Seguridad de la Información

Somos una empresa certificada ISO/IEC 27001

Hemos sido certificados según la norma ISO/IEC 27001:2022.

Esta certificación acredita que hemos adoptado las mejores prácticas internacionales de seguridad de la información, demuestra el compromiso de los ejecutivos de la organización con la seguridad de la información y refuerza que Blip tiene un alto compromiso con la protección de datos e información, lo que representa un alto nivel de comodidad para nuestros clientes, socios, proveedores y partes interesadas que interactúan con la Organización.

Control de acceso

El control de acceso es uno de los mecanismos utilizados para proteger física y lógicamente el entorno y los activos de TI. El acceso a la información, equipos, documentos y áreas seguras están debidamente controlados para que sólo las personas autorizadas tengan acceso.

Concientización / Capacitación

Todos los empleados participan periódicamente en programas de capacitación y concientización sobre seguridad de la información, desde la incorporación y durante todo el ciclo de vida del empleado en Blip. El equipo de Seguridad de la Información proporciona actualizaciones adicionales sobre concientización sobre seguridad a través de publicaciones en canales de comunicación internos y en presentaciones durante eventos internos.

Gestión de incidentes de seguridad de la información

Blip cuenta con normas y procedimientos sobre gestión y respuesta a incidentes, que incluyen los lineamientos y procedimientos a adoptar en caso de incidentes de Información y Ciberseguridad.

Estos lineamientos deben ser conocidos por los empleados, proveedores y terceros involucrados para que puedan reportar cualquier incidente que ocurra, para que puedan ser atendidos oportunamente.

Gestión de la continuidad del negocio

Blip ha establecido procedimientos para la recuperación de servicios y procesos críticos con el fin de garantizar que sus actividades consideradas esenciales sigan llevándose a cabo y que los servicios críticos permanezcan disponibles en situaciones de crisis o paradas no programadas.

Políticas y normas

Blip ha desarrollado un conjunto de políticas y estándares de seguridad que se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de la Organización.

Seguridad de datos

Protegemos los datos mediante un conjunto de medidas de seguridad técnicas, físicas y administrativas diseñadas para evitar el acceso y tratamiento no autorizado de nuestros sistemas y datos, con controles de acceso basados ​​en el principio del mínimo privilegio. Todos nuestros empleados están capacitados para manejar los datos de forma adecuada, de acuerdo con los lineamientos de la Política de Seguridad de la Información.

Seguridad del proveedor

Blip minimiza los riesgos asociados a los proveedores realizando análisis durante el proceso de contratación y, anualmente, se reevalúan los proveedores considerados críticos (que acceden a nuestros sistemas o datos).

BOLETÍN DE SEGURIDAD DE LA INFORMACIÓN PÚBLICA

Seguridad en SDLC

1. Análisis de código estático (SAST)
   La canalización SDLC se evalúa mediante una solución SAST (prueba de seguridad de aplicaciones estáticas) para identificar posibles vulnerabilidades en el código fuente y los archivos de configuración del producto.
2. Análisis SCA – Análisis de la Composición del Software
   Se realizan comprobaciones de vulnerabilidad en componentes de software, marcos y bibliotecas.
3. Análisis y aprobación de solicitudes de extracción
   Cuando los equipos de desarrollo terminan de codificar, ya sea para nuevas implementaciones o para corregir defectos de software, confirman el código y envían solicitudes de extracción, que son evaluadas por partes competentes.
4. Protector de código fuente
   Los códigos fuente se almacenan en un repositorio privado, con acceso controlado.
5. Segregación de ambientes
   Existe una separación de los entornos de desarrollo, aprobación y producción, cada uno con sus respectivos permisos de acceso. El entorno de producción sigue el concepto de mínimo privilegio.
6. Cifrado de datos en tránsito
   Los datos en tránsito a través de la plataforma utilizan el protocolo TLS 1.2 (sin cifrados débiles) y TLS 1.3 de forma predeterminada en su comunicación de datos, incluida la comunicación de datos con sistemas de gestión de bases de datos.
7. Gestión de secretos
   La información confidencial de la aplicación, como claves API y contraseñas de bases de datos, se almacena en una bóveda de contraseñas con registros de actividad y acceso controlado. 
8. Intercambio de archivos en BLiP
   Los medios que viajan a través de BLiP están sujetos a análisis antimalware (antes del almacenamiento y después del almacenamiento). También se bloquean algunos tipos de archivos potencialmente maliciosos, como ejecutables y bibliotecas.
9. Ejecución del pentest
   Blip contrata periódicamente a una empresa externa para realizar de forma independiente pruebas de intrusión (Pentest) en el producto BLiP. Blip proporciona a los clientes, partes interesadas y partes competentes, cuando corresponda y tras la firma del NDA (Non Disclosure Agreement) entre las partes, una carta emitida como evidencia de la realización de evaluaciones de seguridad (análisis de vulnerabilidades y pruebas de intrusión (Pentest), es decir, una Carta de Evidencia. Los detalles del Pentest no se revelan, ya que se trata de información clasificada como Confidencial.

Seguridad en la nube

1. Mínimo privilegio
   El acceso al entorno de nube requiere, de forma predeterminada, al menos una autenticación de dos factores (2FA). El entorno de producción tiene acceso restringido. Sólo el personal autorizado, teniendo en cuenta el mínimo privilegio y la necesidad de saber, tiene acceso a los datos y activos, excepto que los datos de auditoría, como los registros de acceso, permanecen restringidos a las partes correspondientes.
2. Registros de acciones y actividades
   Se mantienen registros de acciones y actividades como modificación de configuración, creación y eliminación de activos en el entorno de producción para permitir auditorías e investigaciones cuando sea necesario.
3. Monitoreo
   Se realiza seguimiento de las acciones a través de un tablero de mando donde se inspecciona el cumplimiento del entorno con las políticas de seguridad vigentes. Las políticas se aplican siempre que sea posible.
4. Certificaciones de seguridad
   Los entornos de los proveedores de servicios de computación en la nube utilizados por Blip cumplen con los más estrictos requisitos de seguridad, los cuales son auditados y certificados por entidades externas y de terceros.

Seguridad de datos

1. Encriptación
   El almacenamiento de datos y la comunicación con bases de datos relacionales están todos cifrados en reposo y en tránsito.
2. Registros de acesso Registros de acceso y registros de modificaciones
   Se mantienen registros de acceso y cambios de registros para fines de auditoría, cuando sea necesario, para todas las bases de datos relacionales de producción.
3. Copias de seguridad
   Las copias de seguridad de las bases de datos relacionales de producción se realizan a intervalos definidos y se auditan.

Seguridad de la estación de trabajo

1. Antivirus
   Todos los ordenadores proporcionados a los empleados de Blip cuentan con soluciones avanzadas Antimalware y EDR.
2. Uso del software
   Los empleados de Blip no están autorizados a utilizar el software sin la autorización previa de las partes competentes.

Canal de WhatsApp

1. Comunicación BLiP y WhatsApp
   Cada número de WhatsApp representa un contenedor en la infraestructura de BLiP, cada uno de estos contenedores tiene su propio cifrado, al igual que un teléfono celular con un número activado.
   De esta manera, Blip no tiene acceso a ningún texto o contenido multimedia almacenado en cada contenedor activo en el canal de WhatsApp.

Redes

1. Firewalls
   Las redes de operación en la nube del entorno Blip cuentan con firewalls en los bordes que pueden realizar bloqueos debido al riesgo que representan para la plataforma.
2. Reputación IP
   Se realiza un análisis de reputación de IP en cada solicitud que recibe la plataforma, por lo que una solicitud puede ser bloqueada debido a esta condición.
3. Segregación de redes
   Las redes de producción, aprobación y pruebas están segregadas y no se comunican entre sí.

Iniciativas de diseño

1. Seguridad por diseño
   Durante las fases del SDLC (Software Development Cycle), el equipo de Seguridad de la Información participa como consultor, buscando adaptar el SDLC a los marcos y estándares de seguridad, como OWASP.
2. Privacidad por diseño
   Durante la fase de desarrollo de productos, sistemas o servicios, el equipo de Privacidad de Datos evalúa los riesgos que las actividades pueden suponer para los interesados ​​y las posibles medidas a adoptar para garantizar los principios de protección de datos y los derechos de los interesados. Los equipos tienen la autonomía de solicitar evaluaciones de privacidad cuando sea necesario.

Concientización

1. Proceso de incorporación
   Los nuevos empleados son capacitados por el equipo de Seguridad de la Información antes de iniciar sus actividades. En esta ocasión se presentan los lineamientos de la Política de Seguridad de la Información (PSI).
2. Entrenamientos
   Los equipos reciben rutinariamente capacitación por parte del equipo de Seguridad de la Información en temas relacionados con la seguridad y privacidad acorde a la ejecución de sus actividades.
3. Comunicación
   El equipo de Seguridad de la Información utiliza los canales de comunicación interna de Blip para mantener informados a todos los empleados sobre temas relacionados con la seguridad, buscando concientizarlos y garantizar que se mantengan actualizados con la Política de Seguridad de la Información (PSI).
4. Comité de Seguridad de la Información
   En Blip existe un comité de Seguridad de la Información con miembros de diferentes sectores y responsabilidades, lo que demuestra el compromiso con el sistema de gestión de seguridad de la información.