regiones de AWS en Norte de Virginia, São Paulo y Norte de California.
AWS cuenta con varias certificaciones que lo conciben como los centros de datos más seguros del mundo para hospedaje de aplicaciones.
La flexibilidad y el control de clientes que proporciona su plataforma permiten el despliegue de soluciones que satisfacen los requisitos de certificación específicos del sector. Por ejemplo, nuestros clientes han creado formularios de salud que cumplen con las normas de seguridad y privacidad HIPAA (Health Information Privacy). Puedes consultar mucha más información acerca de este tema aquí.
Copias de seguridad
Nuestro servicio cuenta con un plan de alta disponibilidad mensual garantizada, SLA, así como un sistema doble de copias de seguridad. Una en el mismo centro de datos y otra en un centro de datos de otra localidad. Las copias son encriptadas con gpg AES 256 bits, otorgando a los datos un alto grado de seguridad. Las copias se realizan diariamente y se guardan durante 30 días.
En Velneo Cloud, la política de BC/DR (Continuidad de Negocio y Recuperación ante Desastres) establece que se realizan copias diarias replicadas geográficamente, con un RPO (objetivos de tiempo de recuperación) de 24 horas y un RTO (objetivos de punto de recuperación) de 9 horas, garantizando así que, tras un fallo grave, la pérdida de datos no exceda un día y el servicio se recupere por completo en un máximo de nueve horas.
Políticas referentes a los empleados
Contamos con un equipo dedicado a la seguridad de la información, coordinado por el líder del equipo de Velneo Cloud y el director de tecnología del grupo Visual MS.
Acceso a Datos y Confidencialidad
Nos comprometemos también a proteger los activos de los clientes mediante políticas de acceso rigurosas y un Manual de Buenas Prácticas detallado. Al requerir que nuestro personal firme este manual, aseguramos que todos los involucrados entiendan y cumplan con las expectativas de seguridad y comportamiento. Velneo solo puede acceder a los datos de tu cuenta en estricto cumplimiento de nuestra Política de privacidad y del Acuerdo con el cliente. Con el fin de proporcionar asistencia técnica, un administrador de tu cuenta puede conceder permiso al Equipo de soporte de Velneo Cloud para que acceda a tu cuenta y solucione una incidencia específica. Todo acceso al entorno del cliente se refleja en un registro de auditoría mostrando la acción realizada, quién la realizó, así como el por qué y cuándo. Tanto a los empleados como a los servicios subcontratados, se les exige firmar los acuerdos de confidencialidad pertinentes como control fundamental de cara a proteger la información sensible.
El acceso de administradores está protegido mediante estrictos protocolos de autenticación y avanzados estándares de seguridad.
Formación y concienciación
Visual MS se compromete formalmente en fortalecer la capacitación y concienciación de todo nuestro personal en temas de seguridad de la información a través de las acciones formativas que sean necesarias, así como a promover el mantenimiento y la mejora continua de su Sistema de Gestión de Seguridad de la Información (SGSI).
Certificaciones de Velneo Cloud
Cumplimos con la norma ISO/IEC 27001 que es un estándar internacional reconocido el cual establece los requisitos para la implementación efectiva de un Sistema de Gestión de Seguridad de la Información (SGSI). Dicha certificación la obtuvimos en el año 2022, puedes consultar la publicación al respecto en este enlace.
Diseñada para garantizar la protección de la información sensible y crítica, esta norma proporciona un marco integral para identificar, evaluar y gestionar los riesgos relacionados con la seguridad de la información. En nuestra organización, realizamos auditorías periódicas tanto internas como externas conforme a la norma mencionada, con el objetivo de evaluar la eficacia y el cumplimiento de nuestro Sistema de Gestión de Seguridad de la Información (SGSI). Estas auditorías permiten identificar áreas de mejora, verificar la implementación de controles de seguridad y garantizar que los procesos se alineen con los requisitos establecidos por la norma.
Al seguir los principios de la ISO/IEC 27001, se establecen controles robustos y se implementan mejores prácticas de seguridad para demostrar un compromiso sólido con la confidencialidad, integridad y disponibilidad de la información.
Actuación frente a vulnerabilidades y pruebas de seguridad
Nos comprometemos a notificar en un plazo máximo de 24 horas si se presenta un incidente de seguridad que afecte a los datos del cliente, contando a partir de la detección de la misma. Se refleja, por ejemplo, en los casos Informe de Seguridad en Velneo Cloud y CVE-2021-45035.
Cuando se detecta una no conformidad, ya sea por parte de usuarios, personal interno o a través de auditorías, se inicia un ciclo que incluye la identificación, documentación, análisis de causas raíz, implementación de acciones correctivas y seguimiento de su eficacia. Cada incidencia se clasifica según su severidad utilizando el sistema SEV (Severity), lo que nos permite priorizar la respuesta y asignar los recursos necesarios de manera eficiente.
Actualizaciones y parches
Como se refleja en las ventajas del servicio Velneo Cloud, Velneo se compromete a encargarse de lo relativo a actualizaciones del sistema operativo como parte del servicio ofrecido al cliente.
Protocolo de comunicaciones
Los componentes clientes de la plataforma (Velneo vClient, Velneo vAdmin, etc.) se comunican con un servidor llamado Velneo vServer a través de un protocolo privado propio de la plataforma, denominado VATPS, que se establece sobre el protocolo de Velneo Cloud comunicaciones TCP/IP estándar.
Logging en Velneo vServer
Velneo vServer permite configurar el nivel de detalle de los registros de evento a través del parámetro VerboseLevel, que puede oscilar entre 0 (mínimo detalle) y 8 (máximo detalle). Si configuramos el nivel 9, se activan además registros de procesos en tercer plano (triggers, funciones remotas, procesos) que se almacenan en ficheros diarios con formato log4j, incluyendo inicio y fin de cada ejecución con metadatos como fecha, hora, tipo de objeto, usuario, testigo, instancia o proyecto.
Desde la perspectiva de seguridad, esta opción permite capturar eventos críticos y de actividad de aplicaciones con el grado de granularidad que exija la política corporativa. Por defecto, los logs de protocolo, recogen interacciones cliente-servidor con fecha, hora, comando, estado y usuario. Están almacenados en el servidor y son accesibles exclusivamente por usuarios con privilegios de administrador del servicio (a través de Velneo vAdmin o acceso directo al sistema de archivos del servidor). La política recomienda retener los registros durante al menos 90 días, aunque el periodo puede definirse por el administrador en función de las regulaciones vigentes y las buenas prácticas internas. Existe más información al respecto en este apartado de la documentación.
Última actualización
¿Te fue útil?