TimeTec presta gran atención a las cuestiones de seguridad, e investiga todas las vulnerabilidades reportadas. Esta página explica la práctica de TimeTec para hacer frente a las posibles vulnerabilidades en los aspectos de nuestros servicios en la nube.
ISO 27001
ISO 27001 es un estándar de administración de la seguridad que establece prácticas recomendadas en materia de administración de la seguridad y controles de seguridad exhaustivos conforme a las prácticas recomendadas de la norma ISO 27002. La base de esta certificación es el desarrollo y la implementación de un estricto programa de seguridad, que incluye el desarrollo e implementación de un sistema de administración de seguridad de la información (ISMS) que define cómo TimeTec administra la seguridad constantemente de forma exhaustiva e integral. Esta norma de seguridad internacional ampliamente reconocida especifica entidades:
• |
Evaluar sistemáticamente los riesgos de seguridad de la información, teniendo en cuenta el impacto de las amenazas y vulnerabilidades a las que se enfrenta la empresa. |
|
|
• |
Diseñar e implementar una completa suite de controles de seguridad de la información y otros mecanismos de administración del riesgo para afrontar los riesgos de seguridad de la empresa y la arquitectura. |
|
|
• |
Adoptar un proceso general de administración para garantizar que los controles de seguridad de la información cumplan nuestras necesidades de seguridad de la información de forma continua. |
La empresa obtuvo con éxito el Sistema de gestión de seguridad de la información ISO / IEC (SGSI) el 8 de marzo de 2018.
Usando 2-factor de autenticación (2FA) en TimeTec
Para mayor seguridad, se recomienda que se configura la autenticación de 2 factores (2FA) para ayudar a proteger sus cuentas TimeTec. 2FA añade seguridad adicional, ya que el usuario debe introducir un código de autenticación única desde un dispositivo de autenticación aprobado. Tratando de proporcionar a nuestros usuarios tranquilidad, trabajamos con el reconocido proveedor de terceros - Google Authenticator para mejorar el nivel de seguridad de su cuenta TimeTec. Esta característica de autenticación de 2 factores sin duda mejora la seguridad, ya que la firma en requerirá 2 cosas - un código generado por la aplicación móvil de Google Authenticator, además de su contraseña de la cuenta.
Amazon AWS:
En un esfuerzo para asegurar que todos los datos se mantienen seguros estamos utilizando uno de los mejores nombres de servidor y computación en la nube, Amazon AWS PaaS, "Plataforma como servicio". Técnicamente hablando, nos aseguramos nuestros datos con los siguientes servicios de seguridad.
TimeTec utiliza los servicios de AWS que son la norma ISO 27001 y PCI DSS certificada L1:
• Servicios Web de Amazon Elastic Compute Cloud (EC2)
• Servicios Web de Amazon Simple Storage Service (S3)
• Servicios Web de Amazon Relational Database Service (RDS)
• Servicios Web de Amazon Elastic Load Balancing (ELB)
• Servicios Web de Amazon Identidad y Administración de Acceso (IAM)
• Servicios Web de Amazon Elastic Block Storage (EBS)
• Servicios Web de Amazon servicio de correo electrónico simple (SES)
• Servicios Web de Amazon CloudFront
• Servicios Web de Amazon Route 53
• Servicios Web de Amazon Amazon CloudWatch + Servicio de notificación simple (SNS)
• Servicios Web de Amazon VPC
• Servicios Web de Amazon Escudo estándar para defenderse de los ataques DDoS
Informes de vulnerabilidad
Informar de supuestas vulnerabilidades
Si sospecha que los recursos están siendo utilizados TimeTec de actividad sospechosa, puede informar a nosotros aquí. De manera que podamos responder de manera efectiva a su informe, proporcione cualquier material de apoyo que sería útil para ayudar a comprender la naturaleza y gravedad de la vulnerabilidad.
Toda la información que usted comparte con TimeTec que en este proceso se mantiene confidencial dentro del equipo TimeTec y no será compartida con terceros sin obtener su permiso.
TimeTec revisará el informe presentado, a continuación, vamos a responder a usted, acusando recibo del informe y perfilar los próximos pasos en el proceso.
Evaluación de TimeTec
TimeTec trabajará para validar la vulnerabilidad reportada, una vez que el informe se recibió. Si se requiere información adicional para validar o simular el problema, TimeTec trabajará con usted para obtenerlo. Cuando la investigación inicial se haya completado, los resultados serán entregados a usted junto con un plan para la resolución y la revelación pública.
A tener en cuenta sobre el proceso de evaluación TimeTec: |
1. |
Productos de Tercero - Si no se encuentra la vulnerabilidad a afectar a un producto de terceros, TimeTec notificará a la parte involucrada. Vamos a seguir para coordinar entre usted y el tercero; su identidad no será revelada a la tercera parte sin su permiso. |
|
|
2. |
La confirmación de que no son vulnerabilidades - Si el problema no se puede validar, o no se encuentra para ser un defecto en el producto TimeTec, vamos a compartir la información con usted. |
|
|
|
TimeTec quiere mantenerlo informado de nuestro progreso a medida que investigamos y / o mitigar el problema de seguridad reportado. Usted recibirá una respuesta no automática a su contacto inicial dentro de las 24 horas, lo que confirma la recepción de su vulnerabilidad reportada. Recibirá actualizaciones de progreso de nosotros por lo menos cada cinco días laborables. |
Notificación pública
En su caso, TimeTec coordinará notificación pública de una vulnerabilidad validado con usted. Preferiríamos que nuestros respectivos divulgaciones públicas se publicarán de forma simultánea.
Con el fin de proteger a nuestros clientes, TimeTec solicita su cooperación para no enviar o compartir cualquier información acerca de una vulnerabilidad potencial en cualquier lugar público hasta que hemos investigado, respondió a, y se dirigió a la vulnerabilidad reportada y los clientes con conocimiento de causa, si es necesario.
También solicitamos respetuosamente de usted para que se abstengan de publicar o compartir los datos que pertenecen a nuestros clientes. Dirigiéndose a una vulnerabilidad válido es un proceso bastante largo y que puede variar en función de la gravedad de la vulnerabilidad y los sistemas afectados.