Prácticas de seguridad
En vigor: 24 de mayo de 2018.
En Slack nos tomamos muy en serio la seguridad de tus datos. Como la transparencia es uno de los principios en los que se basa nuestra compañía, nuestro objetivo es ser lo más claros y abiertos que sea posible en cuanto a la forma en que manejamos la seguridad.
Si tienes preguntas adicionales con respecto a la seguridad, estaremos encantados de responderlas. Escriba a feedback@slack.com y responderemos lo más rápido posible.
Confidencialidad
Establecemos controles estrictos sobre el acceso de nuestros empleados a los datos que tus usuarios y tú ponéis a disposición a través de los servicios de Slack, tal y como se especifica en tu acuerdo con Slack que contempla el uso de los servicios de Slack ("Datos del cliente"), y nos comprometemos a garantizar que solo quien tenga acceso a los Datos del cliente los vea. El funcionamiento de los servicios de Slack requiere que algunos empleados tengan acceso a los sistemas que almacenan y procesan los Datos del cliente. Por ejemplo, puede que tengamos que acceder a tus Datos del cliente con el fin de diagnosticar un problema que te haya surgido con los servicios de Slack. Estos empleados tienen prohibido utilizar estos permisos para ver los Datos del cliente a menos que sea estrictamente necesario. Disponemos de controles técnicos y políticas de auditoría para garantizar que cualquier acceso a los Datos del cliente quede registrado.
Todos nuestros empleados y personal contratado tienen la obligación de cumplir con nuestras políticas relativas a los Datos del cliente, y tratamos estos temas como cuestiones de la máxima importancia en nuestra empresa.
Prácticas del personal
Slack realiza revisiones de antecedentes de todos los empleados antes del empleo y los empleados reciben capacitación sobre privacidad y seguridad durante la incorporación, así como de forma continua. Todos los empleados deben leer y firmar nuestra política integral de seguridad de la información que abarca la seguridad, la disponibilidad y la confidencialidad de los servicios de Slack.
Cumplimiento
Las siguientes auditorías y certificaciones relacionadas con la seguridad son aplicables a los servicios de Slack:
- ISO 27001 e ISO 27018: Slack ha logrado el cumplimiento de las normas ISO 27001 e ISO 27018. Puedes descargar el certificado ISO 27001 aquí y el certificado ISO 27018 aquí. Una copia de la Declaración de aplicabilidad se encuentra disponible a petición de tu Ejecutivo de cuentas de ventas.
- Informes del control de organización de servicio (SOC): Slack se ha sometido a una auditoría SOC 2. Una copia del informe más reciente de Slack está disponible a petición de tu Ejecutivo de cuentas de ventas. Además, nuestro informe SOC 3 está disponible para descargar aquí.
- PCI: Slack es un comerciante PCI de nivel 4 y ha completado el SAQ-A del Estándar de seguridad de datos de la industria de tarjetas de pago. Utilizamos un tercero para procesar la información de la tarjeta de crédito de forma segura. Slack no es actualmente un Proveedor de servicios certificado por PCI.
El entorno que aloja los servicios de Slack mantiene múltiples certificaciones para sus centros de datos, incluido el cumplimiento de la norma ISO 27001, la autorización de FedRAMP, la certificación de PCI y los informes SOC. Para obtener más información sobre su certificación y cumplimiento, visita el sitio web de seguridad de AWS, el sitio web de cumplimiento de AWS, el sitio web de seguridad de Google y el sitio web de cumplimiento de Google.
Funciones de seguridad para Miembros del equipo y Administradores
Además del trabajo que realizamos a nivel de infraestructura, proporcionamos a los Administradores de equipos de las versiones pagas de los servicios de Slack herramientas adicionales para permitir que sus propios usuarios protejan los Datos del cliente.
Registro de acceso
Los registros de acceso detallados están disponibles tanto para usuarios como para administradores de equipos pagos. Registramos cada vez que una cuenta inicia sesión, teniendo en cuenta el tipo de dispositivo utilizado y la dirección IP de la conexión.
Los Administradores de equipos y los propietarios de equipos pagos pueden revisar los registros de acceso consolidado de todo su equipo. También facilitamos a los administradores la terminación remota de todas las conexiones y el cierre de sesión de todos los dispositivos autenticados en los servicios de Slack en cualquier momento, a pedido.
Autenticación de dos factores en todo el equipo
Los Administradores de equipos pueden requerir que todos los usuarios configuren la autenticación de dos factores en sus cuentas. Las instrucciones para hacer esto están disponibles en nuestro Centro de ayuda.
Inicio de sesión único
Los administradores de equipos pagos pueden integrar su instancia de servicios de Slack con una variedad de proveedores de inicio de sesión único. Los equipos en el plan "Estándar" pueden habilitar Google Apps para dominios como su proveedor de autenticación y los equipos en el plan "Plus" pueden habilitar el SAML SSO con proveedores como OneLogin, Okta, Centrify y Ping Identity.
Retención de datos
Los propietarios de los equipos pagos Slack pueden configurar políticas de retención de mensajes personalizadas en todo el equipo y por canal. Establecer una duración personalizada para la retención de mensajes y archivos implica que todas las noches se eliminarán los archivos y mensajes más antiguos que el plazo que hayas establecido.
Eliminación de Datos del cliente
Slack ofrece la opción para que los Propietarios principales del espacio de trabajo eliminen los Datos del cliente en cualquier momento durante un período de suscripción. Dentro de las 24 horas de la eliminación por parte del Propietario principal del espacio de trabajo, Slack elimina de manera irreversible toda la información de los sistemas de producción actualmente en ejecución (sin incluir los nombres de equipos y canales, y los términos de búsqueda incluidos en las URL en los registros de acceso del servidor web). Las copias de seguridad de los servicios de Slack se destruyen dentro de los 14 días.*
Devolución de Datos del cliente
Puedes encontrar información sobre las capacidades de exportación de los servicios de Slack en nuestro Centro de ayuda.
Cifrado de datos en tránsito y en reposo
Los servicios de Slack son compatibles con los últimos protocolos y suites de cifrado seguro recomendados para cifrar todo el tráfico en tránsito. Los Datos del cliente están cifrados en reposo.
Vigilamos de cerca el cambiante panorama criptográfico y trabajamos rápidamente para actualizar el servicio con el fin de responder a las nuevas debilidades criptográficas a medida que se descubren e implementar las mejores prácticas a medida que evolucionan. Con respecto al cifrado en tránsito, lo hacemos al mismo tiempo que equilibramos la necesidad de compatibilidad para los clientes más antiguos.
Disponibilidad
Entendemos que confías en los servicios de Slack para trabajar. Nos comprometemos a hacer de Slack un servicio de alta disponibilidad con el que puedas contar. Nuestra infraestructura se ejecuta en sistemas que son a prueba de fallos, para fallas de servidores individuales o incluso centros de datos completos. Nuestro equipo de operaciones prueba las medidas de recuperación ante desastres con regularidad y cuenta con un equipo disponible en todo momento para resolver rápidamente incidentes inesperados.
Recuperación ante desastres
Los Datos del cliente se almacenan de forma redundante en varias ubicaciones en los centros de datos de nuestro proveedor de hosting para garantizar la disponibilidad. Tenemos procedimientos de copia de seguridad y restauración bien probados, que permiten la recuperación ante un gran desastre. Los Datos del cliente y nuestro código fuente son respaldados automáticamente cada noche. Se avisa al equipo de Operaciones en caso de una falla con este sistema. Las copias de seguridad se prueban por completo al menos cada 90 días para confirmar que nuestros procesos y herramientas funcionan como se espera.
Protección de red
Además de la supervisión y el registro sofisticados del sistema, hemos implementado la autenticación de dos factores para todos los accesos a servidores en nuestro entorno de producción. Los firewalls se configuran de acuerdo con las mejores prácticas de la industria y los puertos innecesarios están bloqueados por la configuración con AWS Security Groups.
Administración de host
Realizamos análisis de vulnerabilidad automatizados en nuestros hosts de producción y remediamos cualquier hallazgo que presente un riesgo para nuestro entorno. Hacemos cumplir los bloqueos de pantallas y el uso del cifrado completo del disco para las computadoras portátiles de la compañía.
Registro
Slack mantiene un extenso entorno de registro centralizado en su entorno de producción que contiene información relacionada con la seguridad, la supervisión, la disponibilidad, el acceso y otras métricas sobre los servicios de Slack. Estos registros se analizan en busca de eventos de seguridad a través de un software de supervisión automatizado, supervisado por el equipo de seguridad.
Gestión y respuesta a incidentes
En el caso de un fallo de seguridad, Slack te notificará de inmediato sobre cualquier acceso no autorizado a tus Datos del cliente. Slack ha implementado políticas y procedimientos de gestión de incidentes para manejar un evento de ese tipo.
Auditorías de seguridad externas
Tenemos contratos con respetadas empresas de seguridad externas que auditan de forma regular los servicios de Slack para verificar que nuestras prácticas de seguridad sean sólidas y para supervisar los servicios de Slack en busca de nuevas vulnerabilidades descubiertas por la comunidad de investigación de seguridad. Además de las auditorías periódicas y específicas de los servicios y características de Slack, también empleamos el uso del escaneo automático, híbrido y continuo de nuestra plataforma web.
Prácticas de seguridad del producto
Las nuevas características, la funcionalidad y los cambios de diseño pasan por un proceso de revisión de seguridad facilitado por el equipo de seguridad. Además, nuestro código se audita con un software de análisis estático automatizado, y es probado y revisado por pares manualmente antes de ser implementado en producción. El equipo de seguridad trabaja en estrecha colaboración con los equipos de desarrollo para resolver cualquier problema de seguridad adicional que pueda surgir durante el desarrollo.
Slack también opera un programa de recompensas por errores de seguridad. Investigadores de seguridad de todo el mundo prueban continuamente la seguridad de los servicios de Slack e informan problemas a través del programa. Se pueden encontrar más detalles de este programa en el sitio de recompensas.
*Las copias de seguridad de los servicios de Slack se destruyen dentro de los 14 días, excepto que durante una investigación en curso de un incidente dicho período pueda extenderse temporalmente.
Este texto traducido se proporciona para propósitos informativos solamente y en caso de cualquier inconsistencia entre este y la versión en inglés, la versión en inglés manda.