Prácticas de seguridad (archivado)
En vigor: 24 de mayo de 2018
En Slack nos tomamos muy en serio la seguridad de tus datos. Como la transparencia es uno de los principios en los que se basa nuestra compañía, nuestro objetivo es ser lo más claros y abiertos que sea posible en cuanto a la forma en que manejamos la seguridad.
En caso de que tengas más preguntas sobre la seguridad, nos complacerá contestarlas. Escríbenos a feedback@slack.com y te responderemos lo más rápido posible.
Confidencialidad
Establecemos controles estrictos sobre el acceso de nuestros empleados a los datos que tus usuarios y tú ponéis a disposición a través de los servicios de Slack, tal y como se especifica en tu acuerdo con Slack que contempla el uso de los servicios de Slack ("Datos del cliente"). El funcionamiento de los servicios de Slack requiere que algunos empleados tengan acceso a los sistemas que almacenan y procesan los Datos del cliente. Por ejemplo, puede que tengamos que acceder a tus Datos del cliente con el fin de diagnosticar un problema que te haya surgido con los servicios de Slack. Estos empleados tienen prohibido utilizar estos permisos para ver los Datos del cliente a menos que sea estrictamente necesario. Disponemos de controles técnicos y políticas de auditoría para garantizar que cualquier acceso a los Datos del cliente quede registrado.
Todos nuestros empleados y personal contratado tienen la obligación de cumplir con nuestras políticas relativas a los Datos del cliente y tratamos estos temas como cuestiones de la máxima importancia en nuestra empresa.
Prácticas de personal
Slack realiza revisiones de antecedentes de todos los empleados antes del empleo y los empleados reciben capacitación sobre privacidad y seguridad durante la incorporación, así como de forma continua. Todos los empleados deben leer y firmar nuestra política integral de seguridad de la información que abarca la seguridad, disponibilidad y confidencialidad de los servicios de Slack.
Cumplimiento de normas
Las siguientes auditorías y certificaciones relacionadas con la seguridad son aplicables a los servicios de Slack:
- ISO 27001 e ISO 27018: Slack ha logrado el cumplimiento de las ISO 27001 y ISO 27018. Puedes descargar el certificado ISO 27001 aquí, y el certificado ISO 27018 aquí. Una copia de la Declaración de aplicabilidad se encuentra disponible a petición de tu Administrador de cuenta.
- Informes del Control de Organización del Servicio (SOC): Slack ha sido sometido a una auditoría SOC 2, y está disponible una copia del último informe de Slack a petición de tu Gestor de cuenta. Además, puedes descargar nuestro informe SOC 3 aquí.
- PCI: Slack es un comerciante PCI de nivel 4 y ha completado SAQ-A de la prueba de seguridad de datos de la industria de la tarjeta de pago. Utilizamos un tercero para procesar la información de la tarjeta de crédito de forma segura. Actualmente, Slack no es un proveedor de servicios certificados por PCI.
El entorno que presenta los servicios de Slack mantiene múltiples certificaciones para sus centros de datos, como el cumplimiento de la ISO 27001, la autorización FedRAMP, la certificación PCI y los informes SOC. Para obtener más información acerca de las certificaciones y el cumplimiento, visita el sitio web de seguridad de AWS, el sitio web de cumplimiento de AWS, el sitio web de Google Security y el sitio web de cumplimiento de Google.
Funciones de seguridad para Miembros del equipo y Administradores
Además del trabajo que realizamos a nivel de infraestructura, les brindamos a los administradores del equipo de las versiones pagas de los servicios de Slack más herramientas para que sus propios usuarios puedan proteger sus Datos del cliente.
Registro de acceso
Están disponibles los registros de acceso tanto para los usuarios como para los administradores de equipos pagos. Registramos cada vez que una cuenta inicia sesión, teniendo en cuenta el tipo de dispositivo utilizado y la dirección IP de la conexión.
Los administradores del equipo y los propietarios de los equipos pagos pueden revisar los registros de acceso consolidados para todo su equipo. También les facilitamos a los administradores la tarea de finalización remota de todas las conexiones y el cierre de sesión de todos los dispositivos autenticados en los servicios de Slack en cualquier momento y a petición.
Autenticación de dos factores del equipo
Los administradores del equipo pueden solicitar que todos los usuarios establezcan una autenticación de dos factores en sus cuentas. Están disponibles las instrucciones para realizar esto en nuestro Centro de ayuda.
Inicio de sesión único
Los administradores de equipos pagos pueden integrar las instancias de sus servicios Slack con una variedad de proveedores de única inscripción. Los equipos en el plan "Estándar" pueden habilitar a Google Apps for Domains como su proveedor de autenticación, y los equipos en el plan "Plus" pueden habilitar SAML SSO con los proveedores como OneLogin, Okta, Centrify y Ping Identity.
Retención de datos
Los propietarios de los equipos pagos de Slack pueden configurar las políticas de retención de mensajes personalizados según el tamaño del equipo y por canal. Establecer una duración personalizada para la retención de mensajes y archivos implica que todas las noches se eliminarán los archivos y mensajes más antiguos que el plazo que hayas establecido.
Eliminación de los Datos del cliente
Slack ofrece a los propietarios principales del espacio de trabajo la opción de borrar los datos del cliente en cualquier momento durante el periodo de suscripción. A las 24 horas de la eliminación por parte del propietario principal del espacio de trabajo, Slack elimina para siempre toda la información de los sistemas de producción que actualmente estén en ejecución (sin incluir los nombres de los equipos y los canales, ni los términos de búsqueda incluidos en las URL en los registros de acceso del servidor web). Las copias de seguridad de los servicios de Slack se destruyen en un término de 14 días.*
Devolución de los Datos del cliente
La información sobre las capacidades de exportación de los servicios de Slack se pueden encontrar en nuestro centro de ayuda.
Cifrado de datos en tránsito y en reposo
Los servicios de Slack soportan las últimas series y protocolos de cifrado de seguridad recomendados para cifrar todo el tráfico en tránsito. Los Datos del cliente se cifran en reposo.
Vigilamos de cerca el cambio de paisaje criptográfico y trabajamos sin demora para mejorar el servicio con el fin de responder a las nuevas debilidades criptográficas conforme son descubiertas y aplicar las mejores prácticas a medida que evolucionan. Con respecto al cifrado en tránsito, lo realizamos al tiempo que equilibramos la necesidad de compatibilidad para los clientes más antiguos.
Disponibilidad
Entendemos que dependes de los servicios de Slack para trabajar. Nos comprometemos a hacer de Slack un servicio de alta disponibilidad en el que puedas contar. Nuestra infraestructura se ejecuta en sistemas que toleran los fallos, por fallos de los servidores individuales o incluso de los centros de datos completos. Nuestro equipo de operaciones prueba de forma regular las medidas de recuperación en caso de desastres y tiene un equipo de guardia las 24 horas del día para resolver rápidamente los incidentes inesperados.
Recuperación en caso de desastre
Los Datos del cliente se almacenan de forma redundante en varios lugares en los centros de datos de nuestros proveedores de hosting para garantizar la disponibilidad. Hemos comprobado los procedimientos de copia de seguridad y restauración, lo que permite la recuperación en caso de un problema serio. Por la noche se realiza una copia de seguridad de forma automática de los Datos del cliente y de nuestro código fuente. El equipo de Operaciones recibe una alerta en caso de que ocurra un fallo en este sistema. Las copias de seguridad son evaluadas por lo menos cada 90 días para confirmar que nuestros procesos y nuestras herramientas funcionen como se espera.
Protección de la red
Además del monitoreo y registro del sistema sofisticado, hemos implementado una autenticación de dos factores para todos los accesos del servidor en todo nuestro entorno de producción. Los cortafuegos están configurados de acuerdo con las mejores prácticas de la industria, y los puertos innecesarios se bloquean mediante la configuración con AWS Security Groups.
Administración de hosts
Llevamos a cabo análisis de vulnerabilidad automatizados en nuestros hosts de producción y remediamos los hallazgos que signifiquen un riesgo para nuestro entorno. Aplicamos bloqueos de pantalla y utilizamos el cifrado de disco completo para los ordenadores portátiles de la empresa.
Inicio de sesión
Slack mantiene un amplio entorno de registro centralizado en su entorno de producción, que contiene información relacionada con la seguridad, el monitoreo, la disponibilidad, el acceso y otros indicadores de los servicios de Slack. Estos registros se analizan en busca de eventos de seguridad con un software de monitoreo automatizado y luego el equipo de seguridad los supervisa.
Manejo de incidentes y respuesta
En caso de una violación de seguridad, Slack te notificará de inmediato de cualquier acceso no autorizado a tus Datos del cliente. Slack tiene políticas y procedimientos de gestión de incidentes en funcionamiento para manejar un evento de ese tipo.
Auditorías de seguridad externas
Tenemos contrato con respetadas empresas de seguridad externas que auditan de forma regular los servicios de Slack para comprobar que nuestras prácticas de seguridad son válidas y para supervisar los servicios de Slack en busca de nuevas vulnerabilidades descubiertas por la comunidad de investigación de seguridad. Además de las auditorías periódicas y específicas de los servicios y las características de Slack, también hacemos uso del análisis automatizado, híbrido y continuo de nuestra plataforma web.
Prácticas de seguridad del producto
Las nuevas características, funcionalidades y cambios de diseño pasan por un proceso de revisión de seguridad facilitado por el equipo de seguridad. Además, nuestro código es auditado con un software de análisis estático automatizado, probado y revisado manualmente por pares antes de enviarlo a producción. El equipo de seguridad trabaja en estrecha colaboración con los equipos de desarrollo para resolver cualquier problema de seguridad adicional que pudiese surgir durante el desarrollo.
Slack también opera un programa de seguridad que busca errores. Los investigadores de seguridad de todo el mundo continuamente prueban la seguridad de los servicios de Slack e informan los problemas a través del programa. Más información disponible sobre el programa en el sitio de búsqueda.
*Las copias de seguridad de los servicios de Slack se destruyen dentro de los 14 días, excepto que durante una investigación en curso de un incidente dicho período pueda extenderse temporalmente.