Prácticas de seguridad
Fecha de publicación: 1 de octubre de 2021
En Slack, nos tomamos muy en serio la seguridad de los datos. Dado que la transparencia es uno de los principios en los que se basa nuestra empresa, tenemos como objetivo ser lo más claros y francos posible respecto de la manera en que nos ocupamos de la seguridad. En caso de que tenga más preguntas sobre la seguridad, nos complacerá contestarlas. Escríbanos a feedback@slack.com y le responderemos lo más rápido posible.
Controles de plataforma
Arquitectura y segregación de datos
Los servicios de Slack se operan en una arquitectura de múltiples usuarios tanto en las capas de plataforma como de infraestructura que están diseñadas para segregar y restringir el acceso a los datos que usted y sus usuarios ponen a disposición a través de los servicios de Slack, como se define más específicamente en su acuerdo con Slack (o sus afiliados corporativos) que incluyen el uso de los servicios de Slack («Datos del cliente»), en función de las necesidades comerciales. La arquitectura proporciona una separación lógica de datos para cada cliente diferente a través de una identificación única.
Infraestructura de nube pública
Los servicios de Slack están alojados en Internet en una «Nube pública»; son servicios informáticos ofrecidos por proveedores externos a cualquier persona que quiera usarlos o comprarlos. Como todos los servicios en la nube, un servicio en la nube pública se ejecuta en servidores remotos administrados por un proveedor.
Auditorías
Los servicios de Slack se someten a evaluaciones de seguridad por parte del personal interno y firmas de seguridad externas respetadas que realizan auditorías periódicas de los servicios de Slack para comprobar que nuestras prácticas de seguridad son válidas y para supervisar los servicios de Slack en búsqueda de nuevas vulnerabilidades que la comunidad de investigación de seguridad pudiese descubrir. Además de las auditorías periódicas y específicas de los servicios y las funciones de Slack, también hacemos uso del análisis automatizado, híbrido y continuo de nuestra plataforma web. Los clientes pueden descargar una copia de los informes de auditoría externa disponibles aquí.
Certificaciones
Las certificaciones se realizan en los servicios de Slack y los clientes pueden descargar una copia de las certificaciones disponibles aquí.
Controles de seguridad
Slack implementará y mantendrá las medidas técnicas y organizativas adecuadas para proteger sus Datos del cliente contra la destrucción, pérdida, alteración y divulgación no autorizada o el acceso no autorizado a los datos personales del Cliente procesados o transmitidos a través de los servicios de Slack. Los servicios de Slack tienen varios controles de seguridad, que incluyen, entre otros:
- Registro de acceso. Se encuentran disponibles los registros de acceso tanto para los usuarios como para los administradores de equipos de pago. Registramos cada vez que se inicia sesión en una cuenta, lo que incluye el tipo de dispositivo utilizado y la dirección IP de la conexión. Los Administradores y Propietarios de equipos de pago pueden revisar los registros de acceso consolidados para todo su equipo.
- Administración de acceso. Los administradores pueden realizar la finalización remota de todas las conexiones y el cierre de sesión de todos los dispositivos autenticados en los servicios de Slack en cualquier momento y a petición.
- Conservación de datos. Los propietarios de equipos de pago de Slack pueden configurar políticas personalizadas de conservación de mensajes según el tamaño del equipo y por canal. Establecer una duración personalizada para la conservación significa que los mensajes o archivos con una duración superior a la establecida se eliminarán todas las noches de los servidores de producción de los servicios de Slack.
- Administración de hosts. Llevamos a cabo análisis de vulnerabilidad automatizados en nuestros hosts de producción y remediamos los hallazgos que implican un riesgo para nuestro entorno. Aplicamos bloqueos de pantalla y utilizamos el cifrado de disco completo para las computadoras portátiles de la empresa.
- Protección de la red. Además de la supervisión y del registro del sofisticado sistema, hemos implementado la autenticación de dos factores para todos los accesos del servidor en todo nuestro entorno de producción. Los firewalls se configuran de acuerdo con las mejores prácticas de la industria, utilizando grupos de seguridad de AWS.
- Prácticas de seguridad del producto. Las nuevas funciones, las funcionalidades importantes y los cambios de diseño se someten a un proceso de revisión de seguridad facilitado por el equipo de seguridad. Asimismo, nuestro código se audita con un software de análisis estático automatizado, probado y revisado manualmente por expertos antes de enviarlo a producción. El equipo de seguridad trabaja en estrecha colaboración con los equipos de desarrollo para resolver cualquier problema de seguridad adicional que pudiese surgir durante el desarrollo. Slack también opera un programa de seguridad que busca errores. Los investigadores de seguridad de todo el mundo continuamente someten a pruebas la seguridad de los servicios de Slack e informan los problemas a través del programa. Para obtener más información sobre el programa, viste el sitio de búsqueda de errores.
- Autenticación de dos factores del equipo. Los Administradores de equipos pueden solicitar que todos los usuarios establezcan la autenticación de dos factores en sus cuentas. Las instrucciones para realizarlo están disponibles en nuestro Centro de ayuda.
En el caso de algunos de los controles, el Cliente no puede desactivarlos; otros brindan personalización de la seguridad de los servicios de Slack por parte de los Clientes para su propio uso. Como tal, la protección de los Datos del cliente es una responsabilidad conjunta entre el Cliente y Slack. Como mínimo, Slack se alineará con los estándares prevalecientes de la industria, como ISO 27001, ISO 27002 e ISO 27018, o cualquier estándar sucesor o sustituto.
Detección de intrusiones
Slack, o una entidad externa autorizada, supervisará los servicios de Slack para detectar intrusiones no autorizadas.
Registros de seguridad
Sistemas que se utilizan en la provisión de información de registros de servicios de Slack a sus respectivas instalaciones de registro del sistema o un servicio de registro centralizado (para sistemas de red) para permitir revisiones y análisis de seguridad. Slack mantiene un amplio entorno de registro centralizado en su entorno de producción, lo que contiene la información relacionada con la seguridad, la supervisión, la disponibilidad, el acceso y otros indicadores de los servicios de Slack. Estos registros se analizan para detectar eventos de seguridad mediante un software de monitoreo automatizado y, luego, son supervisados por el equipo de seguridad.
Manejo de incidencias
Slack mantiene políticas y procedimientos para el manejo de incidencias de seguridad. Slack notifica a los clientes afectados sin demoras indebidas sobre cualquier divulgación no autorizada de sus respectivos Datos del cliente por parte de Slack o sus agentes de la que Slack tenga conocimiento en la medida permitida por la ley. Slack publica información sobre el estado del sistema en el sitio web de Salesforce Trust o la página Estado del sistema de Slack. Por lo general, Slack notifica a los clientes sobre las incidencias importantes del sistema por correo electrónico y, en el caso de incidencias que duren más de una hora, puede invitar a los clientes afectados a unirse a una conferencia telefónica acerca de la incidencia y de la respuesta de Slack.
Cifrado de datos
Los servicios de Slack utilizan productos de cifrado aceptados por la industria para proteger los Datos del cliente (1) durante las transmisiones entre la red de un cliente y los servicios de Slack; y (2) cuando están en reposo. Los servicios de Slack son compatibles con las últimas series y protocolos de cifrado de seguridad recomendados para cifrar todo el tráfico en tránsito. Vigilamos de cerca el cambio de panorama criptográfico y trabajamos con diligencia para mejorar el servicio y responder a las nuevas vulnerabilidades criptográficas conforme son descubiertas. Asimismo, aplicamos las mejores prácticas a medida que evolucionan. Con respecto al cifrado en tránsito, no solo realizamos esto, sino que equilibramos la necesidad de compatibilidad con los clientes más antiguos.
Fiabilidad, copias de seguridad y continuidad del negocio
Sabemos que depende de los servicios de Slack para trabajar. Por ello, nos comprometemos a hacer de Slack un servicio de alta disponibilidad con el que puede contar. Nuestra infraestructura se ejecuta en sistemas que toleran los fallos, ya sean a raíz de errores de servidores individuales o incluso de centros de datos completos. Nuestro equipo de operaciones prueba de forma regular las medidas de recuperación ante desastres y tiene un equipo de guardia las 24 horas para resolver rápidamente las incidencias inesperadas. Las mejores prácticas estándar de la industria en cuanto a fiabilidad y respaldo ayudaron a dar forma al diseño de los servicios de Slack. Slack realiza copias de seguridad periódicas, facilita la reversión de cambios de software y sistema cuando es necesario y la replicación de datos según sea necesario. Siempre que sea posible, Slack ayudará al Cliente con la recuperación de datos de eventos catastróficos considerables, según lo limiten los requisitos de residencia de datos de la localidad y las capacidades dentro de la región. «Evento catastrófico considerable» implica tres tipos amplios de ocurrencias: (1) eventos naturales como inundaciones, huracanes, tornados, terremotos y epidemias; (2) eventos tecnológicos como fallas de sistemas y estructuras tales como explosiones de tuberías, accidentes de transporte, interrupciones de servicios públicos, fallas de presas y escapes accidentales de materiales peligrosos; y (3) eventos causados por el hombre como ataques de agresores, ataques químicos o biológicos, ataques cibernéticos contra datos o infraestructura y sabotaje. Un evento catastrófico considerable no incluye errores, problemas operativos u otros errores de software comunes.
Los Datos del cliente se almacenan de forma redundante en varios lugares en los centros de datos de nuestros proveedores de hospedaje para garantizar la disponibilidad. Hemos comprobado los procedimientos de copia de seguridad y restauración, lo que permite la recuperación en caso de un problema grave. Durante la noche se realiza una copia de seguridad de forma automática de los Datos del cliente y de nuestro código fuente. El equipo de operaciones recibe una alerta en caso de que ocurra un fallo en este sistema. Las copias de seguridad se evalúan cada 90 días como mínimo para confirmar que nuestros procesos y nuestras herramientas funcionan según lo previsto.
Datos en reposo
Slack almacenará los Datos del cliente en reposo dentro de ciertas áreas geográficas principales, excepto cuando se indique lo contrario en su formulario de pedido.
Devolución de los Datos del cliente
En un plazo de 30 días a contar de la terminación del contrato, los clientes pueden solicitar la devolución de sus respectivos Datos del cliente enviados a los servicios de Slack (en la medida en que el Cliente no haya eliminado dichos datos). La información sobre las funciones de exportación de los servicios de Slack se encuentra disponible en el Centro de ayuda.
Eliminación de los Datos del cliente
Los servicios de Slack ofrecen a los Propietarios principales de espacios de trabajo la opción de borrar los Datos del cliente en cualquier momento durante el período de suscripción. A las 24 horas de la eliminación por parte del Propietario principal del espacio de trabajo, Slack elimina de forma permanente toda la información de los sistemas de producción que se encuentren en ejecución (se excluyen los nombres de equipos y canales, los términos de búsqueda incluidos en las URL en los registros de acceso del servidor web). Las copias de seguridad de los servicios de Slack se destruyen en un plazo de 14 días. Sin embargo, durante una investigación en curso de una incidencia, dicho período puede prorrogarse temporalmente.
Cuando un cliente cancela una suscripción de pago en Enterprise Grid, si el cliente no opta por eliminar su cuenta, Slack, dentro de los 90 días posteriores a la terminación de la suscripción, eliminará y se asegurará de que todos sus afiliados y proveedores de alojamiento de terceros correspondientes eliminen todas las copias de los Datos del cliente (se excluyen los nombres de los equipos y canales, y los términos de búsqueda incrustados en las URL en los registros de acceso al servidor web) dentro de los 14 días posteriores a que Slack haya iniciado la eliminación de la cuenta del cliente. Cuando un cliente cancela cualquier suscripción de pago a los servicios de Slack que no sea Enterprise Grid, la suscripción del cliente continuará bajo el nivel de uso gratuito para los servicios de Slack sujeto a los Términos de servicio del cliente en línea vigentes en ese momento u otro acuerdo de suscripción en línea principal aplicable a dicho nivel de uso gratuito («Términos de suscripción gratuita»), y los Datos del cliente no se eliminarán hasta que (i) el Cliente elimine el espacio de trabajo, (ii) el Cliente indique a Slack que elimine sus Datos del cliente, o (iii) cualquiera de las partes rescinda los Términos de suscripción gratuita. Tras la ocurrencia de tales eventos, Slack, dentro de los 14 días, eliminará y se asegurará de que todos sus afiliados y proveedores de alojamiento de terceros permitidos eliminen todas las copias de los Datos del cliente (excluidos los nombres de los equipos y canales, y los términos de búsqueda incluidos en las URL en los registros de acceso al servidor web).
Confidencialidad
Aplicamos controles estrictos sobre el acceso de nuestros empleados a los Datos del cliente. El funcionamiento de los servicios de Slack requiere que algunos empleados tengan acceso a los sistemas que almacenan y procesan los Datos del cliente. Por ejemplo, es posible que debamos acceder a sus Datos del cliente con el fin de diagnosticar un problema que le haya surgido con los servicios de Slack. Estos empleados tienen prohibido utilizar tales permisos para ver los Datos del cliente a menos que sea estrictamente necesario. Disponemos de controles técnicos y políticas de auditoría para garantizar que se registre todo acceso a los Datos del cliente.
Todos nuestros empleados y personal contratado tienen la obligación de cumplir con nuestras políticas relativas a los Datos del cliente y tratamos estos temas como cuestiones de la máxima importancia en nuestra empresa.
Prácticas del personal
Slack lleva a cabo verificaciones de los antecedentes de todos los empleados antes de contratarlos, y los empleados reciben capacitación en materia de privacidad y seguridad tanto durante la incorporación como a lo largo de su permanencia en la empresa. Todos los empleados deben leer y firmar nuestra política integral de seguridad de la información que abarca la seguridad, la disponibilidad y la confidencialidad de los servicios de Slack.
Infraestructura
Slack utiliza la infraestructura proporcionada por Amazon Web Services, Inc. («AWS») para alojar o procesar los Datos del cliente enviados a los servicios de Slack. La información sobre seguridad proporcionada por AWS está disponible en el sitio web de seguridad de AWS. La información sobre las auditorías de seguridad y privacidad, y las certificaciones recibidas por AWS, incluida la información sobre la certificación ISO 27001 y los informes SOC, está disponible en el sitio web de cumplimiento de AWS.