Prácticas de seguridad (archivado)
Entrada en vigor: 24 de mayo de 2018
En Slack, nos tomamos muy en serio la seguridad de los datos. Dado que la transparencia es uno de los principios en los que se basa nuestra empresa, tenemos como objetivo ser lo más claros y francos posible respecto de la manera en que nos ocupamos de la seguridad.
En caso de que tenga más preguntas sobre la seguridad, nos complacerá contestarlas. Escríbanos a feedback@slack.com y le responderemos lo más rápido posible.
Confidencialidad
Establecemos controles estrictos sobre el acceso de nuestros empleados a los datos que usted y sus usuarios ponen a disposición a través de los servicios de Slack, tal y como se especifica en el acuerdo con Slack que contempla el uso de los servicios de Slack ("Datos del cliente"). El funcionamiento de los servicios de Slack requiere que algunos empleados tengan acceso a los sistemas que almacenan y procesan los Datos del cliente. Por ejemplo, es posible que debamos acceder a sus Datos del cliente con el fin de diagnosticar un problema que le haya surgido con los servicios de Slack. Estos empleados tienen prohibido utilizar tales permisos para ver los Datos del cliente a menos que sea estrictamente necesario. Disponemos de controles técnicos y políticas de auditoría para garantizar que se registre todo acceso a los Datos del cliente.
Todos nuestros empleados y personal contratado tienen la obligación de cumplir con nuestras políticas relativas a los Datos del cliente y tratamos estos temas como cuestiones de la máxima importancia en nuestra empresa.
Prácticas del personal
Slack lleva a cabo verificaciones de los antecedentes de todos los empleados antes de contratarlos, y los empleados reciben capacitación en materia de privacidad y seguridad tanto durante la incorporación como a lo largo de su permanencia en la empresa. Todos los empleados deben leer y firmar nuestra política integral de seguridad de la información que abarca la seguridad, la disponibilidad y la confidencialidad de los servicios de Slack.
Cumplimiento
Las siguientes auditorías y certificaciones de seguridad se aplican a los servicios de Slack:
- ISO 27001 e ISO 27018: Slack ha logrado el cumplimiento de las normas ISO 27001 e ISO 27018. Puede descargar el certificado ISO 27001 aquí y el certificado ISO 27018 aquí. Una copia de la Declaración de aplicabilidad se encuentra disponible a petición de su administrador de cuenta.
- Informes de Controles en una organización de servicios (SOC): Slack se ha sometido a una auditoría SOC 2, y está disponible una copia del último informe de Slack a petición de su administrador de cuenta. Asimismo, nuestro informe SOC 3 se puede descargar aquí.
- PCI: Slack es un comerciante PCI de nivel 4 y ha completado el cuestionario SAQ-A del Estándar de seguridad de datos para la industria de tarjetas de pago. Recurrimos a un tercero para procesar la información de tarjetas de crédito de forma segura. Actualmente, Slack no es un proveedor de servicios certificado por PCI.
El entorno que hospeda los servicios de Slack mantiene múltiples certificaciones para sus centros de datos, como el cumplimiento de la norma ISO 27001, la autorización FedRAMP, la certificación PCI y los informes SOC. Para obtener más información acerca de las certificaciones y el cumplimiento normativo, visite el sitio web de seguridad de AWS, el sitio web de cumplimiento de AWS, el sitio web de seguridad de Google y el sitio web de cumplimiento de Google.
Funciones de seguridad para miembros y administradores del equipo
Además del trabajo que realizamos a nivel de infraestructura, proporcionamos a los Administradores de equipos de versiones de pago de los servicios de Slack herramientas adicionales para que sus usuarios puedan proteger sus Datos del cliente.
Registro de acceso
Se encuentran disponibles los registros de acceso tanto para los usuarios como para los administradores de equipos de pago. Registramos cada vez que se inicia sesión en una cuenta, lo que incluye el tipo de dispositivo utilizado y la dirección IP de la conexión.
Los Administradores y Propietarios de equipos de pago pueden revisar los registros de acceso consolidados para todo su equipo. También les facilitamos a los administradores la tarea de finalización remota de todas las conexiones y el cierre de sesión de todos los dispositivos autenticados en los servicios de Slack en cualquier momento y a petición.
Autenticación de dos factores del equipo
Los Administradores de equipos pueden solicitar que todos los usuarios establezcan la autenticación de dos factores en sus cuentas. Las instrucciones para realizarlo están disponibles en nuestro Centro de ayuda.
Inicio de sesión único
Los Administradores de equipos correspondientes a planes de pago pueden integrar las instancias de sus servicios de Slack con una variedad de proveedores de inicio de sesión único. Los equipos que se encuentran en el plan «Estándar» pueden habilitar Google Apps for Domains como su proveedor de autenticación, y los equipos del plan «Plus» pueden habilitar el SSO basado en SAML con proveedores como OneLogin, Okta, Centrify y Ping Identity.
Conservación de datos
Los Propietarios de equipos de pago de Slack pueden configurar políticas personalizadas de conservación de mensajes según el tamaño del equipo y por canal. Establecer una duración personalizada para la conservación de mensajes implica que todas las noches se eliminarán los archivos y los mensajes más antiguos que el plazo que se haya establecido.
Eliminación de los Datos del cliente
Slack ofrece a los Propietarios principales de espacios de trabajo la opción de borrar los Datos del cliente en cualquier momento durante el período de suscripción. A las 24 horas de la eliminación por parte del Propietario principal del espacio de trabajo, Slack elimina de forma permanente toda la información de los sistemas de producción que se encuentren en ejecución (se excluyen los nombres de equipos y canales, los términos de búsqueda incluidos en las URL en los registros de acceso del servidor web). Las copias de seguridad de los servicios de Slack se destruyen en un plazo de 14 días.*
Devolución de los Datos del cliente
La información sobre las funciones de exportación de los servicios de Slack se encuentra disponible en nuestro Centro de ayuda.
Cifrado de datos en tránsito y en reposo
Los servicios de Slack son compatibles con las últimas series y protocolos de cifrado de seguridad recomendados para cifrar todo el tráfico en tránsito. Los Datos del cliente se cifran en reposo.
Vigilamos de cerca el cambio de panorama criptográfico y trabajamos con diligencia para mejorar el servicio y responder a las nuevas vulnerabilidades criptográficas conforme son descubiertas. Asimismo, aplicamos las mejores prácticas a medida que evolucionan. Con respecto al cifrado en tránsito, no solo realizamos esto, sino que equilibramos la necesidad de compatibilidad con los clientes más antiguos.
Disponibilidad
Sabemos que depende de los servicios de Slack para trabajar. Por ello, nos comprometemos a hacer de Slack un servicio de alta disponibilidad con el que puede contar. Nuestra infraestructura se ejecuta en sistemas que toleran los fallos, ya sean a raíz de errores de servidores individuales o incluso de centros de datos completos. Nuestro equipo de operaciones prueba de forma regular las medidas de recuperación ante desastres y tiene un equipo de guardia las 24 horas para resolver rápidamente las incidencias inesperadas.
Recuperación en caso de desastre
Los Datos del cliente se almacenan de forma redundante en varios lugares en los centros de datos de nuestros proveedores de hospedaje para garantizar la disponibilidad. Hemos comprobado los procedimientos de copia de seguridad y restauración, lo que permite la recuperación en caso de un problema grave. Durante la noche se realiza una copia de seguridad de forma automática de los Datos del cliente y de nuestro código fuente. El equipo de operaciones recibe una alerta en caso de que ocurra un fallo en este sistema. Las copias de seguridad se evalúan cada 90 días como mínimo para confirmar que nuestros procesos y nuestras herramientas funcionan según lo previsto.
Protección de la red
Además de la supervisión y del registro del sofisticado sistema, hemos implementado la autenticación de dos factores para todos los accesos del servidor en todo nuestro entorno de producción. Los firewalls se configuran conforme a las mejores prácticas del sector, y los puertos innecesarios se bloquean mediante la configuración con AWS Security Groups.
Administración de hosts
Llevamos a cabo análisis de vulnerabilidad automatizados en nuestros hosts de producción y remediamos los hallazgos que implican un riesgo para nuestro entorno. Aplicamos bloqueos de pantalla y utilizamos el cifrado de disco completo para las computadoras portátiles de la empresa.
Inicio de sesión
Slack mantiene un amplio entorno de registro centralizado en su entorno de producción, lo que contiene la información relacionada con la seguridad, la supervisión, la disponibilidad, el acceso y otros indicadores de los servicios de Slack. Estos registros se analizan para detectar eventos de seguridad mediante un software de monitoreo automatizado y, luego, son supervisados por el equipo de seguridad.
Manejo de incidencias y respuesta
En caso de una infracción de seguridad, Slack le notificará de inmediato sobre cualquier acceso no autorizado a sus Datos del cliente. Slack cuenta con políticas y procedimientos de administración de incidencias para abordar dicho evento.
Auditorías de seguridad externas
Hemos contratado a reconocidas empresas externas de seguridad que auditan de forma regular los servicios de Slack para comprobar que nuestras prácticas de seguridad son válidas y para supervisar los servicios de Slack en búsqueda de nuevas vulnerabilidades que la comunidad de investigación de seguridad pudiese descubrir. Además de las auditorías periódicas y específicas de los servicios y las funciones de Slack, también hacemos uso del análisis automatizado, híbrido y continuo de nuestra plataforma web.
Prácticas de seguridad del producto
Las nuevas características, las funcionalidades y los cambios de diseño se someten a un proceso de revisión de seguridad facilitado por el equipo de seguridad. Asimismo, nuestro código se audita con un software de análisis estático automatizado, probado y revisado manualmente por expertos antes de enviarlo a producción. El equipo de seguridad trabaja en estrecha colaboración con los equipos de desarrollo para resolver cualquier problema de seguridad adicional que pudiese surgir durante el desarrollo.
Slack también opera un programa de seguridad que busca errores. Los investigadores de seguridad de todo el mundo continuamente someten a pruebas la seguridad de los servicios de Slack e informan los problemas a través del programa. Para obtener más información sobre el programa, viste el sitio de búsqueda de errores.
* Las copias de seguridad de los servicios de Slack se destruyen en un plazo de 14 días. Sin embargo, durante una investigación en curso de una incidencia, dicho período puede prorrogarse temporalmente.