Governanza
Los equipos de Seguridad y Privacidad que usa Khor están respaldados. Establecen políticas y controles, supervisan el cumplimiento de dichos controles y demuestran nuestra seguridad y cumplimiento normativo ante auditores externos.
Nuestras políticas se basan en los
siguientes principios fundamentales:
El acceso debe limitarse únicamente a quienes tengan una necesidad legítima de negocio y debe otorgarse conforme al principio de mínimo privilegio.
Los controles de seguridad deben implementarse y aplicarse en capas de acuerdo con el principio de defensa en profundidad.
Seguridad y Cumplimiento Normativo
Khor mantiene una certtificación SOC 2 Tipo II. Nuestro informe está disponible en nuestro centro de confianza.
Los controles de seguridad deben aplicarse de manera consistente en todas las áreas de la organización.
La implementación de los controles debe ser iterativa, evolucionando continuamente en términos de mayor efectividad, mayor auditabilidad y menor fricción.
Protección de datos
Data en reposo
Todos los almacenes de datos que contienen información de clientes, así como los buckets de S3, están cifrados en reposo.
Además, los datos sensibles están protegidos mediante cifrado a nivel de campo.
Esto significa que los datos se cifran incluso antes de llegar a la base de datos, de modo que ni el acceso físico ni el acceso lógico a la base de datos son suficientes para leer la información más sensible.
Data en tránsito
Khor utiliza TLS 1.2 o superior en todos los casos en que los datos se transmiten a través de redes potencialmente inseguras.
También empleamos mecanismos como HSTS (HTTP Strict Transport Security) para maximizar la seguridad de los datos en tránsito.
Las claves y certificados TLS de los servidores son gestionados por AWS y se implementan mediante Equilibradores de carga de aplicaciones (Application Load Balancers).
Administración secreta
Las claves de cifrado se gestionan mediante AWS Key Management System (KMS).
KMS almacena el material criptográfico en Módulos de Seguridad de Hardware (HSM), lo que impide el acceso directo por parte de cualquier persona, incluidos empleados de Amazon.
Las claves almacenadas en los HSM se utilizan para el cifrado y descifrado a través de las API de KMS de Amazon.
Los secretos de la aplicación se cifran y almacenan de forma segura mediante AWS Secrets Manager y Parameter Store, y el acceso a estos valores está estrictamente limitado.
Seguridad empresarial
Protección de endpoints
Todos los dispositivos corporativos se gestionan de manera centralizada y cuentan con software de gestión de dispositivos móviles (MDM) y protección antimalware.
Las alertas de seguridad de los endpoints se supervisan con cobertura 24/7/365.
Utilizamos software MDM para aplicar configuraciones seguras en los dispositivos, como el cifrado de disco, la configuración del bloqueo de pantalla y las actualizaciones de software.
Educación en seguridad
Proporcionamos capacitación integral en seguridad a todos los empleados durante su incorporación y de forma anual mediante módulos educativos dentro de una plataforma.
Además, todos los nuevos empleados asisten a una sesión obligatoria durante el onboarding centrada en principios y temas de seguridad.
Todos los nuevos ingenieros también asisten a una sesión obligatoria en vivo enfocada en principios y prácticas de programación segura.
El equipo de seguridad comparte periódicamente informes sobre amenazas con los empleados para informarles sobre actualizaciones importantes relacionadas con la seguridad y la protección que requieren atención o acción especial.