1.0 Introducción
El propósito de este documento es proporcionar una declaración concisa sobre las prácticas de seguridad de Akamai Irlanda aplicables a sus productos, servicios, sitios web y aplicaciones.
Akamai valora la confianza que nuestros clientes depositan en nosotros y nos tomamos muy en serio esta responsabilidad de proteger su información. Nos esforzamos por lograr una transparencia total en nuestras prácticas de seguridad, que se detallan a continuación. Estas prácticas de seguridad y nuestra acreditación ISO 27001 ofrecen a nuestros clientes la garantía de que cumplimos con el RGPD.
Akamai sigue un modelo de seguridad de defensa exhaustiva, sin depender de un único control para garantizar la seguridad de los datos de nuestros clientes.
Nuestro Aviso de Privacidad describe en detalle cómo gestionamos los datos de los clientes, así como las medidas técnicas y organizativas del Centro de Confianza de Privacidad de Akamai.
2.0 Declaraciones de Seguridad
2.1 Seguridad Física y Cumplimiento
Los sistemas de información y la infraestructura técnica de Akamai están alojados en centros de datos con certificación ISO 27001. Los controles de seguridad física en nuestros centros de datos incluyen monitorización 24/7, cámaras, registros de visitantes, requisitos de acceso y compartimentos cerrados dedicados para el hardware de Akamai. El Sistema de Gestión de Seguridad de la Información (SGSI), que respalda el desarrollo, la implementación y la operación de soluciones para clientes externos por parte de los equipos de Akamai Irlanda, cuenta con la certificación ISO 27001.
La Publicación 140-2 del Estándar Federal de Procesamiento de la Información (FIPS) (FIPS PUB 140-2) es un estándar de seguridad informática del gobierno estadounidense que se utiliza para aprobar módulos criptográficos. Akamai Irlanda cuenta con la confirmación de Corsec, agencia acreditada por el NIST, de que AccessMyLAN y SIA Mobile cumplen con la norma FIPS 140-2. En concreto, el uso de funciones criptográficas aprobadas por FIPS por parte de AccessMyLAN y SIA Mobile se ha considerado conforme según la evaluación "Verificación FIPS" de Corsec para el cumplimiento de la norma FIPS 140-2.
Los servicios de AccessMyLAN y SIA Mobile cumplen con los Servicios de Información de Justicia Penal (CJIS) al abordar las Áreas de Política de Seguridad de CJIS.
Además, muchos de los procesos están documentados, automatizados y auditados de acuerdo con los requisitos de la certificación ISO 27001.
2.2 Control de acceso
El acceso a los recursos tecnológicos de Akamai Irlanda solo se permite a través de una conectividad segura y requiere autenticación multifactor. Nuestra política de contraseñas de producción exige complejidad, caducidad y bloqueo, y prohíbe la reutilización. Akamai otorga acceso según sea necesario, revisa los permisos trimestralmente y revoca el acceso dentro de las 24 horas posteriores al despido del empleado.
2.3 Políticas de seguridad
Akamai Irlanda mantiene, revisa y actualiza sus políticas de seguridad de la información anualmente.
Los empleados deben aceptar las políticas anualmente y realizar capacitación adicional, como la capacitación sobre ISO 27001 y el RGPD, la capacitación sobre privacidad de datos, la capacitación sobre codificación segura y la capacitación en seguridad específica del puesto, según corresponda. El programa de capacitación está diseñado para cumplir con todas las especificaciones y regulaciones aplicables a Akamai Irlanda.
2.4 Personal
Akamai realiza una verificación de antecedentes al momento de la contratación, en la medida en que lo permitan o faciliten las leyes y países aplicables. Además, Akamai comunica sus políticas de seguridad de la información a todo el personal, exige a los nuevos empleados que firmen acuerdos de confidencialidad e imparte capacitación continua sobre privacidad y seguridad. Los Acuerdos de Confidencialidad y los Acuerdos de Propiedad e Invención se incluyen en nuestros Contratos de Trabajo, que todo el personal firma antes de comenzar a trabajar con nosotros.
2.5 Personal de Seguridad Dedicado
Akamai también cuenta con un equipo dedicado a Seguridad y Cumplimiento y un Delegado de Protección de Datos, especializado en Privacidad de Datos, así como en seguridad de aplicaciones, redes y sistemas. Este equipo también es responsable del cumplimiento normativo, la formación y la respuesta ante incidentes de seguridad.
2.6 Gestión de Vulnerabilidades y Pruebas de Penetración
Akamai Irlanda mantiene un programa documentado de gestión de vulnerabilidades que incluye análisis periódicos, identificación y corrección de vulnerabilidades de seguridad en servidores, estaciones de trabajo, equipos de red y aplicaciones. Todos los entornos de producción se analizan periódicamente con proveedores externos de confianza. Los parches críticos se aplican a los servidores con prioridad y, según corresponda, a los demás parches. También realizamos pruebas de penetración externas periódicas y corregimos los resultados según su gravedad.
2.7 Cifrado
Ciframos los datos del sistema de Akamai Irlanda en tránsito mediante protocolos criptográficos seguros. Los datos antiguos también se cifran en reposo.
2.8 Desarrollo
Nuestro equipo de desarrollo emplea técnicas de codificación segura que hacen referencia a las mejores prácticas de OWASP. Los desarrolladores reciben formación formal en prácticas de desarrollo de aplicaciones seguras al momento de su contratación y anualmente. Los entornos de desarrollo, prueba y producción están separados. Todos los cambios se revisan y registran con fines de auditoría y seguridad antes de su implementación en el entorno de producción.
Todas las aplicaciones y sistemas implementados se someten a análisis de código y vulnerabilidades.
2.9 Registro y Auditoría
Los sistemas de aplicaciones e infraestructura registran la información en un repositorio de registros gestionado centralmente para la resolución de problemas, revisiones de seguridad y análisis por parte del personal autorizado de Akamai. Los registros se conservan de acuerdo con los requisitos normativos.
Anualmente, Akamai Irlanda se somete a una rigurosa auditoría ISO27001, realizada por un asesor externo cualificado, para confirmar nuestro cumplimiento de los requisitos de la norma.
2.10 Gestión de Activos
Akamai Irlanda mantiene una política de gestión de activos que incluye la identificación, clasificación, retención y eliminación de información y activos. Los dispositivos proporcionados por la empresa están equipados con cifrado completo de disco duro y software antivirus actualizado. Solo los dispositivos proporcionados por la empresa pueden acceder a las redes corporativas y de producción.
2.11 Gestión de Incidentes de Seguridad de la Información
Akamai Irlanda mantiene políticas y procedimientos de respuesta a incidentes de seguridad que abarcan la respuesta inicial, la investigación, la notificación al cliente (al menos según lo exija la legislación aplicable), la comunicación pública y la remediación. Estas políticas se revisan periódicamente y se prueban semestralmente.
2.12 Notificación de Infracciones
A pesar de nuestros mejores esfuerzos, ningún método de transmisión por Internet ni ningún método de almacenamiento electrónico es completamente seguro. No podemos garantizar una seguridad absoluta. Sin embargo, si Akamai detecta una vulneración de seguridad, notificará a los usuarios afectados para que puedan tomar las medidas de protección adecuadas. Nuestros procedimientos de notificación de infracciones cumplen con nuestras obligaciones en virtud de las leyes y normativas nacionales, estatales y federales aplicables, así como con cualquier norma o estándar del sector que nos sea aplicable. Nos comprometemos a mantener a nuestros clientes plenamente informados sobre cualquier asunto relevante para la seguridad de su cuenta y a proporcionarles toda la información necesaria para que cumplan con sus obligaciones de información regulatoria.
2.13 Arquitectura Resiliente
La Arquitectura Empresarial de Akamai Irlanda exige la implementación y el mantenimiento de arquitecturas resilientes. Todos estos diseños aprovechan las mejores prácticas del sector en materia de Alta Disponibilidad y Recuperación ante Desastres.
Los sistemas de producción de Akamai Irlanda se respaldan mediante un proceso de copias de seguridad completas e incrementales, que se verifican periódicamente. Las copias de seguridad se cifran y almacenan en el entorno de producción para preservar su confidencialidad e integridad, y se prueban periódicamente para garantizar su disponibilidad. Estas copias de seguridad también se replican de forma segura en los sitios de recuperación ante desastres para su uso durante la invocación de la recuperación ante desastres.
2.14 Privacidad de datos
La legislación sobre privacidad de la información o protección de datos prohíbe la divulgación o el uso indebido de información sobre particulares. Muchos países han adoptado leyes integrales de protección de datos. Entre las leyes más importantes se encuentra el Reglamento General de Protección de Datos (RGPD), diseñado para garantizar la seguridad de los datos personales almacenados sobre ciudadanos de la UE. Las infracciones pueden conllevar sanciones de hasta 20 millones de euros o el 4 % de la facturación anual global, la cantidad que sea mayor. En Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) impone requisitos relacionados con el uso y la divulgación de la Información Sanitaria del Paciente (PHI) y las medidas de seguridad adecuadas para proteger dicha información, los derechos individuales y las responsabilidades administrativas.
HIPAA Y SEGURIDAD MÓVIL
Akamai Ireland es una empresa con certificación ISO 27001 y cumple con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), que establece disposiciones de seguridad y privacidad de datos para mantener segura la información médica de los pacientes. Los principales proveedores de servicios de salud a nivel mundial utilizan los productos de Akamai para proteger y optimizar su experiencia móvil en una amplia gama de dispositivos celulares. Los proveedores de servicios de salud aprovechan los servicios de Akamai para usar y divulgar la Información Sanitaria del Paciente (PHI) de acuerdo con lo permitido por la HIPAA.
LEY DE PROTECCIÓN DE DATOS Y SEGURIDAD MÓVIL
Akamai Irlanda cumple con toda la legislación regional de protección de datos pertinente en todas las regiones donde opera. Akamai mantiene una Política de Protección de Datos que se aplica a todos los datos personales recopilados, procesados y almacenados por Akamai en relación con su personal, proveedores de servicios y clientes en el curso de sus actividades comerciales. Esta Política de Protección de Datos garantiza que cualquier trabajo realizado en Akamai se centre en los derechos del titular de los datos durante todo el ciclo de vida del proceso. Los principios fundamentales de esta política incluyen:
Los datos deben obtenerse y procesarse de forma justa y legal.
Los datos deben obtenerse únicamente para uno o más fines legítimos específicos.
Los datos no deben procesarse de forma incompatible con los fines especificados.
Los datos deben mantenerse seguros.
Los datos deben mantenerse precisos, completos y actualizados cuando sea necesario.
Los datos deben ser adecuados, relevantes y no excesivos en relación con el fin declarado.
Los datos no deben conservarse durante más tiempo del necesario para cumplir con los fines especificados.
Los datos deben gestionarse y almacenarse de forma que se puedan atender oportunamente las solicitudes de acceso de los interesados.
Además, Akamai está preparada para gestionar las solicitudes de acceso de los interesados, además de contar con todas las políticas y procedimientos necesarios para salvaguardar la información personal identificable. Estos incluyen políticas de retención de datos, evaluaciones de impacto de la privacidad, políticas de protección de datos y nuestro Sistema de Gestión de Seguridad de la Información, que abarca una amplia gama de procedimientos diseñados para proteger los datos en toda la empresa.