Inicio Protección de datos y seguridad Gamelearn

Protección de datos y seguridad Gamelearn

Más de 1.500 empresas en más de 50 países confían en Gamelearn para gestionar sus datos. Nuestro compromiso con ellos es total: nuestras redes, servidores y aplicaciones cuentan con los mayores estándares de seguridad para garantizar que los datos de nuestros clientes y de sus alumnos están protegidos. Nuestros clientes están tranquilos sabiendo que su información está a salvo, sus interacciones son seguras y sus negocios están protegidos.

Centro de datos y seguridad de redes

Seguimos las mejores prácticas de la industria para asegurarnos de la confidencialidad e integridad de tus datos. Los servidores de Gamelearn están alojados en facilidades Tier IV o III+, SSAE-16, PCI DSS, o ISO 27001. Nuestros equipos de Customer Success, IT y Seguridad trabajan 7 días a la semana y 24 horas al día para responder a cualquier alerta de seguridad.

Seguridad de aplicaciones

Tomamos todas las medidas necesarias para desarrollar y testar amenazas de seguridad contra nuestros sistemas y asegurarnos de la protección de los datos de nuestros clientes. Además, Gamelearn también ha utilizado a expertos externos en seguridad para que realicen tests y pruebas de penetración en las distintas aplicaciones que conforman nuestra familia de serious games.

Características de seguridad del producto

Hacemos que nuestros clientes y nuestros alumnos puedan gestionar el acceso a nuestra plataforma fácilmente, con opciones de autentificación y single-sign on (SSO). Todas las comunicaciones con los servidores de Gamelearn están encriptadas utilizando los estándares de la industria HTTPS sobre redes públicas. Esto significa que el tráfico entre tú y Gamelearn es completamente seguro.

Cumplimiento GDPR

Implementamos las mejores prácticas de seguridad no sólo en línea con las prácticas de compliance de la industria, sino aplicando los requerimientos de seguridad y protección de datos más estrictos. Cumplimos al 100% con la GDPR (General Data Protection Regulation), la nueva ley de protección de datos de la Unión Europea.

Centro de datos y seguridad de redes

Seguridad física

Facilidades

Los servidores de Gamelearn están alojados en facilidades Tier IV o III+, SSAE-16, PCI DSS, o ISO 27001. Nuestras co-localizaciones están físicamente y lógicamente separadas de los centros de datos de otros clientes. Las facilidades de centros de datos de Gamelearn funcionan con fuentes de energía redundantes, cada una de ellas con UPS y con generadores de energía de reserva.

Seguridad on-site

Nuestras instalaciones de centros de datos cuentan con un perímetro de seguridad con varios niveles y zonas de control, con personal de seguridad 7 días a la semana y 24 horas al día, sistema de video-vigilancia CCTV, varios factores de identificación con controles de acceso biométricos, candados físicos, y sistemas de alarma ante cualquier fallo de seguridad.

Monitorización

Todos los sistemas de Redes de Producción, dispositivos conectados a internet, y circuitos son constantemente monitorizados y administrados por personal de Gamelearn. La seguridad física, la alimentación energética y la conectividad más allá de los espacios de jaulas (cage spaces) o de los servicios de Amazon son monitorizados por los proveedores de las instalaciones.

Localización

Gamelearn utiliza centros de datos en Europa, la región del mundo que tiene la política de seguridad más restrictiva.

Seguridad de redes

Equipo de seguridad

Nuestro equipo de IT y seguridad está disponible 7 días a la semana y 24 horas al día para responder ante cualquier evento o alerta de seguridad.

Protección

Nuestra red está protegida por firewalls redundantes, routers con las mejores tecnologías, seguridad de transporte HTTPS sobre redes públicas, auditorías frecuentes, y un sistema de redes de Detección de Intrusiones (Intrusion Detection) y/o tecnologías de Prevención (IDS/IPS) que monitorizan y bloquean el tráfico malicioso y los ataques de redes.

Arquitectura

Nuestra arquitectura de seguridad de redes consiste en múltiples zonas de seguridad. Los sistemas más sensibles, como nuestros servidores con bases de datos, están protegidas en nuestras zonas de mayor confianza y seguridad. Otros sistemas se encuentran alojados en otras zonas dependiendo de su sensibilidad, su función, la clasificación de la información y el riesgo. Dependiendo de la zona, se aplican controles adicionales de seguridad y acceso. Las DMZs se utilizan entre Internet e internamente entre las diferentes zonas de seguridad.

Escáner de vulnerabilidad de Red

El escaneo de seguridad de redes nos da un conocimiento profundo para identificar rápidamente los sistemas que puedan haberse desactualizado o que puedan ser potencialmente vulnerables.

Test de penetración de terceros

Además de nuestros amplios programas de escaneo y testeo, expertos externos también han realizado pruebas de penetración en las distintas Redes de Producción de Gamelearn para garantizar su seguridad.

Security Incident Event Management (SIEM)

Nuestro sistema de Security Incident Event Management (SIEM) recoge amplios registros (logs) de los dispositivos de redes más importantes y de los sistemas de alojamiento. El SIEM advierte al equipo de seguridad de cualquier evento extraño para que éste pueda investigar y responder a tiempo.

Detección y prevención de intrusiones

Los puntos de entrada y salida en el flujo de datos de nuestras mayores aplicaciones están monitorizados por el Sistema de Detección de Intrusiones (IDS, Intrusion Detection Systems) o el Sistema de Prevención de Intrusiones (IPS, Intrusion Prevention Systems). Estos sistemas están configurados para generar alertas cuando algunos incidentes o valores exceden los umbrales predeterminados; también se actualiza regularmente en base a las nuevas amenazas de seguridad. Esto incluye un sistema de monitorización 7 días a la semana y 24 horas al día.

Threat Intelligence Program

Gamelearn participa en varios programas de inteligencia sobre amenazas de seguridad. Monitorizamos las amenazas que se reportan a estas redes de inteligencia y tomamos acciones basadas en nuestros productos y redes.

DDoS Mitigation

Además de nuestras propias capacidades y herramientas, contratamos proveedores scrubbing de DDoS para mitigar los ataques de Distributed Denial of Service (DDoS).

Security Incident Response

En caso de recibir una alerta del sistema, los eventos llegan a nuestros equipos de operaciones, ingenieros de redes y coberturas de seguridad, que trabajan 7 días a la semana y 24 horas al día. Los empleados están entrenados en procesos de respuesta ante incidentes de seguridad, incluyendo canales de comunicación y procesos de escalamiento.

Logical Access

El acceso a la Red de Producción de Gamelearn está restringido por un explícito control de conocimientos; aquellos que disfrutan de menos privilegios de acceso son frecuentemente auditados y monitorizados, y el sistema está controlado por nuestro equipo de IT. Los empleados que acceden a la Red de Producción de Gamelearn necesitan utilizar múltiples factores de autentificación.

Encriptado

Encriptado durante la transmisión

Las comunicaciones entre tú y el equipo de ayuda y Customer Success de Gamelearn están encriptados a través de las mejores prácticas de HTTPS y Transport Layer Security (TLS) sobre las redes públicas. TLS también soporta el encriptado de emails.

Encriptado de datos almacenados

Todos los clientes del sistema de ayuda y Customer Success de Gamelearn se benefician de un sistema de protección de encriptado de datos almacenados para los archivos adjuntos; también disponemos del sistema de copias de seguridad (backup) diarias completas.

Disponibilidad y continuidad

Redundancia

Gamelearn utiliza un servicio de redundancia de redes y servicios de clustering para eliminar los puntos individuales de fallo. Nuestro estricto sistema de backup asegura que el Service Data está activamente replicado en nuestros sistemas y facilidades DR primarios y secundarios. Nuestras bases de datos están alojadas en eficientes dispositivos Flash Memory, con múltiples servidores por cada cluster de base de datos.

Disaster Recovery

Nuestro programa de Recovery Disaster (DR) garantiza que nuestros servicios se mantienen disponibles y que son fácilmente recuperables en caso de desastre. Esto se consigue a través de un robusto entorno técnico, de la creación de planes de Disaster Recovery y del testeo.

Enhanced Disaster Recovery

Con el sistema Enhanced Disaster Recovery, todo el entorno de operaciones, incluido el Service Data, es replicado en un site secundario para permitir la recuperación del servicio en caso de que el site primario resultara totalmente inaccesible.

Seguridad de aplicaciones

Secure Development (SDLC)

Secure Development (SDLC)

Al menos una vez al año, nuestros ingenieros participan en formaciones de seguridad informática, cubriendo aspectos como los fallos más importantes de seguridad, los ataques comunes de vectores y otros controles de seguridad de Gamelearn.

Node.js Framework Security Controls

El soporte de Gamelearn utiliza el Node.js Framework Security Controls para limitar la exposición a los principales errores de seguridad. Esto incluye controles internos de Cross Site Scripting (XSS) y Cross Site Request Forgery (CSRF), entre otros.

QA

Nuestro equipo de Quality Assurance revisa y testea nuestro código base. Varios de nuestros ingenieros de seguridad de aplicaciones identifican, testean e intervienen en las vulnerabilidades de seguridad del código.

Entornos separados

Los entornos de testeo y preparación están separados física y lógicamente del entorno de los videojuegos de Gamelearn. Ningún Service Data se utiliza en los entornos de pruebas.

Application vulnerabilities

Test de penetración en seguridad

Además de nuestros amplios programas internos de escaneo y testeo, expertos externos también han realizado pruebas de penetración en seguridad en las diferentes aplicaciones de nuestros productos.

Características de seguridad del producto

Seguridad de autentificación

Single sign-on (SSO)

El sistema single sign-on (SS) permite a los usuarios autenticarse en tus propios sistemas sin necesidad de que introduzcan otras credenciales de acceso dentro del servicio de Gamelearn. Permite el sistema Security Assertion Markup Language (SAML).

Secure Credential Storage

Gamelearn sigue las mejores prácticas en el almacenaje de credenciales de seguridad; nunca guarda contraseñas en un formato legible para el hombre y solo como resultado de un proceso detallado y seguro.

API Security & Authentication

La API de Gamelearn solo funciona a través de SSL (SSL-only) y debes ser un usuario verificado para poder hacer solicitudes de API. Puedes autorizar contra el uso de API usando la autenticación básica con tu nombre de usuario y contraseña, o con tu nombre de usuario y una API token. También puede utilizarse la autentificación OAuth.

Medidas adicionales de seguridad

Privilegios y roles de acceso

El acceso a datos dentro de la plataforma de Gamelearn se rige por derechos de acceso y pueden ser configurados para conceder distintos niveles de privilegios. Gamelearn tiene varios permisos para los distintos usuarios (solo lectura, estudiante, distribuidor y administrador)

Seguridad de transmisión

Todas las comunicaciones con los servidores de Gamelearn están encriptadas utilizando los estándares de la industria HTTPS sobre redes públicas. Esto garantiza que todo el tráfico entre tú y Gamelearn es seguro durante la transmisión de datos. Adicionalmente, por email, nuestro producto utiliza el Transporte Layer Security (TLS), un protocolo que encripta y envía los emails de forma segura, mitigando el riesgo de que alguien pueda verlo o interceptarlo sin permiso en los servidores de email.

Email Signing (DKIM)

La plataforma de Gamelearn ofrece DKIM (Domain Keys Identified Mail) para los emails enviados desde Gamelearn cuando has creado un dominio de email externo en nuestra plataforma. Al utilizar este servicio de email sus funcionalidades te permiten evitar la intercepción de tus comunicaciones.

Cumplimiento GDPR

Cumplimiento GDPR

Políticas de privacidad

Gamelearn, sus servidores y sus productos cumplen estrictamente con todo lo concerniente a la GDPR (General Data Protection Regulation), la nueva ley de protección de datos de la Unión Europea.

Security by Design

Los servidores de Gamelearn disponen de funciones obligatorias que no pueden invalidar los usuarios que no tengan permiso para modificarlas. En concordancia con la GDPR, se realizan auditorías continuas y en tiempo real.

Protección de datos personales en la nube

Los servidores de Gamelearn cumplen la norma ISO 27018, el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube.

Medidas adicionales de seguridad

Conocimientos en seguridad

Políticas

Gamelearn ha desarrollado una larga lista de políticas de seguridad que cubren numerosos temas. Estas políticas son accesibles y se comparten con todos los empleados y con los contratistas que tienen acceso a la información de Gamelearn.

Investigación de empleados

Background checks

Los servidores de Gamelearn disponen de funciones obligatorias que no pueden invalidar los usuarios que no tengan permiso para modificarlas. En concordancia con la GDPR, se realizan auditorías continuas y en tiempo real.

Acuerdos de confidencialidad

Todos los nuevos empleados, durante el proceso de contratación, son informados de la necesidad de firmar acuerdos de confidencialidad.