'%3e%3cpath%20fill='%23eee'%20d='M256%200h256v64l-32%2032l32%2032v64l-32%2032l32%2032v64l-32%2032l32%2032v64l-256%2032L0%20448v-64l32-32l-32-32v-64z'%20/%3e%3cpath%20fill='%23d80027'%20d='M224%2064h288v64H224Zm0%20128h288v64H256ZM0%20320h512v64H0Zm0%20128h512v64H0Z'%20/%3e%3cpath%20fill='%230052b4'%20d='M0%200h256v256H0Z'%20/%3e%3cpath%20fill='%23eee'%20d='m187%20243l57-41h-70l57%2041l-22-67zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67zm162-81l57-41h-70l57%2041l-22-67zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67Zm162-82l57-41h-70l57%2041l-22-67Zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67Z'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
'%3e%3cpath%20fill='%23eee'%20d='M167%200h178l25.9%20252.3L345%20512H167l-29.8-253.4z'%20/%3e%3cpath%20fill='%230052b4'%20d='M0%200h167v512H0z'%20/%3e%3cpath%20fill='%23d80027'%20d='M345%200h167v512H345z'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
'%3e%3cpath%20fill='%23ffda44'%20d='m0%20345l256.7-25.5L512%20345v167H0z'%20/%3e%3cpath%20fill='%23d80027'%20d='m0%20167l255-23l257%2023v178H0z'%20/%3e%3cpath%20fill='%23333'%20d='M0%200h512v167H0z'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
DECLARACIÓN DE SEGURIDAD DE DATOS Y SEGURIDAD TI
Los sistemas y datos de ERBESSD INSTRUMENTS® (EI) están protegidos por un programa integral de Seguridad de la Información detallado en el Sistema de Gestión de Seguridad de ERBESSD INSTRUMENTS® (EISMS). Profesionales dedicados a la seguridad, privacidad, gobernanza de la información y cumplimiento normativo mantienen el programa bajo la supervisión del Consejo de Administración junto con la alta dirección. El equipo de seguridad de ERBESSD INSTRUMENTS® realiza evaluaciones de riesgos, revisiones periódicas y lleva un seguimiento de los riesgos mediante un proceso documentado de registro de riesgos.
El programa de seguridad de ERBESSD INSTRUMENTS® respalda los siguientes marcos: NIST Cybersecurity Framework, NIST SP 800-171 para la Protección de Información No Clasificada Controlada en Sistemas y Organizaciones de Información No Federales, el Reglamento General de Protección de Datos de la UE (RGPD) y la Ley de Privacidad del Consumidor de California (CCPA).
ERBESSD INSTRUMENTS® ha establecido políticas que abarcan:
Políticas de Uso Aceptable
| - Acceso remoto | - Dispositivos móviles |
| - Contraseñas | - Comunicación inalámbrica |
| - Uso de sistemas digitales | - Política de privacidad |
Políticas de Seguridad
| - Seguridad de la información | - Servicios en la nube |
| - Reporte de incidentes de seguridad | - Adquisición e implantación de sistemas |
| - Respaldo de datos | - Gestión del cambio |
| - Sensibilidad de la información | - Relaciones con proveedores y terceros |
| - Seguridad de instalaciones y operaciones del centro de datos |
Controles de Acceso
Los accesos y capacidades de procesamiento están limitados a usuarios y dispositivos autorizados. Se asigna a los usuarios autorizados un ID de usuario único con una contraseña compleja, necesaria para iniciar sesión. Las contraseñas deben cambiarse con frecuencia. La autenticación de dos factores es obligatoria para el acceso remoto y el acceso a sistemas en la nube. Las funciones administrativas se gestionan a través de cuentas privilegiadas separadas.
Arquitectura
EI sigue las mejores prácticas para el despliegue y mantenimiento de sus sistemas y para los datos almacenados en los centros de datos y servicios en la nube de EI. Los datos y sistemas críticos se replican y respaldan en centros de datos secundarios. Los sistemas se diseñan de forma segura y son revisados por el equipo de seguridad antes de pasar a producción.
Auditoría
El programa de Seguridad de la Información de EI se audita de forma regular, tanto interna como externamente, en base anual. EI supervisa y audita su seguridad, privacidad y gobernanza de la información (personas, procesos y controles) para garantizar el cumplimiento de las políticas y los estándares aplicables de seguridad y privacidad. EI realiza anualmente una prueba de penetración externa independiente y analiza periódicamente sus redes externas e internas en busca de vulnerabilidades.
Concienciación y Formación
Los empleados de EI, incluidos los contratistas con credenciales de los sistemas de EI, completan regularmente la formación en concienciación sobre seguridad asignada y reciben ejercicios de entrenamiento contra phishing. Durante todo el año se comparten boletines y anuncios de seguridad para ofrecer recordatorios oportunos de concienciación y formación.
Continuidad del Negocio y Recuperación ante Desastres
EI mantiene un plan de continuidad del negocio y recuperación ante desastres que se revisa y prueba regularmente. Las consideraciones de continuidad y recuperación de EI incluyen el uso de sistemas de alta disponibilidad, servicios de respaldo, replicación de datos y centros de datos redundantes.
Controles de Datos
Los datos están cifrados en reposo y en tránsito, separados lógicamente, y el acceso se otorga únicamente a usuarios autorizados. Los sistemas de monitoreo de archivos registran y supervisan el acceso a los datos, mientras que los sistemas de prevención de pérdida de datos controlan el movimiento de datos dentro y fuera de EI.
Privacidad de Datos
EI está comprometida con la protección y la privacidad de los datos. La protección y gestión de los datos que nos son confiados es una de nuestras prioridades más altas. EI sigue un modelo de acceso de mínimo privilegio y audita regularmente el acceso de las personas a los datos. EI respeta el derecho a la privacidad de las personas y trabajamos constantemente para mantener el cumplimiento de las normativas de privacidad. Nuestra Política de Privacidad puede consultarse aquí.
Seguridad de Endpoints
Las estaciones de trabajo y dispositivos móviles están cifrados con cifrado de disco completo y requieren contraseña, PIN o biometría para acceder. Los inventarios de estaciones de trabajo, el despliegue de software y las políticas de seguridad se gestionan mediante la gestión de configuración empresarial. Las estaciones de trabajo, dispositivos móviles y servidores requieren registro en el sistema de gestión de dispositivos de EI. Las estaciones de trabajo y servidores están protegidos con protección avanzada de endpoints que utiliza IA para ayudar a combatir las amenazas. Los equipos informáticos en las oficinas de EI están físicamente protegidos.
Respuesta a Incidentes
El plan de respuesta a incidentes de seguridad de EI establece que los eventos de seguridad sean evaluados y escalados cuando corresponda. Un sistema de gestión de información y eventos de seguridad (SIEM) mantiene y analiza los registros de seguridad. Este sistema es monitoreado las 24 horas del día, los 7 días de la semana. El personal de seguridad dedicado analiza regularmente los registros en busca de actividad sospechosa y comportamiento inusual. Se mantienen membresías en organizaciones legales, cibernéticas y de pares para facilitar el intercambio oportuno de inteligencia y las actividades de respuesta. EI mantiene una estrecha relación de trabajo con sus proveedores, fuerzas del orden y proveedores de servicios de seguridad gestionada para obtener inteligencia adicional sobre amenazas, análisis y respuesta.
Seguridad Perimetral
EI protege datos, servidores y endpoints en las redes de EI y públicas utilizando controles de seguridad de última generación. Estos controles incluyen firewalls de próxima generación, antivirus/antimalware de próxima generación, seguridad web, seguridad de correo electrónico y sistemas de detección de intrusiones. Esto permite a EI prevenir ataques de red maliciosos, el acceso a sitios sospechosos o maliciosos, prevenir correos electrónicos o adjuntos maliciosos y mitigar ataques de día cero.
Gestión de Proveedores
ERBESSD INSTRUMENTS® evalúa a los posibles proveedores frente a una serie de criterios para garantizar estándares de seguridad adecuados antes de conceder acceso al sistema de un proveedor o poner sistemas en operación. Los contratos y acuerdos de procesamiento de datos son revisados por los equipos de Seguridad de la Información, Privacidad y Legal antes de su ejecución. La postura de seguridad de los proveedores clave se revisa de forma regular.