En Judge.me, la confianza es la piedra angular de nuestra operación. La seguridad es una de nuestras principales preocupaciones, con un enfoque dedicado en documentar y revisar rutinariamente nuestras políticas y procedimientos de seguridad. Nuestro objetivo principal es infundir confianza en nuestros clientes cuando utilizan nuestras aplicaciones y servicios de atención al cliente, sabiendo que su información personal y los registros de la tienda en línea permanecen protegidos.
Nuestra dedicación a la seguridad se ejemplifica con la obtención de la certificación SOC2 Tipo 2. Esta certificación no sólo afirma el diseño y la implementación adecuados de los controles, sino también el funcionamiento efectivo de estos controles durante un período específico.
Nuestro cumplimiento de SOC2 Tipo 2:
Personal seguro
Nos tomamos en serio la seguridad de nuestros datos y los de nuestros clientes y nos aseguramos de que solo el personal examinado tenga acceso a sus recursos.
Todos nuestros contratistas y empleados se someten a verificaciones de antecedentes antes de ser contratados o empleados por nosotros de acuerdo con las leyes locales y las mejores prácticas de la industria.
Todos los empleados, contratistas y otras personas que necesitan acceder a información confidencial o interna firman acuerdos de confidencialidad u otros tipos de acuerdos de no divulgación (NDA).
Incorporamos la cultura de seguridad en nuestro negocio mediante la realización de pruebas y capacitación de seguridad para los empleados utilizando técnicas y vectores de ataque actuales y emergentes.
Desarrollo seguro
Todos nuestros proyectos de desarrollo, incluidos los productos de software locales, los servicios de soporte y nuestras propias ofertas de Digital Identity Cloud, siguen principios de ciclo de vida de desarrollo seguro.
Todo el desarrollo de nuevos productos, herramientas y servicios, y los cambios importantes en los existentes, se someten a una revisión de diseño para garantizar que los requisitos de seguridad se incorporen al desarrollo propuesto.
Todos los miembros del equipo que participan regularmente en el desarrollo de cualquier sistema reciben una capacitación anual sobre desarrollo seguro en los lenguajes de codificación o scripting con los que trabajan, así como cualquier otra capacitación relevante.
El desarrollo de software se lleva a cabo de acuerdo con las 10 recomendaciones principales de OWASP para la seguridad de aplicaciones web.
Pruebas seguras
Implementamos pruebas de penetración de terceros y escaneos de vulnerabilidades de todos los sistemas de producción y de Internet de forma regular.
Todos los sistemas y servicios nuevos se escanean antes de implementarse en producción.
Realizamos pruebas de penetración tanto por parte de ingenieros de seguridad internos como de empresas de pruebas de penetración externas en nuevos sistemas y productos o cambios importantes en sistemas, servicios y productos existentes para garantizar una visión integral y real de nuestros productos y entorno desde múltiples perspectivas.
Realizamos pruebas de seguridad de aplicaciones de software estáticas y dinámicas de todo el código, incluidas las bibliotecas de código abierto, como parte de nuestro proceso de desarrollo de software.
Seguridad en la nube
Nuestra nube proporciona máxima seguridad con un aislamiento total del cliente en una arquitectura de nube moderna y multiinquilino.
Nuestra nube aprovecha las características nativas de seguridad física y de red del servicio de nube y depende de los proveedores para mantener la infraestructura, los servicios y las políticas y procedimientos de acceso físico.
Todos los datos y los entornos de nube de los clientes están aislados mediante nuestro enfoque de aislamiento patentado. Cada entorno de cliente se almacena dentro de una zona de confianza dedicada para evitar cualquier mezcla accidental o maliciosa.
Todos los datos también se cifran en reposo y en transmisión para evitar cualquier acceso no autorizado y evitar violaciones de datos. Toda nuestra plataforma también es monitoreada continuamente por expertos dedicados y altamente capacitados.
Separamos los datos de cada cliente y los nuestros, utilizando claves de cifrado únicas para garantizar que los datos estén protegidos y aislados.
La protección de datos del cliente cumple con los estándares SOC 2 para cifrar los datos en tránsito y en reposo, garantizando que los datos y la información confidencial del cliente y de la empresa estén protegidos en todo momento.
Implementamos controles de acceso basados en roles y los principios del acceso menos privilegiado, y revisamos la revocación del acceso según sea necesario.
¿Cómo llegamos allí?
Integramos nuestras herramientas y sistemas, incluidos G Suite, Github, AWS, Heroku, MongoDB, etc., con Vanta, para automatizar el complejo proceso de recopilación de evidencia para auditorías de seguridad.
Vanta nos ayuda a manejar la capacitación en seguridad de los empleados, el monitoreo de dispositivos y las alertas automatizadas sobre cualquier control de interés. Con un lugar centralizado para administrar nuestra seguridad y cumplimiento, garantizamos que nuestras políticas, procedimientos y controles estén bien administrados y mantenidos.
Prescient Assurance, líder en certificaciones de seguridad y cumplimiento para empresas B2B y SAAS a nivel mundial, llevó a cabo la auditoría. Esta auditoría va un paso más allá y evalúa la eficacia operativa de los controles durante un período específico, normalmente al menos tres meses. Examina no sólo el diseño sino también la implementación y el seguimiento continuo de los controles. El informe Tipo 2 proporciona garantía de que los controles han estado implementados y funcionando de manera efectiva durante un período de tiempo.
Para obtener una copia de nuestro informe SOC2 Tipo 2, póngase en contacto con [email protected].