1. Misión y responsabilidades
1.1 Misión
Asegurar la disponibilidad, integridad y confidencialidad de la información.
1.2 Responsabilidades del equipo
Las responsabilidades de los equipos de seguridad se distribuyen así, pero no se limitan, a los siguientes temas:
|
Security Operations Center (SOC) |
Privacidad de protección de datos |
|
Seguridad de las aplicaciones Seguridad en la Nube Pruebas de penetración Investigación de incidentes Centro de operaciones de seguridad (SOC)
|
Ajuste a la legislación y Auditoría de seguridad Gestión de incidentes de seguridad Evaluación de riesgos Orientación a las buenas prácticas
|
2. Seguridad Blip
2.1 Análisis de código estático SAST
Cada pipeline de compilación se somete a un análisis de código estático. Con esta herramienta, se evalúan las categorías de defectos de software, que incluyen: code smells, vulnerabilidades y security hotspots.
2.2 Análisis SCA - Análisis de composición de software
Se realiza la verificación del software de los componentes, las bibliotecas y la búsqueda de vulnerabilidades.
2.3 Análisis y aprobación de solicitudes de extracción
Los equipos de desarrollo al finalizar las codificaciones, ya sea de nuevas implementaciones o corrección de defectos de software, confirman el código y envían solicitudes de extracción, que son evaluadas por el tech lead de su squad.
2.4 Protección del código fuente
Los códigos fuente se almacenan en un repositorio privado de Git, con acceso autorizado mediante autenticación integrada.
2.5 Segregación de entornos
Existe una separación de los entornos de desarrollo, aprobación y producción, cada uno con sus respectivos permisos de acceso. El entorno productivo sigue el concepto de privilegio mínimo.
2.6 Cifrado de datos en tránsito
Los datos en tránsito a través de la plataforma utilizan TLS 1.2 en su comunicación HTTP de forma predeterminada. Las conexiones a los bancos también tienen cifrado criptográfico en tránsito.
2.7 Gestión de secretos
La información confidencial de la aplicación, como las claves de API y las contraseñas de la base de datos, se almacena en una bóveda de contraseñas con registro de actividad y acceso restringido a la red. La caja fuerte en el entorno de producción sigue el privilegio mínimo descrito en el punto 3.1.
2.8 Intercambio de archivos en Blip
Los medios que viajan en Blip están sujetos a análisis antivirus y no pueden superar los 20 megabytes. También se bloquean algunos tipos de archivos potencialmente maliciosos, como los ejecutables y las bibliotecas.
2.9 Ejecución de pentest
Take realiza cada seis meses la contratación de una empresa tercerizada para la ejecución independiente del pentest de caja gris (gray box) de la aplicación Blip. Se pueden solicitar cartas de prueba al equipo de Seguridad de la Información de Take.
3. Seguridad en la nube
3.1 Privilegio mínimo
El acceso al entorno de la nube requiere un segundo factor de autenticación de forma predeterminada. Los datos considerados confidenciales dependen del acceso a la VPN para acceder o de que la computadora esté físicamente en las redes internas de Take.
Las firmas de producción tienen acceso restringido, solo los líderes tecnológicos acceden a los datos y activos, con la excepción de que los datos de auditoría, como los registros de acceso, permanecen restringidos a los equipos de infraestructura y seguridad.
3.2 Registros de acciones y actividades
Los registros de acciones y actividades, como modificar la configuración, crear y eliminar activos de las suscripciones de producción, se mantienen para permitir auditorías e investigaciones cuando sea necesario.
3.3 Seguimiento
Existe un seguimiento de las acciones a través de un dashboard donde se inspecciona el cumplimiento del entorno con respecto a las políticas de seguridad vigentes. Las políticas se hacen cumplir siempre que sea posible.
3.4 Certificaciones de seguridad
Los entornos de nube utilizados por Take en la prestación de servicios cumplen con los más estrictos requisitos de seguridad, los cuales son auditados y certificados.
4. Seguridad de los datos
4.1 Criptografía
Las bases de datos relacionales están todas cifradas en disco y en tránsito.
4.2 Anonimización
La información se anonimiza siempre que sea posible con respecto a la privacidad. La anonimización, cuando es necesario, se realiza debido al mapeo de datos sensibles existentes en bases de datos relacionales.
4.3 Registros de acceso y registro de cambios
Los registros de acceso y los cambios de registros se mantienen con fines de auditoría cuando es necesario desde todas las bases de datos relacionales de producción. Los registros se guardan durante cinco años.
4.4 Copias de seguridad
La copia de seguridad de las bases de datos relacionales de producción se realiza automáticamente todos los días con una retención de siete días.
4.5 Ubicación de los datos
Las bases de datos y los archivos multimedia se almacenan en la nube en los centros de datos ubicados en Brasil.
5. Seguridad de la estación de trabajo
5.1 Antivirus
Los equipos de Take vienen instalados por defecto con un sistema antivirus con gestión controlada por administración remota.
5.2 Instalación del software
Los empleados de Take no pueden instalar software sin el conocimiento del equipo de seguridad de la información. Hay un inventario de software instalado.
6. Canal de Whatsapp
6.1 Comunicación Blip y Whatsapp
Cada número de Whatsapp representa un contenedor en la infraestructura Blip, cada uno de estos contenedores tiene su propio cifrado, al igual que un teléfono celular con un número activado.
Por lo tanto, Take no tiene acceso a ningún texto o contenido multimedia, almacenado en cada contenedor activo en el canal de Whatsapp.
7. Redes
7.1 Firewall
Las redes de operación en la nube Blip tienen firewalls en los bordes que pueden ejecutar el bloqueo debido al riesgo que representan para la plataforma.
7.2 Reputación de los IP
El análisis de reputación de IP se realiza en cada solicitud que recibe la plataforma, por lo que una solicitud puede ser bloqueada por esta condición.
7.3 Segregación de redes
Las redes de producción, aprobación y prueba están segregadas y no tienen comunicación entre ellas.
8. Iniciativas basadas en el diseño (by-deign)
8.1 Seguridad por diseño
Durante la fase de perfeccionamiento del desarrollo, el equipo de SI participa como consultores de seguridad, buscando adaptar cada nueva implementación a estándares de seguridad más apropiados. Siempre que sea posible, se utiliza el framework OWASP Threat Modeling.
8.2 Privacidad por diseño
Durante la fase de refinamiento de los equipos de desarrollo, el equipo de SI realiza evaluaciones del impacto en la privacidad de los datos ingresados en el proyecto. Los equipos tienen autonomía para solicitar evaluaciones de privacidad cuando sea necesario.
9. Concientización
9.1 Proceso de incorporación
Los nuevos empleados son capacitados por el equipo de Seguridad de la Información antes de comenzar sus actividades. En esa ocasión, se presentan los temas de la Política de Seguridad de la Información (PSI).
9.2 Entrenamiento
Los equipos reciben de forma rutinaria formación del equipo de Seguridad de la Información sobre cuestiones relacionadas con la seguridad y la privacidad en consonancia con el desempeño de sus actividades.
9.3 Comunicación
El equipo de Seguridad de la Información utiliza los canales de comunicación interna de Take para mantener informados a todos los empleados sobre temas relacionados con la seguridad con el fin de crear conciencia y mantenerse actualizados sobre la Política de Seguridad de la Información (PSI).
9.4 Comité de Seguridad de la Información
Existe un comité de Seguridad de la Información con la participación de personas de diferentes sectores y responsabilidades de Take. El objetivo es realizar capacitaciones con enfoque en la identificación de necesidades de seguridad, para una acción proactiva, sobre los posibles riesgos a los proyectos de seguridad en los equipos internos.
10. Enlaces útiles
Enlaces de información adicional sobre Blip.
Centro de ayuda de Blip - Help Center
Referencia de API
Políticas de Blip (Cookies - Privacidad - Condiciones de uso)
Página de estado de Blip (historial y disponibilidad de incidentes)
Registro de cambios de Blip
11. Contactos
El equipo de Seguridad de la Información de Take está disponible para aclaraciones a través de la dirección electrónica: si@take.net
Take tiene un oficial de protección de datos (DPO) para brindar asistencia en relación con la privacidad de los datos. Las preguntas relacionadas con la privacidad de los datos se pueden enviar a la dirección de email: legal@blip.ai