En Aivo, sólo estamos tranquilos si nuestros clientes lo están.
En Aivo, tenemos nuestras propias certificaciones ISO (ISO 27001 e ISO 9000), que garantizan el cumplimiento de los requisitos legales y el manejo seguro de la información. El resto de las certificaciones son de nuestro proveedor de infraestructura en la nube, Amazon Web Services (AWS aws.amazon.com/security).
Nuestro entorno de producción está completamente separado de DEV, TEST y QA. Aivo no utiliza datos del entorno de producción en otros entornos.
Contamos con AWS IAM para administrar credenciales de AWS separadas y restrictivas para cada uno de nuestros entornos. Esto limita los servicios disponibles para cada entorno y los divide en compartimentos.
Gracias a un estricto sistema de control de acceso basado en roles (RBAC), cualquier tipo de acceso incorrecto es evitado. De la misma manera, empleamos la autenticación de dos factores para estos accesos.
Para garantizar la protección de los datos, se aplican estrictos controles de acceso, sumado a la implementación de cifrado robusto.
El personal de Aivo no accede ni interactúa con los datos o aplicaciones de los clientes como parte de las operaciones normales, a menos que así sea solicitado o cuando lo exija la ley.
Todos los datos de nuestros clientes (ya sea que estén almacenados o en tránsito a través de redes públicas) se cifran utilizando TLS 1.2 o superiores. Nuestra implementación de TLS impone el uso de cifrados fuertes aprobados por la industria.
Las bases de datos se cifran utilizando el algoritmo AES-256.
Aivo ha desarrollado un esquema de alta disponibilidad basada en clusters del tipo Activo-Activo, apoyado en la utilización de multizonas, garantizando que cada servicio se encuentra activo en al menos tres centros de cómputos simultáneamente.
También se ha implementado un esquema de réplica de bases de datos, a partir de la cual existe una base Master y una Slave, cada una de las cuales tiene una réplica automática en una zona diferente. Este despliegue provee y mantiene automáticamente una réplica en espera sincrónica dentro de una zona de disponibilidad diferente.
Toda la solución se encuentra detrás de un cluster de balanceadores, los cuales se encargan de distribuir la carga de trabajo entre todas las instancias.
Ofrecemos nuestros servicios a través de un esquema Multi-Tenant. Esto implica que se comparte la aplicación y la infraestructura entre varios clientes.
Para garantizar la confidencialidad, integridad y disponibilidad de la información de los clientes, nuestra solución garantiza que:
Somos GDPR compliance. Brindamos protección a la Información personal de los Clientes y Usuarios gracias a medidas de seguridad técnicas, físicas y administrativas especialmente diseñadas.
No almacenamos información sensible de nuestros clientes. Los datos que recolectamos están estrictamente detallados en nuestra Política de Privacidad.
Utilizamos la información recolectada sólo de conformidad y para los objetivos específicamente informados.
Garantizamos los derechos de Protección de Datos de Clientes y Usuarios brindando los medios para hacer efectivo su ejercicio.
En caso de inquietud se puede contactar con nuestro Oficial de Privacidad: Florencia Scarafía (legal@aivo.co)
Contamos con proveedores externos que analizan y monitorean periódicamente nuestras aplicaciones y nuestra red para encontrar vulnerabilidades. Esto nos ayuda a evitar posibles problemas de seguridad en nuestras aplicaciones, servidores y capas de red. Las evaluaciones incluyen:
Asimismo, realizamos revisiones periódicas de código estático y dinámico.
Cumpliendo con el compromiso de mejorar continuamente la ciberseguridad, Aivo incorporó el acceso a la plataforma vía SSO. Se podrá ingresar a my.aivo.co mediante diferentes protocolos, como SAML.
Al utilizar un único punto de logeo y set de credenciales, se potencia la productividad y la experiencia del usuario. Al mismo tiempo, refuerza la seguridad de la compañía contra las amenazas de la vida digital moderna.
Todos los eventos del sistema son registrados en un servicio de registro central, siendo cualquier evento inusual marcado para su revisión.
Todas las acciones del usuario se acreditan en un registro de acceso seguro, el cual reconoce la información del usuario, la marca de tiempo, la dirección IP, etc y los recursos a los que se accede. Esta información luego puede recuperarse rápidamente en caso de que se requiera una investigación forense.
Planeamos notificar siempre a nuestros clientes sobre incidentes relacionados a la seguridad de sus datos (tan pronto como sea seguro y prudente hacerlo), y compartiremos cualquier información relevante para permitir que nuestros clientes tomen las acciones necesarias de su lado.
Trabajamos constantemente para garantizar que nuestro sistema sea lo más seguro posible. Si tienes dudas al respecto, contáctate con nuestro equipo de seguridad a security@aivo.co.