Cumplimiento

¿Puede traducir este texto al español, pero mantener todos los enlaces originales? ¿Tiene certificaciones de cumplimiento?

Se utiliza AWS Cloud. https://aws.amazon.com/compliance/

¿Realizas pruebas de penetración de tu servicio regularmente?

Sí, realizamos pruebas de penetración internas cada 3 meses o después de cada lanzamiento importante.

¿Realizas auditorías regularmente?

Sí, internamente cada 3 meses o lanzamiento importante, lo que ocurra primero.

¿Las políticas y procedimientos están anonimizados?

Sí, los datos de AWS están anonimizados. La política de AWS IAM está en su lugar para evitar el acceso a los datos.

¿Tiene la capacidad de hacer cumplir las políticas de retención de datos del cliente?

Sí, los datos del cliente se eliminan con la eliminación del cliente o la cámara. El integrador tiene control sobre la eliminación.

¿Tiene procedimientos para garantizar que los datos de producción no se replicarán ni se utilizarán en entornos de no producción?

Sí, se utiliza AWS VPC para separar los entornos. No se utiliza un entorno de puesta en escena local.

¿Tiene controles para evitar fugas de datos o compromisos intencionales / accidentales entre clientes en un entorno de múltiples inquilinos?

Sí, los datos de AWS están anonimizados. La política de AWS IAM está en su lugar para evitar el acceso a los datos.

¿Tiene una solución de prevención de pérdida de datos (DLP) o prevención de extrusión en su lugar para todos los sistemas que interfieren con su oferta de servicios en la nube?

Sí, no hay acceso de terceros a la infraestructura de la nube de AWS. Se utiliza AWS GuardDuty.

¿Los datos de los clientes se moverán de una ubicación física a otra?

No, todos los datos se almacenan siempre en los servidores de AWS.

¿Sus políticas de seguridad de la información y privacidad se alinean con estándares específicos de la industria?

Sí, se utiliza AWS SecurityHub. https://aws.amazon.com/compliance/

¿Utiliza proveedores de terceros para su servicio?

Sí, la nube de AWS.

¿Tiene controles para garantizar la eliminación oportuna del acceso a sistemas que ya no se requieren para fines comerciales?

Sí, se utiliza la política de AWS IAM.

¿Mantiene documentación para la concesión y aprobación de acceso a datos?

Sí, AWS CloudTrail y SecurityHub.

¿Se implementa la eliminación, revocación o modificación oportuna de acceso de usuario a los sistemas de la organización, activos de información y datos al producir cualquier cambio en el estado de los empleados, contratistas, clientes, socios comerciales o terceros?

Sí.

¿Cifra los datos del cliente en reposo (en disco / almacenamiento) dentro de su entorno? ¿Cuál es la fortaleza de la encriptación?

Sí, el cifrado de AWS está en reposo en los servicios aplicables utilizados. Para imágenes, se utiliza el cifrado de lado del servidor de AWS S3 AE-256.

¿Cifra los datos durante el transporte? En caso afirmativo, ¿cuál es la fuerza de la encriptación?

Sí, en el caso de la tecnología 3dEYE PUSH se crea un túnel SSL seguro entre la cámara y la.

¿Realiza exploraciones de vulnerabilidades de red, sistema operativo y/o aplicación a intervalos regulares?

Sí, se utiliza la última imagen de máquina de Amazon Web Services (AWS) basada en AWS Elastic Container Service (ECS) Auto Scaling Group (ASG), Fargate y la arquitectura sin servidor de AWS.

¿Tiene la capacidad de parchar rápidamente vulnerabilidades en todos sus dispositivos informáticos, aplicaciones y sistemas?

Sí, en caso de vulnerabilidades críticas, AWS retirará la imagen de máquina. La infraestructura sin servidor de AWS ECS y AWS se volverá a implementar.

¿Tiene programas antivirus instalados en todos los sistemas que admiten sus ofertas de servicios en la nube?

Sí, se utilizan AWS WAF, AWS GuardDuty, la última imagen de máquina de AWS, ECS y la arquitectura sin servidor de AWS.

¿Se informa al cliente de un incidente en caso de divulgación no autorizada de datos confidenciales o sensibles?

Sí.

¿Tiene un sistema de gestión de información y eventos de seguridad (SIEM)?

Sí, se utilizan AWS SecurityHub, AWS GuardDuty y AWS CloudTrail.

¿Permite su marco de registro y monitoreo aislar un incidente a clientes específicos?

Sí, los datos de AWS están anonimizados y no están disponibles. Los clientes pueden revisar los registros de aplicaciones en el panel de administración de 3dEYE relacionados con un cliente específico.

¿Existen controles para evitar el acceso no autorizado al código fuente de la aplicación, programa u objeto, y asegurar que solo el personal autorizado lo tenga restringido?

Sí, se utiliza la política de IAM de AWS, AWS GuardDuty y AWS CloudTrail.

¿Tiene proveedores terceros que manejan su servicio?

No.

¿Tiene la capacidad de segmentar lógicamente o cifrar los datos del cliente de modo que se pueda producir datos para un único inquilino sin acceder inadvertidamente a los datos de otro inquilino?

Sí. Se puede utilizar una instalación de nube privada separada y personalizada para garantizar la segmentación lógica.

¿Tiene políticas y procedimientos que describen qué controles tiene para proteger la propiedad intelectual de los clientes?

No aplicable. No almacenamos, procesamos ni accedemos a la propiedad intelectual de los clientes.

¿Permite a los clientes especificar en qué ubicaciones geográficas se permite que sus datos entren/salgan?

Sí, la nube pública está disponible en la región de AWS de EE. UU. y Europa. La instalación de nube privada personalizada puede ubicarse en cualquier región y zona de AWS, incluida GovCloud.

¿Cumple su plan de respuesta a incidentes con los estándares de la industria para los procesos y controles de gestión legalmente admisibles de la cadena de custodia?

Sí.

¿Cumple con la separación de datos del cliente al producir datos en respuesta a citaciones legales?

Sí.

¿Tiene la capacidad de admitir retenciones de litigio (congelamiento de datos desde un punto específico en el tiempo) para un cliente específico sin congelar los datos de otros clientes?

Sí, el cliente puede guardar clips de grabación de video en la biblioteca como evidencia. Estas imágenes no se eliminarán a menos que se elimine la.

¿Utilizas o accedes a datos de clientes y/o metadatos? En caso afirmativo, ¿cómo lo haces?

Sí, en caso de que el cliente cree un horario de alerta, la analítica de video AI accederá a las imágenes del cliente para producir eventos relevantes.

¿Recopilas o creas metadatos sobre los datos del cliente a través del uso de tecnologías de inspección (motores de búsqueda, etc.)?

No.

¿Apoyas los estándares de federación de identidad (SAML, SPML, WS-Federation, etc.) como medio de autenticación/autorización de usuarios?

Sí, SAML de AWS, OAuth2 está disponible para integraciones.

¿Proporcionas a los clientes opciones de autenticación fuerte (multifactor) (certificados digitales, tokens, biométricos, etc.) para el acceso de los usuarios?

Sí, MFA está disponible para los usuarios finales.

¿Exiges opciones de autenticación fuerte (multifactor) (certificados digitales, tokens, biométricos, etc.) para que los administradores administren la solución?

Sí, se usan políticas de AWS IAM y MFA.

¿Utilizas estándares de la industria (Modelo de madurez de seguridad de creación [BSIMM], Marco de proveedor de tecnología de confianza de ACS de Open Group, NIST, etc.) para crear seguridad en tu ciclo de vida del desarrollo de sistemas/software (SDLC)?

Sí.

¿Se almacenan las contraseñas en formato cifrado? Proporciona el algoritmo de cifrado utilizado?

Sí, se utilizan SSM y SecretsManager de AWS. AES 256 o el cifrado relevante del servicio de AWS.

¿Verificas que todos tus proveedores de software cumplan con los estándares de la industria para la seguridad del ciclo de vida del desarrollo de sistemas/software (SDLC)?

Sí.

¿La solución proporciona una gestión integrada de usuario/contraseña?

Sí, se utilizan IAM y SecretManager de AWS.
MFA es obligatorio.
La longitud mínima de la contraseña es de 8 caracteres.
Requiere al menos un número.
Requiere al menos un carácter no alfanumérico (!@#$%^&*()_+-=[]{}|';:/?).
Permite a los usuarios cambiar su propia contraseña.
Recuerda las últimas 3 contraseñas y evita su reutilización.

¿Tienes un programa de evaluación de riesgos que haya sido aprobado por la dirección, comunicado y asignado a un responsable?

Sí. 3dEYE ha integrado un programa de gestión de riesgos y cumplimiento en toda la organización. Este programa tiene como objetivo gestionar el riesgo en todas las fases del diseño y despliegue del servicio y mejorar y volver a evaluar continuamente las actividades relacionadas con el riesgo de la organización.

¿Tienes un programa de seguridad con políticas de seguridad de la información establecidas que hayan sido aprobadas por la dirección, comunicadas y asignadas a un responsable?

Sí.

¿Se ha revisado el programa y las políticas de 3dEYE en el último año?

Sí.

¿Tiene un programa de gestión de terceros que haya sido aprobado por la dirección, comunicado y asignado a un responsable?

3dEYE aprovecha las herramientas de seguridad y cumplimiento de AWS https://aws.amazon.com/products/security

¿Realiza verificaciones de antecedentes a los empleados?

Sí.

¿Con qué frecuencia se realizan las verificaciones de antecedentes a los empleados?

Anual o según el cambio en el estado del empleado.

¿Tiene un programa y una política de control de cambios o gestión de cambios que haya sido aprobado por la dirección, comunicado y asignado a un responsable?

Sí.

¿Existe una política y un programa de antivirus/malware que haya sido aprobado por la dirección, comunicado y asignado a un responsable?

3dEYE utiliza las herramientas de detección de AWS, herramientas de protección de red de AWS, herramientas de protección de aplicaciones de AWS, herramientas de seguridad y vulnerabilidad de GitHub y herramientas de seguridad de Microsoft. Los servicios de AWS, como GuardDuty, nos proporcionan un monitoreo continuo para detectar actividad maliciosa y comportamiento no autorizado.

¿Se realizan copias de seguridad del sistema de datos?

¿Con qué frecuencia? 3dEYE aprovecha los snapshots y las copias de seguridad de AWS https://aws.amazon.com/backup/Services servicios son redundantes. Se utiliza la arquitectura sin servidor de AWS. La duración y recurrencia de las copias de seguridad y snapshots dependen del servicio. Para las instancias, generalmente se realizan snapshots diarios.

¿Hay algún firewall/ACL en el borde?

3dEYE aprovecha las herramientas de detección de AWS y herramientas de red de AWS https://aws.amazon.com/products/security/?nc=sn&loc=2

¿Se realizan evaluaciones de vulnerabilidades, escaneos y/o pruebas de penetración en las redes internas o externas? ¿Con qué frecuencia? ¿Está disponible la documentación?

Sí, realizamos pruebas de penetración internas cada 3 meses o después de cada versión importante. 3dEYE realiza pruebas de carga e inspecciones de código en cada nueva versión construida. 3dEYE sigue el marco bien diseñado de AWS y sus respectivas herramientas. https://aws.amazon.com/architecture/well-architected

¿Se realizan pruebas de vulnerabilidad (internas/externas) en todas las aplicaciones al menos una vez al año?

Sí, realizamos pruebas de penetración internas cada 3 meses o después de cada versión importante. 3dEYE realiza pruebas de carga e inspecciones de código en cada nueva versión construida. Se verifica la interfaz de usuario final (web/móvil) contra los vectores de ataque comunes.

¿Existe un proceso formal de ciclo de vida de desarrollo de software (SDLC) que incluya seguridad y privacidad por diseño?

Sí.
3dEYE ejerce una política obligatoria para pasar a nuevas versiones del marco. Se utilizan las últimas bibliotecas actualizadas durante el proceso de construcción. Se siguen las mejores prácticas durante el proceso de desarrollo. Se utilizan bibliotecas y enfoques estándar para la encriptación, autenticación y autorización. 3dEYE realiza pruebas de carga e inspecciones de código en cada nueva versión construida.

¿Se gestionan y mantienen herramientas de cifrado?

3dEYE utiliza AWS Encryption. Cada servicio de AWS en el que aterriza la información proporciona cifrado en reposo y en tránsito.

¿Tiene un programa de gestión de incidentes?

Se utilizan los servicios de gestión de incidentes de AWS. https://aws.amazon.com/products/security/?nc=sn&loc=2

¿Existe una política documentada de continuidad del negocio y recuperación ante desastres que haya sido aprobada por la dirección, comunicada y que tenga un propietario para mantener y revisar la política?

Sí. Se aprovecha AWS D/CP: https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html

¿Con qué frecuencia se realizan pruebas BC/DR?

Anualmente o después de cambios infraestructurales importantes. Se utiliza AWS Config continuamente para supervisar y registrar los cambios en los recursos de AWS. AWS CloudFormation se utiliza para automatizar las pruebas.
‍https://docs.aws.amazon.com/whitepapers/latest/disaster-recovery-workloads-on-aws/disaster-recovery-options-in-the-cloud.html

¿Se realiza un análisis del impacto en el negocio al menos una vez al año?

Sí.

¿Existe un departamento interno de auditoría, gestión de riesgos o cumplimiento con la responsabilidad de identificar y hacer un seguimiento de la resolución de problemas reglamentarios pendientes?

Sí.

¿Se realizan evaluaciones regulares de riesgos de privacidad?

Sí, anualmente o durante la adquisición y expansión de nuevas regiones.

¿Existe un proceso formal para informar y responder a quejas o incidentes de privacidad?

Sí.

¿Hay un programa de respuesta documentado para abordar incidentes de privacidad, divulgación no autorizada, acceso no autorizado o violaciones?

Sí, 3dEYE aprovecha el Marco de Respuesta y Forense Automatizado de AWS, AWS Incident Response.

¿Existe un programa de privacidad documentado con salvaguardas administrativas, técnicas y físicas para la protección de sistemas y datos?

3dEYE aprovecha las directrices y políticas respectivas. Herramientas de seguridad y cumplimiento de AWS https://aws.amazon.com/products/securityAWS FTR programa AWS Well Architected Framework y conjunto de herramientas https://aws.amazon.com/architecture/well-architected/