Prácticas de seguridad

En vigor: 24 de mayo de 2018

En Slack, nos tomamos muy en serio la seguridad de sus datos. Como la transparencia es uno de los principios en los que se basa nuestra empresa, nuestro objetivo es ser lo más claros y francos posible en relación con la manera en que nos encargamos de la seguridad.

Si tiene preguntas adicionales con respecto a la seguridad, estaremos encantados de responderlas. Escríbanos a feedback@slack.com, y le responderemos lo más rápido posible.

Confidencialidad

Establecemos controles estrictos sobre el acceso de nuestros empleados a los datos que sus usuarios y usted ponen a disposición a través de los servicios de Slack, tal y como se especifica en su acuerdo con Slack que contempla el uso de los servicios de Slack ("Datos del Cliente"). El funcionamiento de los servicios de Slack precisa que algunos empleados tengan acceso a los sistemas que almacenan y procesan los Datos del cliente. Por ejemplo, puede que tengamos que acceder a sus Datos del cliente, con el fin de diagnosticar un problema que te haya surgido con los servicios de Slack. Estos empleados tienen prohibido utilizar estos permisos para ver los Datos del cliente a menos que sea estrictamente necesario. Disponemos de controles técnicos y políticas de auditoría para garantizar que todos los accesos a los Datos del cliente queden registrados.

Todos nuestros empleados y el personal contratado tienen la obligación de cumplir con nuestras políticas relativas a los Datos del Cliente, y nosotros tratamos estos temas como cuestiones de la máxima importancia en nuestra empresa.

Prácticas del personal

Slack lleva a cabo verificaciones de los antecedentes de todos los empleados antes de contratarlos; y ellos reciben capacitación de privacidad y seguridad durante la incorporación, y también de forma continua. Todos los empleados deben leer y firmar nuestra política integral de seguridad de la información, que abarca la seguridad, disponibilidad y confidencialidad de los servicios de Slack.

Exportación de datos

Las siguientes auditorías y certificaciones de seguridad se aplican a los servicios de Slack:

  • ISO 27001 e ISO 27018: Slack ha logrado el cumplimiento de las ISO 27001 e ISO 27018. Puede descargar el certificado ISO 27001 aquí; y el certificado ISO 27018, aquí. A petición de su Gestor de cuenta, hay una copia disponible de la Declaración de aplicabilidad.
  • Informes del Control de Organización del Servicio (SOC): se ha sometido a Slack a auditorías SOC 2 y hay una copia disponible del último informe de Slack a petición de su Gestor de cuenta. Además, puedes descargar nuestro informe SOC 3 aquí.
  • PCI: Slack es un comerciante PCI de nivel 4 y ha completado el SAQ-A del Estándar de seguridad de datos de la industria de las tarjetas de pago. Usamos a un tercero para procesar la información de su tarjeta de crédito con seguridad. Actualmente, Slack no es un Proveedor de servicios certificado por PCI.

El entorno que presenta los servicios de Slack mantiene múltiples certificaciones para sus centros de datos, como el cumplimiento de la ISO 27001, la autorización FedRAMP, la certificación PCI y los informes SOC. Para obtener más información acerca de las certificaciones y el cumplimiento, visite el sitio web de Seguridad de AWS,el sitio web de Cumplimiento de AWS, el sitio web de Seguridad de Google y el sitio web de Cumplimiento de Google.

Características de seguridad para miembros y administradores del equipo

Además del trabajo que realizamos a nivel de infraestructura, proporcionamos a los Administradores del equipo las versiones pagas de los servicios de Slack, herramientas adicionales para permitir que sus propios usuarios protejan los Datos del Cliente.

Registro de acceso

Los registros de acceso están disponibles tanto para los usuarios como para los administradores de los equipos pagos. Accedemos cada vez que se ingresa a una cuenta, registramos el tipo de dispositivo utilizado y la dirección IP de la conexión.

Los administradores y los propietarios de los equipos pagos pueden revisar los registros de acceso consolidados para todo su equipo. También les facilitamos a los administradores la tarea de finalización remota de todas las conexiones y el cierre de sesión de todos los dispositivos autenticados en los servicios de Slack en cualquier momento y a petición.

Autenticación de dos factores en todo el equipo

Los administradores de equipos pueden requerir que todos los usuarios configuren la autenticación de dos factores en sus cuentas. Las instrucciones para hacer esto están disponibles en nuestro Centro de Ayuda.

Inicio de sesión único

Los administradores de equipos pagos pueden integrar su instancia de servicios de Slack con una variedad de proveedores de inicio de sesión único. Los equipos en el plan "Estándar" pueden habilitar Google Apps para dominios como su proveedor de autenticación y los equipos en el plan "Plus" pueden habilitar el SAML SSO con proveedores como OneLogin, Okta, Centrify y Ping Identity.

Retención de datos

Los propietarios de los equipos pagos Slack pueden configurar políticas de retención de mensajes personalizadas en todo el equipo y por canal. Establecer una duración personalizada para la retención de mensajes y archivos implica que todas las noches se eliminarán los archivos y mensajes más antiguos en el plazo que haya establecido.

Eliminación de Datos del Cliente

Slack ofrece la opción para que los Propietarios principales del espacio de trabajo eliminen los Datos del Cliente en cualquier momento durante un período de suscripción. Dentro de las 24 horas de la eliminación por parte del Propietario principal del espacio de trabajo, Slack elimina de manera irreversible toda la información de los sistemas de producción actualmente en ejecución (sin incluir los nombres de equipos y canales, y los términos de búsqueda incluidos en las URL en los registros de acceso del servidor web). Las copias de seguridad de los servicios de Slack se destruyen dentro de los 14 días.*

Devolución de Datos del cliente

Se puede encontrar información sobre las capacidades de exportación de los servicios de Slack en nuestro Centro de Ayuda.

Cifrado de datos en tránsito y en reposo

Los servicios de Slack son compatibles con los últimos protocolos y suites de cifrado seguro recomendados para cifrar todo el tráfico en tránsito. Los Datos del Cliente están cifrados en reposo.

Vigilamos de cerca el cambiante panorama criptográfico y trabajamos rápidamente para actualizar el servicio, con el fin de responder a las nuevas debilidades criptográficas a medida que se descubren y para implementar las mejores prácticas a medida que evolucionan. Con respecto al cifrado en tránsito, lo hacemos al mismo tiempo que equilibramos la necesidad de compatibilidad para los clientes más antiguos.

Disponibilidad

Entendemos que confía en los servicios de Slack para trabajar. Nos comprometemos a hacer de Slack un servicio de alta disponibilidad con el que puedas contar. Nuestra infraestructura se ejecuta en sistemas que son a prueba de fallos, para fallas de servidores individuales o incluso centros de datos completos. Nuestro equipo de operaciones prueba las medidas de recuperación ante desastres con regularidad y cuenta con un equipo disponible en todo momento para resolver rápidamente incidentes inesperados.

Recuperación ante desastres

Los Datos del Cliente se almacenan de forma redundante en varias ubicaciones en los centros de datos de nuestro proveedor de hosting para garantizar la disponibilidad. Tenemos procedimientos de copia de seguridad y restauración bien probados que permiten la recuperación ante un gran desastre. Los Datos del Cliente y nuestro código fuente son respaldados automáticamente cada noche. Se avisa al equipo de Operaciones en caso de una falla con este sistema. Las copias de seguridad se prueban por completo al menos cada 90 días para confirmar que nuestros procesos y herramientas funcionan como se espera.

Protección de red

Además de la supervisión y el registro sofisticados del sistema, hemos implementado la autenticación de dos factores para todos los accesos a servidores en nuestro entorno de producción. Los firewalls se configuran de acuerdo con las mejores prácticas de la industria y los puertos innecesarios están bloqueados por la configuración con AWS Security Groups.

Administración de host

Realizamos análisis de vulnerabilidad automatizados en nuestros hosts de producción y remediamos todo hallazgo que presente un riesgo para nuestro entorno. Hacemos cumplir los bloqueos de pantallas y el uso del cifrado completo del disco para las computadoras portátiles de la compañía.

Registro

Slack mantiene un extenso entorno de registro centralizado en su entorno de producción que contiene información relacionada con la seguridad, la supervisión, la disponibilidad, el acceso y otras métricas sobre los servicios de Slack. Estos registros se analizan en busca de eventos de seguridad a través de un software de supervisión automatizado, supervisado por el equipo de seguridad.

Gestión y respuesta a incidentes

En el caso de un fallo de seguridad, Slack lo notificará de inmediato sobre cualquier acceso no autorizado a sus Datos del Cliente. Slack ha implementado políticas y procedimientos de gestión de incidentes para manejar un evento de ese tipo.

Auditorías de seguridad externas

Tenemos contratos con respetadas empresas de seguridad externas que auditan de forma regular los servicios de Slack para verificar que nuestras prácticas de seguridad sean sólidas y para supervisar los servicios de Slack en busca de nuevas vulnerabilidades descubiertas por la comunidad de investigación de seguridad. Además de las auditorías periódicas y específicas de los servicios y características de Slack, también empleamos el uso del escaneo automático, híbrido y continuo de nuestra plataforma web.

Prácticas de seguridad del producto

Las nuevas características, la funcionalidad y los cambios de diseño pasan por un proceso de revisión de seguridad facilitado por el equipo de seguridad. Además, nuestro código se audita con un software de análisis estático automatizado, y es probado y revisado por pares manualmente antes de que se lo implemente en producción. El equipo de seguridad trabaja en estrecha colaboración con los equipos de desarrollo para resolver cualquier problema de seguridad adicional que pueda surgir durante el desarrollo.

Slack también opera un programa de recompensas por errores de seguridad. Investigadores de seguridad de todo el mundo prueban continuamente la seguridad de los servicios de Slack y reportan los problemas a través del programa. Se pueden encontrar más detalles de este programa en el sitio de recompensas.


*Las copias de seguridad de los servicios de Slack se destruyen dentro de los 14 días, excepto durante una investigación en curso de un incidente, cuyo período pueda extenderse temporalmente.