Trust center

En Kuona, sabemos que sus datos son uno de sus activos más valiosos. Por eso nos comprometemos a cumplir con los más altos estándares de seguridad, privacidad y transparencia, para que pueda centrarse en hacer crecer su negocio con confianza.

ISO 27001

Norma internacional para la gestión de la seguridad de la información.

GDPR

Regulación europea sobre privacidad y protección de datos.

Pilares de seguridad

Basado en las mejores prácticas de seguridad

Aplicamos controles de seguridad en todos los niveles, desde la infraestructura y las aplicaciones hasta los procesos internos y las personas. Estos pilares muestran cómo Kuona protege sus datos, garantiza el cumplimiento normativo y le ayuda a operar con confianza.

Seguridad del producto

(MFA) Autenticación multifactorial

Se exige múltiples formas de verificación, como contraseñas y códigos de autenticación, para acceder a sus sistemas y aplicaciones. Esto añade una capa extra de protección, asegurando que solo usuarios legítimos puedan interactuar con el producto, reduciendo el riesgo de accesos no autorizados.

Registros de auditoría

Se registran todas las actividades y eventos dentro de sus sistemas y aplicaciones. Estos registros permiten [rastrear cambios, detectar anomalías y garantizar la integridad del producto], facilitando la identificación y resolución de problemas de seguridad, y asegurando el cumplimiento de normativas y estándares de calidad.

Permisos de equipos

Se asignan y gestionan permisos específicos para cada usuario o grupo de trabajo. Esto garantiza que solo personal autorizado pueda acceder o modificar componentes críticos del producto, protegiendo la integridad y seguridad del sistema frente a cambios no autorizados y potenciales vulnerabilidades.

Seguridad de los datos

Seguridad física

Se implementan controles de acceso variados como cámaras de vigilancia, registros de actividad y sistemas de autenticación que permiten asegurar que solamente el personal autorizado pueda acceder a áreas donde se almacenan datos sensibles, protegiendo la integridad y confidencialidad de la información.

Copias de seguridad activadas

Supervisión de accesos

Se realiza gestión y seguimiento de altas y bajas de accesos a activos utilizados por la empresa durante una alta de nuevo personal, la operación normal y las bajas de personal. Garantizando que solo usuarios autorizados puedan interactuar con datos sensibles.

Seguridad de la empresa

Auditoría interna

Se realizan revisiones periódicas de sus procesos y controles de seguridad. Estas auditorías identifican vulnerabilidades, verifican el cumplimiento de políticas internas y normativas, y proponen mejoras, asegurando la efectividad de las medidas de seguridad y la protección continua de los activos y la información de la organización.

Manejo de incidentes

Se establecen procedimientos claros para detectar, responder y recuperar rápidamente de incidentes de seguridad. Esto incluye la identificación de amenazas, la comunicación efectiva y la mitigación de daños, asegurando la continuidad operativa y la protección de la información crítica de la organización.

Capacitación de personal en introducción a seguridad de la información

Se proporciona formación inicial sobre prácticas seguras, manejo de datos sensibles y detección de amenazas. Esto asegura que los empleados entiendan su papel en la protección de la información, reduciendo riesgos y fortaleciendo la postura de seguridad de la organización.

Revisión de activos

Se realizan inventarios y evaluaciones periódicas de sus activos físicos y digitales. Esto permite identificar vulnerabilidades, asegurar la protección de datos críticos y garantizar que los recursos estén correctamente gestionados, contribuyendo a una mejor seguridad y resiliencia organizacional.

Ingeniería social

Se entrena y capacita al personal en ingeniería social mediante pruebas reales para reconocer y evitar intentos de manipulación y fraude. Implementa políticas de verificación estrictas y fomenta la conciencia sobre técnicas engañosas, como el phishing, asegurando que los empleados estén preparados para proteger la información sensible y minimizar riesgos de seguridad.

Manejo de Riesgos

Se identifican, evaluan y priorizan periodicamente posibles amenazas a sus operaciones y activos. Se implementan estrategias de mitigación y planes de contingencia para reducir la probabilidad e impacto de incidentes, asegurando la continuidad del negocio y la protección de sus recursos críticos.

Monitoreo de Credenciales Filtradas de personal

Se utilizan herramientas para detectar credenciales comprometidas en la web. Se alerta a los empleados y forzar cambios de contraseña, evitando accesos no autorizados y protegiendo la integridad de los sistemas y datos de la organización.

Seguridad de las infraestructura

Servicios en la nube

Se implementan controles de acceso robustos, encriptación de datos y monitoreo constante de actividades en AWS. Estas medidas protegen la infraestructura en la nube contra accesos no autorizados, pérdidas de datos y amenazas cibernéticas, asegurando la integridad y disponibilidad de los recursos y servicios alojados.

Plan de Continuidad del Negocio

Se desarrollan estrategias y procedimientos para mantener operaciones críticas durante y después de una interrupción. Esto incluye respaldo de datos, recuperación ante desastres y redundancia de sistemas, garantizando que la empresa pueda seguir funcionando y minimizando el impacto en caso de incidentes imprevistos.

Plan de recuperación ante desastres

Se establecen procedimientos para restaurar rápidamente sistemas y datos críticos tras un desastre. Esto incluye copias de seguridad regulares, sitios de recuperación alternativos y equipos de respuesta, asegurando la continuidad operativa y minimizando pérdidas y tiempos de inactividad ante eventos catastróficos.

Seguridad de la aplicación

Supervisión de servidores en la nube (AWS)

Se supervisa continuamente las configuraciones de seguridad de los servidores en la nube de AWS. Esto permite detectar anomalías, prevenir brechas de seguridad y asegurar que las aplicaciones alojadas se mantengan protegidas contra amenazas, garantizando su disponibilidad e integridad.

Supervisión de Business Suite

Se supervisa continuamente la plataforma de gestión empresarial que es Google Workspace. Esto permite asegurar la buena configuración de los parámetros y proteger la integridad de los datos, garantizando que las aplicaciones críticas de negocio operen de manera segura.

Seguridad de redes

Supervisión de la configuración de DKIM

Se verifica regularmente la integridad y autenticidad de los correos electrónicos mediante firmas criptográficas. Esto asegura que los correos no sean alterados durante el tránsito y provengan de fuentes legítimas, protegiendo contra suplantación de identidad y asegurando la confianza en la comunicación por correo electrónico.

Supervisión de la configuración del SPF

Se revisa y actualiza regularmente los registros SPF. Esto asegura que solo servidores autorizados puedan enviar correos desde sus dominios, protegiendo contra el spoofing y mejorando la seguridad del correo electrónico al prevenir que mensajes falsificados lleguen a los destinatarios.

Pruebas de penetración en redes

Se simulan ataques, mediante Pentesting, controlados para identificar vulnerabilidades en los sistemas. Estas pruebas permiten descubrir puntos débiles, evaluar la efectividad de las medidas de seguridad existentes y mejorar la protección contra posibles ciberataques, garantizando una red más segura y robusta.

Monitoreo de configuración DMARC

Se supervisa y ajusta constantemente nuestra política DMARC. Esto protege contra el phishing y el uso indebido de dominios, garantizando que solo correos electrónicos legítimos sean enviados desde sus dominios, mejorando la autenticidad y la seguridad en la comunicación por correo electrónico.

Privacidad

Política de privacidad

Reglamento General de Protección de Datos (GDPR)

Acuerdo de procesamiento de datos (DPA)

Documents

Política de SGSI

Alcance del SGSI

Estructura de SI

Política de Seguridad de la Información

Política de Comité de Seguridad de la Información

Procedimiento de Anonimización de Datos Personales

Política de Tratamiento de la Información

Descriptivo de roles y responsabilidades

Plan de Seguridad de la Información

Programa de Capacitación

Taller de Concientización de Seguridad

Taller de Gestión de Riesgos

Metodología de Gestión de Riesgos

Inventario de Activos

Matriz de riesgos

Declaración de Aplicabilidad

Minuta de Sesión de Comité de Seguridad

Procedimiento de Preselección y Selección de Personal

Proceso de Contratación y Desvinculación de Personal

Matriz SOD

Matriz de Accesos basada en Roles

Procedimiento Gestión de Accesos

Procedimiento de Revisión de Accesos

Política BYOD | Trae tu dispositivo

Política de Escritorios Limpios

Política de Tecnología y Operaciones de TI

Procedimiento Gestión de Incidentes de Seguridad

Procedimiento de Gestión de Backups

Procedimiento de Gestión de Cambios Productivos

Procedimiento de Gestión de Claves Públicas y Privadas

Política de Gestión de Logs

Procedimiento de Gestión de Logs

Procedimiento de Gestión de Vulnerabilidades

Diagrama de Infraestructura

Plan de Recuperación ante Desastres

Plan de Continuidad

Política de Desarrollo Seguro

Metodología de Ciclo de Vida de Desarrollo

Guía de seguridad en el desarrollo y mantenimiento de sistemas

Política de Tratamiento de la Información

Procedimiento de Transferencia de Información por Medios Extraíbles

Ethical Hacking + Escaneo de Vulnerabilidades

Matriz de Evaluación de Proveedores

Matriz de Evaluación de Requisitos Legales y Contractuales

Política de Seguridad por Capas

Prueba de Continuidad

Plan de Comunicación del SGSI

Metodología de Indicadores de Seguridad de la Información

Listado de métricas e indicadores

Plan y Programa de Auditoría

Procedimiento de Acciones Correctivas y de Mejora

Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades

Evidencia de controles implementados ISO 27002

Auditoría interna del SGSI

Plan de Tratamiento de Acciones Correctivas y de Mejora

Capacitación de Desarrollo Seguro

Validar requisitos de SI en contratos con empleados y proveedores

Procedimiento de Gestión de Inteligencia de Amenazas

Procedimiento de Anonimización de Datos Personales

Procedimiento de Revisión y Contratación de Proveedores

Documentación de Hardening

¿Tienes preguntas sobre seguridad o cumplimiento normativo?

Nuestro equipo está a su disposición para proporcionarle documentación, atender sus solicitudes de diligencia debida o guiarle a través de nuestras prácticas de seguridad.

Póngase en contacto con nuestro equipo de seguridad.