Evaluación de riesgos de seguridad y confidencialidad
Revisa los aspectos básicos de la seguridad de Sorenson y la información sobre confidencialidad, incluidas las medidas para salvaguardar la seguridad de la red, las operaciones y el almacenamiento de los datos.
Resumen del programa de seguridad de Sorenson
Sorenson Communication LLC y sus afiliados (en adelante, «Sorenson») han implementado un programa de seguridad informática, que incluye (pero no se limita a) medidas administrativas, físicas, técnicas y organizativas diseñadas para fortalecer la seguridad de la red, las operaciones y el almacenamiento de los datos. Este documento describe el programa de seguridad aplicable a los servicios de Sorenson, de acuerdo con los Términos de Servicio de Sorenson o los Acuerdos de Nivel de Servicio, según corresponda. Sorenson actualiza la política y el procedimiento al menos anualmente o según sea necesario. Trimestralmente, mediante un programa de monitoreo continuo, se revisan los controles para reconfirmar la propiedad del control y el desempeño por parte de los interesados.
Sorenson mantiene políticas y procedimientos para regular los riesgos relacionados con el acceso y la autenticación a los sistemas y datos.
Sorenson mantiene separadas las cuentas de usuario de las de no usuario, aplicando las mejores prácticas en forma de identificadores únicos, mecanismos de autenticación y limitaciones de acceso basadas en requisitos de «mínimo privilegio». Todo acceso no estándar requiere las aprobaciones apropiadas. La administración revisa regularmente el acceso y Sorenson emplea un proceso estándar de aprovisionamiento y desaprovisionamiento de menos de 24 horas. Se registran y supervisan todas las solicitudes de acceso o autenticación. No se revelarán aquí más detalles sobre los controles de acceso que podrían ser usados por un atacante para atacar a Sorenson. En resumen, Sorenson emplea los estándares de la industria o prácticas líderes en la gestión de cuentas y control de acceso a sus sistemas y datos.
Sorenson proporciona formación al personal para mantener el conocimiento de las normas y amenazas actuales.
Las políticas y procedimientos de concienciación de seguridad y capacitación de Sorenson se establecieron para programas de seguridad y confidencialidad, procesos comerciales, sistemas y datos. La capacitación es obligatoria tanto para los nuevos empleados como para los contratistas independientes en el momento de la contratación y anualmente a partir de ese momento; el acceso se inhabilita si la capacitación de concienciación de seguridad no se completa dentro de los plazos establecidos. La capacitación incluye, entre otros temas, higiene general de la seguridad, concienciación sobre la seguridad, uso aceptable de los sistemas de la empresa, manejo de información sensible, riesgos de la cadena de suministro, información personal identificable (Personally Identifiable Information, PII), phishing y respuesta a incidentes.
Las políticas y procedimientos de registro y supervisión de Sorenson se redactaron para cumplir las normas previstas por el sector en materia de registro de eventos, contenido de registros de auditoría, almacenamiento de registros, supervisión automatizada de registros, protección (incluido el no repudio) de sistemas de registro y conservación de registros. También se incluyen en estas políticas y procedimientos los requisitos de respuesta de alerta y notificación en función del riesgo y la criticidad del suceso. El registro y la supervisión se comprueban como parte de nuestros esfuerzos anuales de la certificación SOC 2.
Sorenson cuenta con un equipo interno de cumplimiento de seguridad responsable del monitoreo actual y continuo de los controles de seguridad de Sorenson.
El seguimiento continuo, las evaluaciones anuales, el diseño y desarrollo de sistemas, la ingeniería de seguridad de sistemas y las revisiones de confidencialidad se realizan con regularidad. Mediante las evaluaciones se garantiza que Sorenson cumple los requisitos de seguridad y confidencialidad de la información, se proporciona la información esencial necesaria para tomar decisiones basadas en el riesgo como parte de los procesos de autorización y se cumplen los procedimientos de mitigación de vulnerabilidades. Sorenson conduce evaluaciones de los controles implementados como se documenta en los planes de seguridad y privacidad.
Sorenson emplea un proceso de Plan de Acción más Hitos (PLAN OF ACTION & MILESTONES, POA&M) para la corrección de cualquier control o riesgo que no cumpla las normas. Los riesgos de control se evalúan y actualizan al menos una vez al año y las pruebas de piratería se realizan anualmente o según sea necesario en función de los cambios del sistema.
Sorenson es evaluado por terceros y sigue estándares de la industria como los descritos en la SOC 2.
El entorno de red de Sorenson, la infraestructura de apoyo y los sistemas están protegidos contra cambios no autorizados a través de un proceso de gestión de cambios documentado.
Se identificaron los productos tecnológicos de la información y el software para los que se pueden definir los ajustes de configuración y se mantienen las líneas de base de configuración para esos sistemas. El proceso de gestión de cambios de Sorenson tiene en cuenta el riesgo, la prioridad y el impacto de los cambios y ciertos cambios están sujetos a revisión antes de su aprobación por nuestro Consejo de Control de Cambios («Change Control Board», CCB). Los cambios deben ser aprobados por individuos apropiados que no sean aquellos que los implementan. Solo las personas calificadas y autorizadas pueden acceder a los sistemas para implementar cambios.
La gestión de la configuración y los cambios en los sistemas organizativos implican la propuesta, justificación, implementación, prueba, revisión y eliminación sistemática de los cambios del sistema, incluidas sus actualizaciones y modificaciones.
Sorenson mantiene planes de recuperación en caso de accidentes para los sistemas de apoyo a los clientes, diseñados para garantizar que los sistemas y servicios de los clientes sigan siendo sólidos en caso de fallos, incluidos desastres naturales, fallos de infraestructura o del sistema. Los planes se revisan, actualizan y aprueban por la dirección al menos una vez al año. Se usan proveedores en la nube para los servicios de alojamiento de infraestructuras a nivel mundial, aprovechando las características de alta disponibilidad (High Availability, HA) para garantizar que los servicios de Sorenson no sean propensos a tener puntos únicos de fallas.
Interpretación remota por video (Video Remote Interpreting, VRI)
Los servicios de VRI están disponibles en varias regiones del mundo. El alojamiento de backends para estos servicios se proporciona en centros de datos ubicados físicamente dentro de la región que los usa.
Servicio de retransmisión de video (Video Relay Service, VRS)
Los servicios de VRS se brindan solo en los EE. UU. y en Puerto Rico, por lo tanto, los servicios backend se alojan únicamente en regiones de los EE. UU.
Sorenson tiene políticas y procedimientos de identificación y autenticación definidos para abordar los requisitos de autenticación.
Los usuarios se autentican en sistemas e infraestructuras de producción y de no producción con cuentas únicas. Los criterios de contraseña siguen o superan las mejores prácticas del sector. El acceso a los sistemas y la infraestructura se configura en función de las funciones y sigue una política de mínimos privilegios. Se aplica la autenticación multifactor (Multi-Factor Authentication, MFA) para el acceso remoto, las cuentas con privilegios y el acceso de los usuarios a los sistemas de aplicaciones en línea, cuando corresponda.
Sorenson mantiene políticas y procedimientos para gestionar los incidentes de seguridad de acuerdo con las mejores prácticas. Estos procedimientos se practican y actualizan. Los responsables definidos en el plan de respuesta a incidentes están capacitados en sus funciones y responsabilidades. Los planes de respuesta a incidentes incluyen consideraciones para identificar, evaluar, responder, clasificar, limitar y recuperarse de varios tipos de incidentes. Las prácticas de incidentes de Sorenson también incluyen consideraciones paralelas para la inclusión de representantes externos, comunicaciones y notificación a los clientes en caso de que se produzca una violación de la seguridad. Sorenson mantiene un centro de operaciones de seguridad y red para la supervisión continua y la respuesta a posibles incidentes de seguridad.
Sorenson desarrolla, difunde, revisa y actualiza procedimientos para facilitar la implementación de controles de mantenimiento en toda la empresa.
Sorenson mantiene políticas y procedimientos para proteger adecuadamente los medios y su uso.
Todos los medios que contienen información confidencial están cifrados según los estándares de la industria o mejor que ellos. No se permiten dispositivos de almacenamiento externos sin la autorización de los equipos de seguridad. Los medios que contienen información confidencial o registros del sistema se desinfectan según los estándares actuales de la industria.
Solo las personas autorizadas pueden acceder a las ubicaciones, instalaciones y activos de Sorenson. Las personas sin acceso autorizado son acompañadas por personas autorizadas a acceder físicamente para garantizar que la información y los activos confidenciales no se vean comprometidos. El acceso de visitantes se coordina con anticipación y se registra. Sorenson monitorea activamente los puntos de acceso en todas las ubicaciones de la empresa según los estándares y tecnologías actuales de la industria.
Sorenson mantiene un programa de seguridad de información acorde con los estándares de la industria. Este programa asegura la confidencialidad, integridad y disponibilidad de la información procesada, almacenada y transmitida por los sistemas de Sorenson.
Sorenson ha nombrado a un directivo sénior, el Director de Seguridad de la Información (Chief Information Security Officer, CISO), responsable de la implantación y el mantenimiento del programa de seguridad. El programa incluye equipos de cumplimiento, gobierno, arquitectura y operaciones para hacer cumplir las funciones del programa. El programa de seguridad de Sorenson mantiene un proceso de POA&M para asegurar que los riesgos sean comprendidos y remediados apropiadamente. Sorenson hace un seguimiento de los requisitos de seguridad para un programa de seguridad de la información a nivel de toda la organización y describe los controles existentes para cumplir con dichos requisitos. Se mantienen inventarios de sistemas y se hace un seguimiento de las medidas de desempeño. Sorenson opera funciones de supervisión continua para medir la eficacia del programa de seguridad. La gestión del programa incluye seguros para ayudar a minimizar el impacto fiscal de los eventos cibernéticos.
Sorenson desarrolló sus productos y servicios para minimizar la necesidad de información personal identificable (personally identifiable information, PII). Toda la IIP está protegida según los estándares de la industria.
El Director de Privacidad considera los requisitos aplicables para incluirlos en las políticas organizativas y actualiza la Política de privacidad al menos una vez al año. Sorenson sigue los estándares de la industria respecto a la autoridad para procesar información personalmente identificable documentada en las políticas y avisos de confidencialidad, avisos del sistema de registros, evaluaciones del impacto de la confidencialidad (Privacy Impact Assessments, PIA), avisos y declaraciones de confidencialidad, contratos y otra documentación. Sorenson considera las protecciones de PII incluidas en cada paso del ciclo de vida de la información incluyendo la creación, recolección, uso, procesamiento, almacenamiento, mantenimiento, diseminación, divulgación y eliminación.
Servicio de retransmisión de video (VRS)
Sorenson se compromete a proporcionar un registro de los datos de los clientes a los usuarios finales y a restringir el uso de los datos de los clientes como se indica en la Política de privacidad. Las videollamadas no se graban; los servicios de interpretación de lenguaje de señas estadounidense (ASL) se hacen en tiempo real por un Intérprete de la empresa. Los intérpretes firman acuerdos de confidencialidad que cubren la conversación y las partes de cualquier videollamada. No se graban datos personales durante ninguna llamada. La recopilación de datos relativos a los registros detallados de las llamadas (incluido el número llamado, el número llamante y la hora y la duración de la llamada) se usa con fines de facturación. Básicamente, los datos recogidos son datos de telemetría usados para calcular los minutos necesarios para la facturación y la información relacionada con la cuenta del cliente.
Sorenson mantiene un proceso de evaluación de riesgos para identificar, analizar, clasificar y gestionar los riesgos para nuestra organización y las tecnologías que respaldan nuestra prestación de servicios.
Cada año se llevan a cabo evaluaciones completas de los riesgos y, en caso necesario, evaluaciones ad hoc o actualizaciones. Se hace un seguimiento de los riesgos, se informa de ellos y se corrigen de acuerdo con su prioridad. Sorenson también tiene en cuenta los posibles impactos adversos para y desde otras organizaciones a través de nuestro programa de evaluación de proveedores de gestión de riesgos de terceros (Third-Party Risk Management, TPRM).
Servicio de retransmisión de video (VRS)
El equipo de Riesgos de Seguridad y Cumplimiento hace una evaluación trimestral de los controles internos fundamentales para el cumplimiento de los compromisos del servicio de Sorenson y los requisitos del sistema. Los resultados se comparten con el equipo ejecutivo, se hace un seguimiento y se corrigen. Se han establecido controles para garantizar que los procesos clave funcionan según lo previsto. Estas actividades están diseñadas para abordar tanto los riesgos empresariales pertinentes como la infraestructura subyacente relevante para las tecnologías que prestan servicios a los clientes. Las actividades de control se integran en las políticas y procedimientos descritos en la sección de Políticas y Procedimientos.
Sorenson mantiene políticas y procedimientos que garantizan la incorporación de la seguridad en los procesos de desarrollo y adquisición de servicios y sistemas.
Todos los servicios y tecnologías adquiridos se examinan mediante nuestro proceso de Gestión de Riesgos de Terceros (TPRM). Toda la tecnología nueva o modificada se somete a un proceso de seguridad y privacidad por diseño (Security & Privacy by Design, SPbD) que identifica las funciones de la tecnología, evalúa los riesgos, asigna requisitos técnicos para garantizar el cumplimiento de la seguridad y la privacidad, documenta la tecnología y la valida y prueba antes de su lanzamiento.
Sorenson usa distintos controles y protecciones estándar de la industria para los sistemas de información y comunicaciones de la organización. Sorenson usa sistemas de archivos compartidos encriptados, cifrado para datos en tránsito, medios para cifrar correos electrónicos y una herramienta de portal de transferencia segura de datos. Las tecnologías de cifrado se usan para proteger la comunicación y la transmisión de datos a través de redes públicas. Muchos de los sistemas que Sorenson usa no registran ninguna información sobre los usuarios. Los datos recopilados de los clientes se cifran en reposo. El acceso a las claves de cifrado es limitado y solo mediante autorización. Las claves de cifrado están protegidas. Sorenson identifica las áreas que requieren la separación del sistema, la seguridad y la funcionalidad del usuario, junto con la implementación de protecciones para aumentar la confidencialidad, integridad y disponibilidad.
Sorenson usa varias herramientas para monitorear los sistemas de información y los datos de la organización. Estas herramientas de monitoreo se correlacionan activamente y alertan sobre posibles eventos de riesgo dentro de los activos/redes de Sorenson.
Sorenson prueba el software y el firmware en busca de fallas o posibles efectos secundarios. Las protecciones de código malicioso en las capas de red y de punto final se actualizan y modernizan continuamente. Los sistemas de los clientes se desarrollan con prácticas de integridad, validación y prueba de códigos líderes en la industria para garantizar la protección de los datos de los clientes. La separación de funciones se usa para permitir que los administradores privilegiados hagan cambios según la política, aunque limita que otros usuarios hagan cambios no autorizados. Como medida de ahorro de tiempo y gastos, Sorenson aplica un programa de seguridad y privacidad por diseño (SPbD). El objetivo es adoptar procesos metódicos y repetibles para buscar riesgos de seguridad y de privacidad para reducir la posibilidad de sorpresas. Este proceso aborda los problemas de seguridad de manera ordenada, lo que brinda a Sorenson más seguridad de que las brechas se cierran de manera adecuada y lo más rápido posible e incorpora consideraciones de seguridad y privacidad en las partes iniciales del ciclo de vida del desarrollo para reducir la necesidad y los costos de la corrección de riesgos.
Sorenson reduce al mínimo los productos y servicios suministrados por otros países y organizaciones y, cuando procede, exige que dichas partes se sometan a una revisión de conformidad, legal y de riesgo. Los acuerdos de no divulgación se usan ampliamente para garantizar mejor que los sistemas y la propiedad intelectual desarrollados y propiedad de Sorenson y sus afiliados no sean explotados o robados. Sorenson exige acuerdos de notificación a los proveedores de la cadena de distribución en caso de incidente de seguridad.
Sorenson evalúa a los nuevos proveedores para identificar los riesgos internos y externos asociados con la tecnología de la empresa, los socios comerciales, los compromisos de servicio y el fraude. Sorenson revisa los informes del proveedor de servicios externo sobre controles y riesgos de seguridad (por ejemplo, certificaciones ISO, informe SOC 2, cuestionario detallado o información alternativa) para comprobar si cumplen con las necesidades de servicio de Sorenson, las leyes y las obligaciones contractuales. Los problemas identificados se evalúan por su impacto en Sorenson y en los compromisos de servicio de la empresa. Los proveedores de alto riesgo se reevalúan anualmente.