Prácticas de seguridad

En vigor: 24 de mayo de 2018

En Slack nos tomamos muy en serio la seguridad de tus datos. Como la transparencia es uno de los principios en los que se basa nuestra empresa, nuestro objetivo es ser lo más claros y francos posible sobre la manera en que nos encargamos de la seguridad.

En caso de que tengas más preguntas sobre la seguridad nos complacerá contestarlas. Escríbenos a feedback@slack.com y te responderemos lo más rápido posible.

Confidencialidad

Establecemos controles estrictos sobre el acceso de nuestros empleados a los datos que tus usuarios y tú ponéis a disposición a través de los servicios de Slack, tal y como se especifica en tu acuerdo con Slack que contempla el uso de los servicios de Slack ("Datos del cliente"), y nos comprometemos a garantizar que solo quien tenga acceso a los Datos del cliente los vea. El funcionamiento de los servicios de Slack precisa que algunos empleados tengan acceso a los sistemas que almacenan y procesan los Datos del cliente. Por ejemplo, puede que tengamos que acceder a tus Datos del cliente con el fin de diagnosticar un problema que te haya surgido con los servicios de Slack. Estos empleados tienen prohibido utilizar estos permisos para ver los Datos del cliente a menos que sea estrictamente necesario. Disponemos de controles técnicos y políticas de auditoría para garantizar que cualquier acceso a los Datos del cliente quede registrado.

Todos nuestros empleados y personal contratado tienen la obligación de cumplir con nuestras políticas relativas a los Datos del cliente, y tratamos estos temas como cuestiones de la máxima importancia en nuestra empresa.

Prácticas de personal

Slack lleva a cabo verificaciones de los antecedentes de todos los empleados antes de contratarlos, y los empleados reciben capacitación de privacidad y seguridad durante la incorporación y también de forma continua. Todos los empleados deben leer y firmar nuestra política integral de seguridad de la información que abarca la seguridad, disponibilidad y confidencialidad de los servicios de Slack.

Cumplimiento

Las siguientes auditorías y certificaciones de seguridad se aplican a los servicios de Slack:

  • ISO 27001 e ISO 27018: Slack ha logrado el cumplimiento de las ISO 27001 y ISO 27018. Puedes descargar el certificado ISO 27001 aquí y el certificado ISO 27018 aquí. Una copia de la Declaración de aplicabilidad se encuentra disponible a petición de tu gestor de cuenta.
  • Informes del Control de Organización del Servicio (SOC): Slack ha sido sometido a auditorías SOC 2, y está disponible una copia del último informe de Slack a petición de tu gestor de cuenta. Además, puedes descargar nuestro informe SOC 3 aquí.
  • PCI: Slack es un comerciante PCI de nivel 4 y ha completado el SAQ-A del Estándar de seguridad de datos de la industria de las tarjetas de pago. Usamos a un tercero para procesar la información de tu tarjeta de crédito con seguridad. Actualmente, Slack no es un Proveedor de servicios certificado por PCI.

El entorno que presenta los servicios de Slack mantiene múltiples certificaciones para sus centros de datos, como el cumplimiento de la ISO 27001, la autorización FedRAMP, la certificación PCI y los informes SOC. Para obtener más información acerca de las certificaciones y el cumplimiento, visita el sitio web de Seguridad de AWS,el sitio web de Cumplimiento de AWS, el sitio web de Seguridad de Google y el sitio web de Cumplimiento de Google.

Características de seguridad para Miembros y Administradores de equipo

Además del trabajo que realizamos a nivel de infraestructura, les proporcionamos a los Administradores de equipo de versiones pagas de los servicios de Slack herramientas adicionales para que sus usuarios puedan proteger sus datos.

Registro de acceso

Están disponibles los registros de acceso tanto para los usuarios como para los administradores de equipos pagos. Accedemos cada vez que se ingresa a una cuenta, registramos el tipo de dispositivo utilizado y la dirección IP de la conexión.

Los Administradores y los propietarios de los equipos pagos pueden revisar los registros de acceso consolidados para todo su equipo. También les facilitamos a los administradores la tarea de finalización remota de todas las conexiones y el cierre de sesión de todos los dispositivos autenticados en los servicios de Slack en cualquier momento y a petición.

Autenticación de dos factores del equipo

Los Administradores de equipo pueden solicitar que todos los usuarios establezcan una autenticación de dos factores en sus cuentas. Están disponibles las instrucciones para realizarlo en nuestro Centro de ayuda.

Inicio de sesión único

Los administradores de equipos pagos pueden integrar las instancias de sus servicios Slack con una variedad de proveedores de única inscripción. Los equipos en el plan "Estándar" pueden habilitar a Google Apps for Domains como su proveedor de autenticación, y los equipos en el plan "Plus" pueden habilitar SAML SSO con los proveedores como OneLogin, Okta, Centrify y Ping Identity.

Retención de datos

Los propietarios de equipos pagos de Slack pueden configurar las políticas de retención de mensajes personalizados según el tamaño del equipo y por canal. Establecer una duración personalizada para la retención implica que todas las noches se eliminarán los archivos y mensajes más antiguos que el plazo que hayas establecido.

Eliminación de los Datos del cliente

Slack ofrece a los propietarios principales del espacio de trabajo la opción de borrar los datos del cliente en cualquier momento durante el periodo de suscripción. A las 24 horas de la eliminación por parte del propietario principal del espacio de trabajo, Slack elimina para siempre toda la información de los sistemas de producción que funcionan actualmente (sin incluir los nombres de los equipos y canales, ni los términos de búsqueda incrustados en las URL en los registros de acceso del servidor web). Las copias de seguridad de los servicios de Slack se destruyen en un término de 14 días.*

Devolución de los Datos del cliente

Se puede encontrar información sobre las capacidades de exportación de los servicios de Slack en nuestro Centro de ayuda.

Cifrado de datos en tránsito y en reposo

Los servicios de Slack soportan las últimas series y protocolos de cifrado de seguridad recomendados para cifrar todo el tráfico en tránsito. Los Datos del cliente se cifran en reposo.

Vigilamos de cerca el cambio de paisaje criptográfico y trabajamos sin demora para mejorar el servicio con el fin de responder a las nuevas debilidades criptográficas conforme son descubiertas y aplicar las mejores prácticas a medida que evolucionan. Con respecto al cifrado en tránsito, lo realizamos al tiempo que equilibramos la necesidad de compatibilidad para los clientes más antiguos.

Disponibilidad

Entendemos que dependes de los servicios de Slack para trabajar. Nos comprometemos a hacer de Slack un servicio de alta disponibilidad en el que puedas contar. Nuestra infraestructura se ejecuta en sistemas que toleran los fallos, por fallos de los servidores individuales o incluso de los centros de datos completos. Nuestro equipo de operaciones prueba de forma regular las medidas de recuperación en caso de desastres y tiene un equipo de guardia las 24 horas del día para resolver rápidamente los incidentes inesperados.

Recuperación en caso de desastre

Los Datos del cliente se almacenan de forma redundante en varios lugares en los centros de datos de nuestros proveedores de hosting para garantizar la disponibilidad. Hemos comprobado los procedimientos de copia de seguridad y restauración, lo que permite la recuperación en caso de un problema serio. Por la noche se realiza una copia de seguridad de forma automática de los Datos del cliente y de nuestro código fuente. El equipo de Operaciones recibe una alerta en caso de que ocurra un fallo en este sistema. Las copias de seguridad son evaluadas por lo menos cada 90 días para confirmar que nuestros procesos y nuestras herramientas funcionen como se espera.

Protección de la red

Además del monitoreo y registro del sistema sofisticado, hemos implementado una autenticación de dos factores para todos los accesos del servidor en todo nuestro entorno de producción. Los cortafuegos están configurados de acuerdo con las mejores prácticas de la industria, y los puertos innecesarios se bloquean mediante la configuración con AWS Security Groups.

Administración de hosts

Llevamos a cabo análisis de vulnerabilidad automatizados en nuestros hosts de producción y remediamos los hallazgos que signifiquen un riesgo para nuestro entorno. Aplicamos bloqueos de pantalla y utilizamos el cifrado de disco completo para los ordenadores portátiles de la empresa.

Registro

Slack mantiene un amplio entorno de registro centralizado en su entorno de producción, que contiene información relacionada con la seguridad, el monitoreo, la disponibilidad, el acceso y otros indicadores de los servicios de Slack. Estos registros se analizan en busca de eventos de seguridad con un software de monitoreo automatizado y luego el equipo de seguridad los supervisa.

Manejo de incidentes y respuesta

En caso de una violación de seguridad, Slack te notificará de inmediato de cualquier acceso no autorizado a tus Datos del cliente. Slack tiene políticas y procedimientos de gestión de incidentes en funcionamiento para manejar un evento de ese tipo.

Auditorías de seguridad externas

Tenemos contrato con respetadas empresas de seguridad externas que auditan de forma regular los servicios de Slack para comprobar que nuestras prácticas de seguridad son válidas y para supervisar los servicios de Slack en busca de nuevas vulnerabilidades descubiertas por la comunidad de investigación de seguridad. Además de las auditorías periódicas y específicas de los servicios y las características de Slack, también hacemos uso del análisis automatizado, híbrido y continuo de nuestra plataforma web.

Prácticas de seguridad del producto

Las nuevas características, funcionalidades y cambios de diseño pasan por un proceso de revisión de seguridad facilitado por el equipo de seguridad. Además, nuestro código es auditado con un software de análisis estático automatizado, probado y revisado manualmente por pares antes de enviarlo a producción. El equipo de seguridad trabaja en estrecha colaboración con los equipos de desarrollo para resolver cualquier problema de seguridad adicional que pudiese surgir durante el desarrollo.

Slack también opera un programa de seguridad que busca errores. Investigadores de seguridad de todo el mundo continuamente prueban la seguridad de los servicios de Slack e informan los problemas a través del programa. Hay más información disponible sobre el programa en el sitio de búsqueda.


*Las copias de seguridad de los servicios de Slack se destruyen en un término de 14 días, con la excepción de que, durante una investigación en curso de un incidente, el periodo puede prorrogarse temporalmente.

Este texto traducido se proporciona para propósitos informativos solamente y, en caso de cualquier inconsistencia entre este y la versión en inglés, será la versión en inglés la que prevalezca.