Prácticas de seguridad
Fecha de publicación: 24 de abril de 2023
En Slack nos tomamos muy en serio la seguridad de tus datos. Como la transparencia es uno de los principios en los que se basa nuestra compañía, nuestro objetivo es ser lo más claros y abiertos que sea posible en cuanto a la forma en la que manejamos la seguridad. En caso de que tengas más preguntas sobre la seguridad, nos complacerá contestarlas. Escríbenos a feedback@slack.com y te responderemos lo más rápido posible. Esta página de prácticas de seguridad describe los controles administrativos, técnicos y físicos aplicables a (a) Slack, incluyendo, entre otros, la plataforma, los flujos de trabajo de Slack y las aplicaciones ejecutadas en la infraestructura de Slack, y (b) GovSlack. Esta documentación no se aplica a los servicios asociados o integrados con GovSlack.
Controles de plataforma
Arquitectura y segregación de datos
Los servicios de Slack y GovSlack se basan en una arquitectura multiusuario tanto en la capa de plataforma como en la de infraestructura, diseñada para segregar y restringir el acceso a los datos que tus usuarios y tú ponéis a disposición a través de los servicios de Slack o GovSlack, tal y como se especifica en tu acuerdo con Slack (o con su socio corporativo) que contempla el uso de los servicios de Slack o GovSlack ("Datos del cliente"), según las necesidades de negocio. Esta arquitectura ofrece una separación de datos lógica para cada cliente diferente a través de una ID única.
Infraestructura de nube pública
Los servicios de Slack y GovSlack se alojan en Internet en una "Nube pública", consisten en servicios informáticos que ofrece un tercero a cualquiera que desee utilizarlos o adquirirlos. Como todos los servicios en la nube, un servicio de nube pública funciona mediante servidores remotos que gestiona un proveedor.
Auditorías
Los servicios de Slack y GovSlack se someten a evaluaciones de seguridad llevadas a cabo por personal interno, así como por respetadas empresas de seguridad externas que auditan de forma regular los servicios de Slack y GovSlack para comprobar que nuestras prácticas de seguridad son válidas y para supervisar los servicios de Slack y GovSlack en busca de nuevas vulnerabilidades descubiertas por la comunidad de investigación de seguridad. Además de las auditorías periódicas y específicas de los servicios y las características de Slack y GovSlack, también hacemos uso del análisis automatizado, híbrido y continuo de nuestra plataforma web. Los clientes pueden descargar una copia de los informes de auditoría aplicables aquí.
Certificaciones
Los servicios de Slack se someten a certificaciones y los clientes pueden descargar una copia de las mismas que resultan de aplicación aquí.
Controles de seguridad
Slack aplicará y mantendrá las medidas técnicas y organizativas apropiadas para proteger sus Datos del cliente ante la eliminación, pérdida, alteración, revelación o acceso no autorizados a los datos personales del cliente procesados o transmitidos a través de los servicios de Slack y GovSlack, ya sea de forma ilícita o accidental. Los servicios de Slack y GovSlack se someten a una serie de controles de seguridad, entre otros:
- Registro de acceso. Están disponibles los registros de acceso tanto para los usuarios como para los administradores de equipos de pago. Registramos cada vez que una cuenta inicia sesión, teniendo en cuenta el tipo de dispositivo utilizado y la dirección IP de la conexión. Los administradores del equipo y los propietarios de los equipos de pago pueden revisar los registros de acceso consolidados para todo su equipo.
- Administración de acceso. Los administradores pueden finalizar de manera remota todas las conexiones y cerrar sesión de todos los dispositivos autenticados en los servicios de Slack y GovSlack en cualquier momento y a petición.
- Retención de datos. Los propietarios de los equipos de pago de Slack pueden configurar las políticas de retención de mensajes personalizados según el tamaño del equipo y por canal. Establecer una duración personalizada para la retención de mensajes y archivos implica que, todas las noches, se eliminarán de los servidores de producción de los servicios de Slack y GovSlack los archivos y mensajes anteriores al plazo que hayas establecido.
- Administración de hosts. Llevamos a cabo análisis de vulnerabilidad automatizados en nuestros hosts de producción y remediamos los hallazgos que signifiquen un riesgo para nuestro entorno. Aplicamos bloqueos de pantalla y utilizamos el cifrado de disco completo para los ordenadores portátiles de la empresa.
- Protección de la red. Además del monitoreo y registro del sistema sofisticado, hemos implementado una autenticación de dos factores para todos los accesos del servidor en todo nuestro entorno de producción. Los cortafuegos se configuran según las mejores prácticas del sector, utilizando los grupos de seguridad de AWS.
- Prácticas de seguridad del producto. Las nuevas características, funcionalidades importantes y cambios de diseño pasan por un proceso de revisión de seguridad facilitado por el equipo de seguridad. Además, nuestro código es auditado con un software de análisis estático automatizado, probado y revisado manualmente por pares antes de enviarlo a producción. El equipo de seguridad trabaja en estrecha colaboración con los equipos de desarrollo para resolver cualquier problema de seguridad adicional que pudiese surgir durante el desarrollo. Slack también opera un programa de seguridad que busca errores. Los investigadores de seguridad de todo el mundo prueban continuamente la seguridad de los servicios de Slack y GovSlack y comunican los problemas a través del programa. Puedes encontrar más información sobre el programa en el sitio de búsqueda.
- Autenticación de dos factores del equipo. Los administradores del equipo pueden solicitar que todos los usuarios establezcan una autenticación de dos factores en sus cuentas. Las instrucciones para realizar este proceso están disponibles en nuestro Centro de Ayuda.
Existen ciertos controles que el cliente no puede desactivar, otros permiten que el cliente personalice la seguridad de los servicios de Slack y GovSlack para su propio uso. Por lo tanto, proteger los Datos del cliente es una responsabilidad conjunta entre el cliente y Slack. Como mínimo, Slack respetará los estándares del sector en vigor como las normas ISO 27001, ISO 27002 e ISO 27018, o cualquier normativa que las suceda o las sustituya.
Slack puede llevar a cabo análisis y pruebas de la plataforma y de los flujos de trabajo de Slack, así como de las aplicaciones ejecutadas en la infraestructura de Slack para detectar comportamientos o acciones abusivas que incumplan las condiciones de los servicios.
Detección de intrusión
Slack, o la entidad externa autorizada, supervisará los servicios de Slack y GovSlack ante las intrusiones no autorizadas.
Registros de seguridad
Los sistemas que se utilizan para la prestación de servicios de Slack y GovSlack registran la información en sus correspondientes instalaciones de registro del sistema o en un servicio centralizado de registro (para sistemas de red), lo que permite la revisión de seguridad y el análisis. Slack mantiene un amplio entorno de registro centralizado en su entorno de producción, que contiene información relacionada con la seguridad, el monitoreo, la disponibilidad, el acceso y otros indicadores de los servicios de Slack y GovSlack. Estos registros se analizan en busca de eventos de seguridad con un software de monitoreo automatizado y luego el equipo de seguridad los supervisa. Para los servicios de GovSlack, solo se puede acceder a los registros desde el entorno de GovSlack, y solo podrán hacerlo personas cualificadas de EE. UU. Las “personas cualificadas de EE. UU.” son personas que: (a) tienen la ciudadanía estadounidense o un permiso de residencia permanente, (b) se encuentran físicamente dentro de Estados Unidos mientras ofrecen el servicio de soporte a GovSlack y (c) han completado una comprobación de historial como condición indispensable para trabajar con Slack.
Gestión de incidencias
Slack aplica políticas y procedimientos de gestión de incidencias. Slack avisará, sin incurrir en retrasos indebidos, a los clientes afectados de cualquier revelación no autorizada de sus Datos del cliente correspondientes por parte de Slack o de sus agentes de los que Slack tenga conciencia en la medida en que lo permita la ley. Slack publica información sobre el estado en la página web de Salesforce Trust o en la página de Estado del sistema de Slack. Slack suele avisar a los clientes de las incidencias importantes del sistema por correo electrónico y de cualquier incidencia que dure más de una hora, podría invitar a los clientes afectados a participar en una teleconferencia al respecto y la correspondiente respuesta de Slack. La administración de incidencias de seguridad de GovSlack se lleva a cabo gracias a las personas cualificadas de EE. UU.
Cifrado de datos
Los servicios de Slack y GovSlack son productos cifrados de acuerdo con los estándares del sector para proteger los Datos del cliente (1) durante las transmisiones entre la red de un cliente y los servicios de Slack y GovSlack y (2) cuando están en reposo. Los servicios de Slack y GovSlack soportan las últimas series y protocolos de cifrado de seguridad recomendados para cifrar todo el tráfico en tránsito. Vigilamos de cerca el cambio de paisaje criptográfico y trabajamos sin demora para mejorar el servicio con el fin de responder a las nuevas debilidades criptográficas conforme son descubiertas y aplicar las mejores prácticas a medida que evolucionan. Con respecto al cifrado en tránsito, lo realizamos al tiempo que equilibramos la necesidad de compatibilidad con los clientes más antiguos.
Fiabilidad, respaldo y continuidad del negocio
Entendemos que dependes de los servicios de Slack y GovSlack para trabajar. Nos comprometemos a hacer de Slack y GovSlack unos servicios de alta disponibilidad en los que puedas confiar. Nuestra infraestructura se ejecuta en sistemas que toleran los fallos, por fallos de los servidores individuales o incluso de los centros de datos completos. Nuestro equipo de operaciones prueba de forma regular las medidas de recuperación en caso de desastres y tiene un equipo de guardia las 24 horas del día para resolver rápidamente los incidentes inesperados. Las mejores prácticas del sector en cuanto a fiabilidad y respaldo ayudaron a dar forma al diseño de los servicios de Slack y GovSlack. Slack realiza copias de seguridad periódicas, facilita la reversión de cambios en el software y en el sistema cuando es necesario y la replicación de los datos cuando es preciso. En la medida de lo posible, Slack ayudará al cliente con la recuperación de datos en caso de Grandes catástrofes, según las limitaciones de los requisitos de residencia de datos de la localidad y de las posibilidades de la región. "Grandes catástrofes" se refiere a tres grandes categorías de sucesos: (1) catástrofes naturales como inundaciones, huracanes, tornados, terremotos y epidemias; (2) acontecimientos tecnológicos como fallos de sistema o estructuras como explosiones de conductos, accidentes de transporte, interrupción de servicios públicos, fallos de presas o liberación accidental de materiales peligrosos; (3) acontecimientos provocados por las personas como ataques de asaltantes activos, ataques químicos o biológicos, ciberataques contra los datos o la infraestructura o sabotaje. Las Grandes catástrofes no incluye errores, problemas de funcionamiento u otro tipo de errores comunes relacionados con el software.
Los Datos del cliente se almacenan de forma redundante en varios lugares en los centros de datos de nuestros proveedores de hosting para garantizar la disponibilidad. Hemos comprobado los procedimientos de copia de seguridad y restauración, lo que permite la recuperación en caso de un problema serio. Cada noche se realiza una copia de seguridad de forma automática de los Datos del cliente y de nuestro código fuente. El equipo de operaciones recibe una alerta en caso de que ocurra un fallo en este sistema. Las copias de seguridad son evaluadas por lo menos cada 90 días para confirmar que nuestros procesos y nuestras herramientas funcionen como se espera.
Datos en reposo
Slack almacenará los Datos del cliente en reposo dentro de ciertas áreas geográficas mayoritarias excepto que se indique de otro modo en tu Formulario de pedido.
Devolución de los Datos del cliente
En los 30 días después de la finalización del contrato, el cliente podrá solicitar la devolución de sus Datos del cliente correspondientes enviados a los servicios de Slack y GovSlack (en la medida en la que el cliente no hubiera eliminado dichos datos). La información sobre las capacidades de exportación de los servicios de Slack y GovSlack se pueden encontrar en el Centro de Ayuda de Slack.
Eliminación de los Datos del cliente
Los servicios de Slack y GovSlack ofrecen a los propietarios principales del espacio de trabajo la opción de borrar los datos del cliente en cualquier momento durante el periodo de suscripción. A las 24 horas de la eliminación por parte del propietario principal del espacio de trabajo, Slack elimina para siempre toda la información de los sistemas de producción que actualmente estén en ejecución (sin incluir los nombres de los equipos ni los términos de búsqueda incluidos en las URL en los registros de acceso del servidor web). Las copias de seguridad de los servicios de Slack y GovSlack se destruyen en 14 días, (excepto que durante una investigación en curso de una incidencia dicho periodo pueda extenderse temporalmente).
Cuando un cliente finaliza una suscripción de pago a Enterprise Grid o a los servicios de GovSlack, en caso de que el cliente no quiera eliminar su cuenta, pasados 90 días de la finalización de la suscripción Slack eliminará todas las copias de los Datos del cliente (excluidos los nombres del equipo y los términos de búsqueda embebidos en las URL de los registros de acceso del servidor web) en los 14 días siguientes después de que Slack haya iniciado la eliminación de la cuenta del cliente; así mismo, se asegurará de que todos sus socios y terceros proveedores de alojamiento así lo hagan también. Cuando un cliente finaliza cualquier suscripción de pago a los servicios de Slack que no sea Enterprise Grid o a los servicios de GovSlack, la suscripción del cliente se mantendrá para uso gratuito de los servicios de Slack sujetos a las Condiciones de servicio al cliente que hubiera en vigor en ese momento o a otro acuerdo principal de suscripción en línea aplicable a dicho nivel de uso gratuito ("Condiciones de suscripción gratuita"). Los Datos del cliente no se eliminarán hasta que (i) el cliente elimine por sí mismo el espacio de trabajo, (ii) el cliente pida a Slack que borre sus Datos del cliente, o (iii) cualquiera de las partes finalice las Condiciones de suscripción gratuita. Cuando suceda cualquiera de estos supuestos, en 14 días, Slack eliminará todas las copias de los Datos del cliente (excluidos los nombres del equipo y los términos de búsqueda embebidos en las URL de los registros de acceso del servidor web); así mismo, se asegurará de que todos sus socios y terceros proveedores de alojamiento así lo hagan también.
Confidencialidad
Controlamos de forma estricta el acceso de nuestros empleados a los Datos del cliente. El funcionamiento de los servicios de Slack y GovSlack requiere que algunos empleados tengan acceso a los sistemas que almacenan y procesan los Datos del cliente. Por ejemplo, puede que tengamos que acceder a tus Datos del cliente con el fin de diagnosticar un problema que te haya surgido con los servicios de Slack y GovSlack. Estos empleados tienen prohibido utilizar estos permisos para ver los Datos del cliente a menos que sea estrictamente necesario. Disponemos de controles técnicos y políticas de auditoría para garantizar que cualquier acceso a los Datos del cliente quede registrado.
Todos nuestros empleados y personal contratado tienen la obligación de cumplir con nuestras políticas relativas a los Datos del cliente y tratamos estos temas como cuestiones de la máxima importancia en nuestra empresa.
Prácticas de personal
Slack realiza revisiones de antecedentes de todos los empleados antes del empleo y los empleados reciben capacitación sobre privacidad y seguridad durante la incorporación, así como de forma continua. Todos los empleados deben leer y firmar nuestra política integral de seguridad de la información que abarca la seguridad, disponibilidad y confidencialidad de los servicios de Slack y GovSlack.
Infraestructura
Slack utiliza una infraestructura proporcionada por Amazon Web Services, Inc. ("AWS") para alojar o procesar los Datos del cliente enviados a los servicios de Slack y GovSlack. Puede encontrar información sobre la seguridad que presta AWS en la página web de Seguridad de AWS. Puede encontrar información sobre seguridad, auditorías relacionadas con la privacidad y las certificaciones obtenidas por AWS, incluida información sobre la certificación ISO 27001 e informes SOC en la página web de Cumplimiento de AWS.