Trend Micro, líder mundial en ciberseguridad, contribuye a que el mundo sea un lugar
seguro para el intercambio de información digital. Gracias a décadas de experiencia
en seguridad, investigación de amenazas globales e innovación continua, nuestra plataforma
de ciberseguridad protege a cientos de miles de organizaciones y millones de personas
en nubes, redes, dispositivos y puntos finales. Como líder en ciberseguridad en la
nube y empresas, nuestra plataforma ofrece una potente gama de técnicas avanzadas
de defensa frente a amenazas optimizadas para entornos como AWS, Microsoft y Google,
así como visibilidad central para una mejor detección y una respuesta más rápida.
Trend Micro está comprometida con la seguridad y la privacidad de nuestros clientes
y sus datos. Los siguientes recursos de Worry-Free Business Security Services son representativos de nuestro compromiso con la seguridad, la privacidad, la transparencia
y el cumplimiento de las normas reconocidas del sector. Para obtener más información,
consulte el Centro de confianza de Trend Micro.
A continuación, se ofrece la información más reciente sobre la seguridad, privacidad
y detalles de conformidad de Worry-Free Business Security Services.
 Privacidad
|
 Seguridad
|
 Cumplimiento
|
Privacidad de datos
Para obtener información general sobre cómo Trend Micro protege sus datos, consulte
el Aviso de privacidad global de Trend Micro.
En función de la naturaleza del entorno protegido y del objeto que sea el destino
del suceso de seguridad (por ejemplo, archivos, memoria, tráfico de red), existe el
riesgo de que se pueda recopilar información personal en un suceso de seguridad. La
configuración de políticas de seguridad y la selección de módulos se ofrecen para
cumplir los requisitos del entorno de destino y reducir este riesgo.
Para obtener más información sobre los datos que se envían a Trend Micro y los controles
de los clientes sobre estos datos, lea el Aviso sobre la recopilación de datos de Worry-Free Business Security Services.
RGPD
Trend Micro cumple con las leyes aplicables, incluido el Reglamento General de Protección
de Datos (RGPD). Para obtener más información, consulte el sitio web de Trend Micro RGPD Compliance.
-
En caso necesario, implementamos las medidas técnicas y de organización (
TOM, del inglés Technical and Organization Measures
) para apoyar el procesamiento de los datos en RGPD. -
Como responsable del tratamiento de datos en RGPD, el tratamiento de los
datos personales
está limitado en varios casos. Los detalles sobre los datos tratados por Trend Micro Worry-Free Business Security Services y los controles disponibles sobre esos datos se documentan en Aviso sobre la recopilación de datos de Worry-Free Business Security Services.
Aviso acerca de la recopilación de datos de Worry-Free Business Security Services
Ciertas funciones de Worry-Free Business Security Services recopilan y envían comentarios sobre el uso del producto e información de detección
a Trend Micro. Para obtener más información, consulte Aviso sobre la recopilación de datos de Worry-Free Business Security Services.
Seguridad de los datos
Trend Micro se adhiere a las normas del sector en materia de seguridad de datos y
proporciona un esquema de las prácticas generales de seguridad. Además, Worry-Free Services utiliza las prácticas recomendadas aceptadas por la industria para garantizar la
seguridad de sus datos. Esto incluye la segregación de los datos de cada cliente y
el cifrado de los datos en tránsito. La copia de seguridad de los datos de los clientes
sigue las mejores prácticas definidas por el sector y nuestras diversas certificaciones,
como ISO 27001 (para control de acceso y criptografía) e ISO 27017 (para la supervisión
de servicios en la nube y segregación de entornos), ayudan a definir nuestros procesos
de copia de seguridad y recuperación de datos.
Los clientes pueden elegir una región de Worry-Free Services disponible para aprovisionar la consola de Worry-Free Services y almacenar y procesar todos los datos y servicios de Data Lake. Los clientes pueden
asignar funciones a los usuarios que limitan derechos de acceso a Worry-Free Services, incluidos, entre otros, conceder acceso de asistencia, iniciar acciones de respuesta,
recopilar archivos de los puntos finales y limitar a los usuarios al acceso de solo
lectura.
Los datos en reposo están protegidos por las tecnologías nativas de la nube en la
que residen. Los datos de los clientes se etiquetan con un "ID de cliente" durante
la recopilación como parte del esquema de datos. La capa interna de acceso a datos
de las aplicaciones de Trend Micro requiere este parámetro "ID de cliente" para acceder
a los datos. Esta medida protege los datos del cliente frente al acceso de terceros,
ya que las consultas solo pueden acceder a un "ID de cliente" cada vez. Los clientes
no facilitan directamente el "ID de cliente" cuando interactúan con el servicio; lo
gestiona la propia aplicación. Esto garantiza que no haya forma de que un actor malintencionado
pase el ID de cliente incorrecto para acceder a otro conjunto de datos.
Worry-Free Services utiliza TLS 1.2 siempre que sea posible para la transmisión de datos.
Cifrados admitidos:
-
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
-
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
-
TLS_RSA_WITH_AES_128_GCM_SHA256
-
TLS_RSA_WITH_AES_128_CBC_SHA256
-
TLS_RSA_WITH_AES_256_GCM_SHA384
-
TLS_RSA_WITH_AES_256_CBC_SHA256
Segregación de datos
Toda la información de los clientes está separada para garantizar que solo tengan
acceso a sus propios datos. Los datos de los clientes se etiquetan con un "ID de cliente"
durante la recopilación como parte del esquema de datos. La capa interna de acceso
a datos de la aplicación de Trend Micro requiere este parámetro "ID de cliente" para
acceder a los datos. Esta medida protege los datos del cliente frente al acceso de
terceros, ya que las consultas solo pueden acceder a un "ID de cliente" cada vez.
Los clientes no facilitan directamente el "ID de cliente" cuando interactúan con el
servicio, ya que lo gestiona la propia aplicación. Esto garantiza que no haya forma
de que un actor malintencionado pase el ID de cliente incorrecto para acceder a otro
conjunto de datos.
Los datos de contacto del cliente, como su dirección de correo electrónico, se cifran
en reposo para garantizar su confidencialidad. Los datos recopilados por Worry-Free Business Security Services aparecen en la lista de Aviso sobre la recopilación de datos de Worry-Free Business Security Services
Cifrado de datos
La información procesada por Worry-Free Business Security Services se cifra durante la transferencia y en reposo y se envía a un nodo de Worry-Free Business Security Services en la región que el cliente selecciona durante la instalación inicial.
En reposo: los datos en reposo están protegidos por tecnologías nativas de la nube de AWS (por
ejemplo, bases de datos y copias de seguridad).
En tránsito: todas las comunicaciones entre Worry-Free Business Security Services y los agentes de seguridad de los clientes se transmiten mediante conexiones HTTPS
seguras con TLS 1.2.
Acceso a datos
Todos los accesos a las oficinas y redes de Trend Micro están estrictamente controlados
solo para personas autorizadas o acompañadas. El acceso se realiza mediante un sistema
de tarjetas llave y se requiere aprobación antes de permitir la entrada en zonas sensibles.
La infraestructura de Worry-Free Business Security Services se aloja en AWS.
Worry-Free Business Security Services se aloja en una subred muy restringida sin acceso directo a Internet. Solo un conjunto
limitado de administradores tiene acceso a Worry-Free Business Security Services para tareas de mantenimiento. El acceso de los operadores se realiza a través de
conexiones cifradas seguras y protegidas con múltiples capas de red y controles de
acceso.
El acceso está restringido a determinadas direcciones IP permitidas y se supervisa
mediante Trend Micro Deep Security (Trend Micro Cloud One Endpoint & Workload Security).
Cualquier acceso sospechoso genera alertas. La investigación de las alertas se realiza
de acuerdo con los procedimientos de gestión de incidentes.
No se utilizan subcontratistas en el desarrollo ni en la explotación de Worry-Free Business Security Services.
Registros de seguridad
Worry-Free Business Security Services utiliza el agente Trend Micro Cloud One para supervisar: Antimalware, Reputación
Web, Prevención de intrusiones, Supervisión de actividad, Supervisión de integridad
e Inspección de registros. Todos los accesos a la infraestructura se supervisan y
registran a través de los servicios de seguridad nativos que ofrece Microsoft Azure.
Worry-Free Business Security Services permite alertas automáticas y emplea personal de guardia 24 horas al día, 7 días
a la semana. Los registros de seguridad de todos los sistemas se revisan cada día.
Si se sospecha de un incidente de seguridad, se comunica inmediatamente al Centro
de operaciones de Trend Micro Security (SOC). Los posibles incidentes se priorizan
en función de la gravedad del incidente sospechoso y se asigna un equipo del SOC,
así como expertos técnicos, para investigarlo.
Estos registros permanecen en la región que aloja la cuenta de Worry-Free Business Security Services y los clientes no tienen acceso a ellos. Para obtener más información sobre las regiones
cubiertas por Worry-Free Business Security Services consulte Aviso sobre la recopilación de datos de Worry-Free Business Security Services.
Retención de datos
En cuanto a la retención de registros, Worry-Free Business Security Services aplica políticas de retención que purgan datos cuando ya no se necesitan para el
fin para el que se recopilaron. Worry-Free Business Security Services conserva la información sin procesar recopilada durante 30 días. Cuando caduca una
licencia, todos los datos se eliminan automáticamente después de 60 días (un período
de gracia de 30 días y un período de bloqueo de 30 días).
Copia de seguridad
Las bases de datos de Worry-Free Business Security Services se copian diariamente y se conservan por separado con varias copias. Periódicamente,
se realizan pruebas de validación de las copias de seguridad con fines de recuperación
en caso de catástrofe. Las normas de seguridad y las políticas, procedimientos y controles
se verifican, documentan y auditan internamente y por terceros evaluadores.
Recuperación en caso de desastre y continuidad del negocio (DR)
Trend Micro prepara los BCP de las operaciones de tratamiento de la información basándose
en los resultados del BIA y realiza el simulacro de BCP al menos una vez al año. El
BCP está cubierto por nuestra certificación ISO 27001.
Worry-Free Business Security Services tiene los siguientes objetivos:
-
Objetivo de tiempo de recuperación (RTO): 2 horas
-
Objetivo de punto de recuperación (RPO): 24 horas
Las bases de datos cuentan con replicación en tiempo real y copias de seguridad diarias
para mitigar los problemas.
Eliminación de datos
Para enviar una solicitud de eliminación de datos, visite:
La norma ISO 27001 contiene disposiciones relativas a la destrucción de datos. Worry-Free Business Security Services, Microsoft Azure y AWS son compatibles con la norma ISO 27001.
Los clientes pueden iniciar una solicitud de eliminación de datos personales enviando
un correo electrónico a Trend Micro a la dirección gdpr@trendmicro.com.
Formación de los empleados
Los desarrolladores de software de Worry-Free Business Security Services reciben formación en prácticas de codificación segura utilizando un plan de estudios
estándar del sector basado en SANS 25/OWASP Top 10. Las campañas de formación se llevan
a cabo anualmente y cuando un empleado se incorpora a la empresa. Todos los empleados
deben cumplir las políticas de uso aceptable de Internet, ordenadores, acceso remoto
y dispositivos móviles de Trend Micro. El incumplimiento de estas políticas puede
dar lugar a medidas disciplinarias, que pueden incluir el despido. Los equipos de
desarrollo de Worry-Free Business Security Services emplean personal especializado en la seguridad de los productos. Las pruebas de seguridad,
la revisión del código seguro y el modelado de amenazas forman parte del ciclo de
vida del desarrollo. Para obtener más información sobre nuestras mejores prácticas
de codificación segura, consulte la página Trend Micro Trust Center for Compliance.
Trend Micro se adhiere a las siguientes políticas y normas sobre contraseñas:
-
Todas las contraseñas deben cambiarse al menos trimestralmente.
-
Las contraseñas no deben introducirse en mensajes de correo electrónico u otras formas de comunicación electrónica.
-
Las contraseñas no deben compartirse ni revelarse a nadie.
-
Las contraseñas deben cambiarse inmediatamente si se sospecha que están en peligro.
-
Las contraseñas deben cifrarse durante la transmisión y almacenarse en formato de hash con salt.
-
Las contraseñas deben tener como mínimo ocho caracteres alfanuméricos.
-
Las contraseñas deben contener caracteres en mayúsculas y minúsculas (por ejemplo, a-z, A-Z).
-
Se aplica la prevención de reutilización de contraseñas.
-
Las contraseñas no deben basarse en información personal, nombres de familiares, etc.
Control de cambios
Garantizar que nuestros clientes siguen recibiendo las funciones de seguridad más
recientes de forma segura y fiable es una prioridad clave para nuestro equipo. Además
de las prácticas de desarrollo en torno a la revisión de código, pruebas funcionales
y pruebas de escala, así como nuestras pruebas de penetración y exploración de vulnerabilidades,
realizamos varios pasos para garantizar que las actualizaciones de los servicios se
introduzcan de forma segura y controlada. Todas las actualizaciones de servicio se
introducen en pequeñas actualizaciones incrementales que se implementan en primer
lugar en un entorno de ensayo y, a continuación, en producción. Cada cambio se supervisa
de forma minuciosa y se implementan varios procedimientos, tanto automatizados como
manuales, para manejar las situaciones que puedan surgir. Todas las actualizaciones
del servicio se introducen de forma transparente para los clientes y se pueden revertir
de forma transparente, en caso de que surjan problemas imprevistos.
Las actualizaciones de aplicaciones en el entorno de Worry-Free Business Security Services se completan tras cumplir los objetivos de calidad. Trend Micro utiliza las prácticas
recomendadas para los cambios, incluidos los procesos de aprobación y copias de seguridad
completas. Worry-Free Business Security Services dispone de varios entornos de desarrollo y pruebas dedicados. Cualquier cambio solicitado
se revisa en primer lugar por parte de los participantes técnicos para determinar
la urgencia y el impacto potencial de los cambios. Todos los cambios requieren un
plan de reversión documentado. Se realiza un seguimiento de estos cambios y se graban
en un sistema de control de cambios.
Administración de vulnerabilidades
Las vulnerabilidades se supervisan y se rastrean continuamente. A cada vulnerabilidad
se le asigna una puntuación de CVSS. Los requisitos de aplicación de parches que especifican
los plazos para abordar una vulnerabilidad según la gravedad basada en CVSS se incluyen
en la Política de conformidad de desarrollo seguro. El software Worry-Free Business Security Services en el entorno de Worry-Free Business Security Services se actualiza quincenalmente para utilizar el último código base disponible, incluidas
las correcciones de vulnerabilidades. El equipo de Worry-Free Business Security Services es responsable de aplicar la revisión del software de Worry-Free Business Security Services y de los servicios AWS compatibles. Los clientes son responsables de actualizar los
agentes de seguridad implementados en sus cargas de trabajo.
Análisis de código
El código fuente de Trend Micro se explora mediante análisis de código estático con
herramientas estándar de la industria como Fortify, BlackDuck, etc., que se implementan
en cada fase o etapa de desarrollo. Además, Trend Micro cuenta con un sistema interno
de Revisión de la legalidad y las vulnerabilidades de proyectos (Project Legal and
Vulnerability Review System, PLVRS) para identificar las vulnerabilidades de terceros.
Las pruebas de seguridad, la revisión segura del código y el modelado de amenazas
también forman parte del ciclo de vida de desarrollo de todos los productos de Trend
Micro.
Worry-Free Business Security Services pasa por estrictos controles de calidad desde la fase de desarrollo hasta cada lanzamiento.
Tras el lanzamiento, los equipos realizan exploraciones de vulnerabilidades de forma
semanal y automatizada. La gravedad de las vulnerabilidades se califica mediante la
puntuación de CVSS. Las vulnerabilidades críticas deben solucionarse en el plazo de
un mes o mediante medidas de mitigación o soluciones alternativas.
Evaluación de aplicaciones web
Trend Micro InfoSec lleva a cabo evaluaciones de aplicaciones web de Worry-Free Business Security Services para cualquier publicación principal y, al menos, una vez al año mediante herramientas
de seguridad líderes con análisis dinámico.
Para obtener más información sobre el programa de respuesta a vulnerabilidades, consulte
el sitio web de Trend Micro Vulnerability Response.
Respuesta a la incidencia
Trend Micro cuenta con un equipo dedicado a la seguridad de la información (InfoSec)
que se encarga de garantizar el cumplimiento de las políticas de seguridad de Trend
Micro. Los ingenieros de Worry-Free Business Security Services se ponen inmediatamente en contacto con el equipo de InfoSec cuando se detecta un
incidente de seguridad. Además, InfoSec supervisa de forma independiente los registros
del entorno de Worry-Free Business Security Services. Si se detecta un incidente de seguridad, se le da prioridad en función de la gravedad.
Se asigna un equipo especializado de expertos técnicos para investigar, asesorar sobre
procedimientos de contención, realizar análisis forenses y gestionar la comunicación.
Tras una incidencia, el equipo examina la causa principal y revisa el plan de respuesta
en consecuencia. En el caso de que se produzca una infracción que afecte a los datos
de los clientes, Trend Micro cumplirá sus obligaciones en virtud del RGPD. Para obtener
más información, consulte la página Trend Micro GDPR Compliance.
Certificaciones
ISO 27001, ISO 27014, ISO 27034-1, ISO 27017 y SOC2
Trend Micro y Trend Micro Cloud Services se someten a auditorías anuales realizadas
por auditores externos de confianza para garantizar que cumplimos las mejores prácticas
del sector. ISO 27001 es una norma mundial y se utiliza para definir el sistema general
de gestión de la seguridad de la información de Trend Micro. La norma ISO 27001 abarca
aspectos como la seguridad de los recursos humanos, el control de acceso, la seguridad
de las operaciones y la gestión de incidentes relacionados con la seguridad de la
información. La certificación SOC Tipo II se utiliza para validar los controles de
seguridad de nuestros sistemas informáticos e incluye los sistemas internos de Trend
Micro, así como sus ofertas SaaS. Los controles SOC de Tipo II incluyen elementos
como la seguridad (cortafuegos, IPS, etc.), la disponibilidad (recuperación de desastres
y gestión de incidentes), la confidencialidad (cifrado y control de acceso), la privacidad
y la integridad del procesamiento (garantía de calidad).
Worry-Free Business Security Services cuenta con las certificaciones ISO 27001, 27014, 27034-1 y 27017. Puede encontrar
los certificados de conformidad en Trend Micro Trust Center for Compliance.
Worry-Free Business Security Services ha completado una evaluación SOC 2 de Tipo II y puede encontrar el informe SOC 3
y el formulario de solicitud del informe SOC 2 en Trend Micro Trust Center for Compliance.