Una de las preguntas más frecuentes que recibimos es: «¿Cuáles son los aspectos técnicos de la seguridad de CiraSync y qué medidas se toman para garantizar la seguridad de la información de los usuarios?». Cuando una empresa decide buscar ayuda externa para la gestión de la información, quiere asegurarse de que se preste la máxima atención.
Como empresa SaaS, CiraSync se integra perfectamente con Microsoft Azure, utilizando el Marco de consentimiento de Azure. Si usted es suscriptor, sus datos se conservan en la nube de Microsoft. Con más de 100 millones de usuarios activos en Microsoft 365 y más certificaciones de seguridad en la nube que ninguna otra empresa, la seguridad de Microsoft Azure es posiblemente la mejor del mundo.
¿Cómo garantiza Microsoft su seguridad?
Microsoft ha convertido en una prioridad garantizar los más altos niveles de estabilidad y seguridad en sus operaciones, a medida que las empresas se trasladan rápidamente a la nube. Su objetivo es hacer que los datos sean accesibles para los usuarios en cualquier lugar, sin comprometer la seguridad.
Un problema habitual es que las soluciones de seguridad más antiguas no están diseñadas para proteger los datos que se ejecutan en aplicaciones SaaS. Los métodos tradicionales, como los cortafuegos, no proporcionan una accesibilidad y visibilidad profundas a las aplicaciones que se encuentran fuera de las instalaciones. Estos métodos no ofrecen protección ni seguridad para las aplicaciones en la nube, ya que solo realizan un seguimiento de una pequeña parte del tráfico y tienen un acceso limitado a muchas de las actividades de las aplicaciones.
La infraestructura de Azure está diseñada como una base segura que puede alojar a millones de clientes simultáneamente, lo que ofrece a los usuarios control y personalización a través de una amplia gama de opciones de seguridad configurables. Azure evita la transferencia no autorizada e involuntaria de información entre implementaciones en una arquitectura multitenant, mediante el aislamiento de redes de área local virtuales, listas de control de acceso, equilibradores de carga y filtros IP, junto con políticas de flujo de tráfico; la traducción de direcciones de red separa el tráfico de red interno del tráfico externo.
En pocas palabras, dado que CiraSync está alojado en servidores Azure, su seguridad es nuestra seguridad.
Sin embargo, entendemos que esto no responde a todas las preguntas, ya que pueden surgir otros puntos vulnerables.
Aquí hay algunas preguntas frecuentes más.
¿Cómo gestiona y protege CiraSync los datos de identificación personal?
CiraSync está alojado en Azure. Azure cuenta con más certificaciones de seguridad en la nube que cualquier otro proveedor de servicios en la nube del mundo. Por lo tanto, la seguridad física de los servidores de CiraSync es bastante segura.
Solo se puede acceder a tres máquinas virtuales a través de direcciones IP públicas. Todos los puertos están bloqueados para el tráfico entrante de Internet, con la excepción del panel de control, que permite el puerto 443. La comunicación entre servidores se realiza a través de conexiones LAN en direcciones IP privadas.
Las copias de seguridad permanecen en la nube de Azure. Los registros y cualquier almacenamiento en caché utilizado con fines de rendimiento se eliminan tras 30 días.
¿Cuál es el flujo de datos arquitectónico del sistema?
No hay documentos formales sobre arquitectura disponibles para su publicación. CiraSync se conecta con Azure AD usando la API Graph. El acceso a Microsoft 365 Exchange se realiza a través de Exchange Web Services.
Todos los datos de los clientes se transmiten a través de la red Microsoft Azure, no a través de Internet.
La información del suscriptor del inquilino del backend se almacena en el servidor SQL. Los datos de registro y almacenamiento en caché se guardan en MongoDB. La información de facturación se almacena en QuickBooks Online. Todas las transacciones con tarjeta de crédito se realizan a través de Authorize.Net y cumplen con la normativa PCI.
Por motivos de rendimiento, las listas de contactos y los calendarios se almacenan en caché en una base de datos local que se ejecuta en cada trabajador. Toda la información almacenada en caché se elimina automáticamente después de 30 días.
Tenga en cuenta que los datos en reposo se cifran en el sistema de archivos.
¿Cuáles son las políticas de acceso y autenticación de inicio de sesión?
CiraSync no almacena ni solicita contraseñas. No existe ningún código para almacenar las contraseñas de los clientes.
Toda la autentificación se hace a través del proceso de consentimiento de Azure. Una vez que el usuario concede su consentimiento a la aplicación Azure CiraSync, todas las interacciones con los datos del inquilino se realizan mediante el token.
En cualquier momento, puede retirar su consentimiento para CiraSync.
¿Qué políticas se han implementado para impedir las infracciones cometidas por personas con información privilegiada?
El acceso RDP a los servidores está limitado al director técnico y a tres miembros del personal, todos ellos empleados con amplia experiencia y muy comprometidos con el éxito de CiraSync.
Nuestra aplicación de administración y facturación en la nube tiene una lista reducida de miembros del personal que pueden acceder a la consola. No es posible exportar los datos de contacto de los clientes ni los datos del calendario.
¿Tiene información por escrito sobre la política de privacidad?
Puede consultar nuestra Política de privacidad más reciente en su totalidad aquí: /data-privacy-policy/
