Prácticas de seguridad
Fecha de publicación: 24 de abril de 2023
En Slack, nos tomamos muy en serio la seguridad de los datos. Dado que la transparencia es uno de los principios en los que se basa nuestra empresa, tenemos como objetivo ser lo más claros y francos posible respecto de la manera en que nos ocupamos de la seguridad. En caso de que tengas más preguntas sobre la seguridad, nos complacerá contestarlas. Escríbenos a feedback@slack.com, y te responderemos lo más rápido posible. Esta página de prácticas de seguridad describe los controles administrativos, técnicos y físicos aplicables a (a) Slack, que incluye, entre otras cosas, la plataforma de Slack, los flujos de trabajo de Slack y las aplicaciones que se ejecutan en la infraestructura de Slack, y a (b) GovSlack. Esta documentación no se aplica a los servicios que pueden estar asociados o integrados con GovSlack.
Controles de plataforma
Arquitectura y segregación de datos
Los servicios de Slack y de GovSlack se operan en una arquitectura de múltiples usuarios en las capas tanto de plataforma como de infraestructura que están diseñadas para segregar y restringir el acceso a los datos que sus usuarios y usted ponen a disposición a través de los servicios de Slack o de GovSlack, como se define más específicamente en su acuerdo con Slack (o sus afiliados corporativos) que incluyen el uso de los servicios de Slack o de GovSlack («Datos del cliente»), en función de las necesidades comerciales. La arquitectura proporciona una separación lógica de datos para cada cliente diferente a través de una ID única.
Infraestructura de nube pública
Los servicios de Slack y de GovSlack están alojados en Internet en una «Nube pública»; son servicios informáticos ofrecidos por proveedores externos a cualquier persona que quiera usarlos o comprarlos. Como todos los servicios en la nube, un servicio en la nube pública se ejecuta en servidores remotos administrados por un proveedor.
Auditorías
Para comprobar que nuestras prácticas de seguridad sean válidas y para supervisar los servicios de Slack y de GovSlack en busca de nuevas vulnerabilidades que la comunidad de investigación de la seguridad pudiese descubrir, los servicios de Slack y de GovSlack se someten a evaluaciones de seguridad por parte del personal interno y, en el caso de los servicios de Slack, por parte de firmas de seguridad externas respetadas que realizan auditorías periódicas de los servicios de Slack. Además de las auditorías periódicas y específicas de los servicios de Slack y de los servicios y las funciones de GovSlack, también hacemos uso del análisis automatizado, híbrido y continuo de nuestra plataforma web. Los clientes pueden descargar una copia de los informes de auditoría externa aplicables disponibles aquí.
Certificaciones
Las certificaciones se realizan en los servicios de Slack y los clientes pueden descargar una copia de las certificaciones disponibles aquí.
Controles de seguridad
Slack implementará y mantendrá las medidas técnicas y organizativas adecuadas para proteger sus Datos del cliente contra la destrucción, pérdida y alteración accidentales o ilegales, y contra la divulgación no autorizada de los datos personales del Cliente procesados o transmitidos a través de los servicios de Slack y de GovSlack, o contra el acceso no autorizado a ellos. Los servicios de Slack y de GovSlack tienen varios controles de seguridad, que incluyen, entre otros:
- Registro de acceso. Se encuentran disponibles los registros de acceso tanto para los usuarios como para los administradores de equipos de pago. Registramos cada vez que se inicia sesión en una cuenta, lo que incluye el tipo de dispositivo utilizado y la dirección IP de la conexión. Los Administradores y Propietarios de equipos de pago pueden revisar los registros de acceso consolidados para todo su equipo.
- Administración de acceso. Los administradores pueden realizar la finalización remota de todas las conexiones y el cierre de sesión de todos los dispositivos autenticados en los servicios de Slack o de GovSlack en cualquier momento y a pedido.
- Conservación de datos. Los propietarios de equipos de pago de Slack pueden configurar políticas personalizadas de conservación de mensajes según el tamaño del equipo y por canal. Establecer una duración personalizada para la conservación significa que los mensajes o archivos con una duración superior a la establecida se eliminarán todas las noches de los servidores de producción de los servicios de Slack o de GovSlack.
- Administración de hosts. Llevamos a cabo análisis de vulnerabilidad automatizados en nuestros hosts de producción y remediamos los hallazgos que implican un riesgo para nuestro entorno. Aplicamos bloqueos de pantalla y utilizamos el cifrado de disco completo para las computadoras portátiles de la empresa.
- Protección de la red. Además de la supervisión y del registro del sofisticado sistema, hemos implementado la autenticación de dos factores para todos los accesos del servidor en todo nuestro entorno de producción. Los firewalls se configuran de acuerdo con las mejores prácticas de la industria, utilizando grupos de seguridad de AWS.
- Prácticas de seguridad del producto. Las nuevas funciones, las funcionalidades importantes y los cambios de diseño se someten a un proceso de revisión de seguridad facilitado por el equipo de seguridad. Asimismo, nuestro código se audita con un software de análisis estático automatizado, probado y revisado manualmente por expertos antes de enviarlo a producción. El equipo de seguridad trabaja en estrecha colaboración con los equipos de desarrollo para resolver cualquier problema de seguridad adicional que pudiese surgir durante el desarrollo. Slack también opera un programa de seguridad que busca errores. Los investigadores de seguridad de todo el mundo continuamente someten a pruebas la seguridad de los servicios de Slack y de GovSlack, e informan los problemas a través del programa. Para obtener más información sobre el programa, visite el sitio de búsqueda de errores.
- Autenticación de dos factores del equipo. Los Administradores de equipos pueden solicitar que todos los usuarios establezcan la autenticación de dos factores en sus cuentas. Las instrucciones para realizarlo están disponibles en nuestro Centro de ayuda.
En el caso de algunos de los controles, el Cliente no puede desactivarlos; otros brindan personalización de la seguridad de los servicios de Slack o de GovSlack por parte de los Clientes para su propio uso. Como tal, la protección de los Datos del cliente es una responsabilidad conjunta entre el Cliente y Slack. Como mínimo, Slack se alineará con los estándares prevalecientes de la industria, como ISO 27001, ISO 27002 e ISO 27018, o cualquier estándar sucesor o sustituto.
Es posible que Slack lleve a cabo análisis y pruebas de seguridad en la plataforma de Slack, en los flujos de trabajo de Slack y en las aplicaciones que se ejecutan en la infraestructura de Slack para detectar conductas abusivas o acciones que infrinjan los términos de los servicios.
Detección de intrusiones
Slack, o una entidad externa autorizada, supervisará los servicios de Slack y de GovSlack para detectar intrusiones no autorizadas.
Registros de seguridad
Sistemas que se utilizan en la provisión de información de registros de servicios de Slack y de GovSlack a sus respectivas instalaciones de registro del sistema o un servicio de registro centralizado (para sistemas de red) para permitir revisiones y análisis de seguridad. Slack mantiene un amplio entorno de registro centralizado en el entorno de producción, lo que contiene la información relacionada con la seguridad, la supervisión, la disponibilidad, el acceso y otros indicadores acerca de los servicios de Slack y de GovSlack. Estos registros se analizan para detectar eventos de seguridad mediante un software de monitoreo automatizado y, luego, son supervisados por el equipo de seguridad. Para los servicios de GovSlack, los registros solo son accesibles desde el entorno de GovSlack y solo por parte de Personas estadounidenses calificadas. Las «Personas estadounidenses calificadas» son individuos que (a) son ciudadanos de los Estados Unidos o residentes permanentes legales; (b) se encuentran físicamente dentro de los Estados Unidos mientras brindan asistencia a GovSlack, y (c) han completado una verificación de antecedentes como condición para su empleo con Slack.
Manejo de incidencias
Slack mantiene políticas y procedimientos para el manejo de incidencias de seguridad. Slack notifica a los clientes afectados sin demoras indebidas sobre cualquier divulgación no autorizada de sus respectivos Datos del cliente por parte de Slack o sus agentes de la que Slack tenga conocimiento en la medida permitida por la ley. Slack publica información sobre el estado del sistema en el sitio web de Salesforce Trust o la página Estado del sistema de Slack. Por lo general, Slack notifica a los clientes sobre las incidencias importantes del sistema por correo electrónico y, en el caso de incidencias que duren más de una hora, puede invitar a los clientes afectados a unirse a una conferencia telefónica acerca de la incidencia y de la respuesta de Slack. La gestión de incidencias de seguridad para GovSlack está a cargo de Personas estadounidenses calificadas.
Cifrado de datos
Los servicios de Slack y de GovSlack utilizan productos de cifrado aceptados por la industria para proteger los Datos del cliente (1) durante las transmisiones entre la red de un cliente y los servicios de Slack, y (2) cuando están en reposo. Los servicios de Slack y de GovSlack son compatibles con las últimas series y protocolos de cifrado de seguridad recomendados para cifrar todo el tráfico en tránsito. Vigilamos, de cerca, el cambio de panorama criptográfico y trabajamos con diligencia para actualizar el servicio para responder a las nuevas vulnerabilidades criptográficas conforme son descubiertas. Asimismo, aplicamos las mejores prácticas a medida que evolucionan. Con respecto al cifrado en tránsito, no solo realizamos esto, sino que equilibramos la necesidad de compatibilidad con los clientes más antiguos.
Fiabilidad, copias de seguridad y continuidad del negocio
Sabemos que depende de los servicios de Slack y de GovSlack para trabajar. Por ello, nos comprometemos a hacer de Slack y de GovSlack servicios de alta disponibilidad con los que puede contar. Nuestra infraestructura se ejecuta en sistemas que toleran los fallos, ya sean a raíz de errores de servidores individuales o incluso de centros de datos completos. Nuestro equipo de operaciones prueba, de forma regular, las medidas de recuperación ante desastres y tiene un equipo de guardia las 24 horas para resolver, rápidamente, las incidencias inesperadas. Las mejores prácticas estándar de la industria en cuanto a fiabilidad y respaldo ayudaron a dar forma al diseño de los servicios de Slack y de GovSlack. Slack realiza copias de seguridad periódicas y facilita la reversión de cambios de software y sistema cuando sea necesaria y la replicación de datos según sea necesaria. Siempre que sea posible, Slack ayudará al Cliente con la recuperación de datos de eventos catastróficos considerables, según lo limiten los requisitos de residencia de datos de la localidad y las capacidades dentro de la región. «Evento catastrófico considerable» implica tres tipos amplios de ocurrencias: (1) eventos naturales como inundaciones, huracanes, tornados, terremotos y epidemias; (2) eventos tecnológicos como fallas de sistemas y estructuras tales como explosiones de tuberías, accidentes de transporte, interrupciones de servicios públicos, fallas de presas y escapes accidentales de materiales peligrosos; y (3) eventos causados por el hombre como ataques de agresores, ataques químicos o biológicos, ataques cibernéticos contra datos o infraestructura y sabotaje. Un evento catastrófico considerable no incluye errores, problemas operativos u otros errores de software comunes.
Los datos del cliente se almacenan de forma redundante en varios lugares en los centros de datos de nuestros proveedores de hospedaje para garantizar la disponibilidad. Hemos comprobado los procedimientos de copia de seguridad y restauración, lo que permite la recuperación en caso de un problema grave. Durante la noche se realiza una copia de seguridad de forma automática de los datos del cliente y de nuestro código fuente. El equipo de operaciones recibe una alerta en caso de que ocurra un fallo en este sistema. Las copias de seguridad se evalúan cada 90 días como mínimo para confirmar que nuestros procesos y nuestras herramientas funcionan según lo previsto.
Datos en reposo
Slack almacenará los Datos del cliente en reposo dentro de ciertas áreas geográficas principales, excepto cuando se indique lo contrario en su Formulario de pedido.
Devolución de los Datos del cliente
En un plazo de 30 días después de la rescisión del contrato, los clientes pueden solicitar la devolución de sus respectivos Datos del cliente enviados a los servicios de Slack y de GovSlack (en la medida en que el Cliente no haya eliminado dichos datos). La información acerca de las funciones de exportación de los servicios de Slack y de GovSlack se encuentra disponible en el Centro de ayuda de Slack.
Eliminación de los Datos del cliente
Los servicios de Slack y de GovSlack ofrecen a los Propietarios principales de los espacios de trabajo la opción de borrar los Datos del cliente en cualquier momento durante un período de suscripción. A las 24 horas de la eliminación por parte del Propietario principal del espacio de trabajo, Slack elimina, de forma permanente, toda la información de los sistemas de producción que se encuentren en ejecución (se excluyen los nombres de los equipos y los términos de búsqueda incluidos en las URL en los registros de acceso al servidor web). Las copias de seguridad de los servicios de Slack y de GovSlack se destruyen en un plazo de 14 días. Sin embargo, durante una investigación en curso de una incidencia, dicho período puede prorrogarse temporalmente.
Cuando un cliente cancela una suscripción de pago en Enterprise Grid o en servicios de GovSlack, si el cliente no opta por eliminar su cuenta, Slack, dentro de los 90 días posteriores a la cancelación de la suscripción, eliminará y se asegurará de que todos sus Afiliados y proveedores de alojamiento de terceros correspondientes eliminen todas las copias de los Datos del cliente (se excluyen los nombres de los equipos y los términos de búsqueda incluidos en las URL en los registros de acceso al servidor web) dentro de los 14 días posteriores a que Slack haya iniciado la eliminación de la cuenta del cliente. Cuando un cliente cancela cualquier suscripción de pago a los servicios de Slack que no sea Enterprise Grid o a los de GovSlack, la suscripción del cliente continuará bajo el nivel de uso gratuito para los servicios de Slack conforme a los Términos de servicio del cliente en línea vigentes en ese momento u otro acuerdo de suscripción en línea principal aplicable a dicho nivel de uso gratuito («Términos de suscripción gratuita»), y los Datos del cliente no se eliminarán hasta que (i) el Cliente elimine el espacio de trabajo, (ii) el Cliente indique a Slack que elimine sus Datos del cliente, o (iii) cualquiera de las partes rescinda los Términos de suscripción gratuita. Tras la ocurrencia de tales eventos, Slack, en un plazo de 14 días, eliminará y se asegurará de que todos sus Afiliados y proveedores de alojamiento de terceros permitidos eliminen todas las copias de los Datos del cliente (se excluyen los nombres de los equipos y los términos de búsqueda incluidos en las URL en los registros de acceso al servidor web).
Confidencialidad
Aplicamos controles estrictos sobre el acceso de nuestros empleados a los Datos del cliente. El funcionamiento de los servicios de Slack y de GovSlack requiere que algunos empleados tengan acceso a los sistemas que almacenan y procesan los Datos del cliente. Por ejemplo, es posible que debamos acceder a sus Datos del cliente con el fin de diagnosticar un problema que le haya surgido con los servicios de Slack y de GovSlack. Estos empleados tienen prohibido utilizar tales permisos para ver los Datos del cliente a menos que sea estrictamente necesario. Disponemos de controles técnicos y políticas de auditoría para garantizar que se registre todo acceso a los Datos del cliente.
Todos nuestros empleados y personal contratado tienen la obligación de cumplir con nuestras políticas relativas a los Datos del cliente y tratamos estos temas como cuestiones de la máxima importancia en nuestra empresa.
Prácticas del personal
Slack lleva a cabo verificaciones de antecedentes de todos los empleados antes de contratarlos, y los empleados reciben capacitación en materia de privacidad y de seguridad tanto durante la incorporación como a lo largo de su permanencia en la empresa. Todos los empleados deben leer y firmar nuestra política integral de seguridad de la información que abarca la seguridad, la disponibilidad y la confidencialidad de los servicios de Slack y de GovSlack.
Infraestructura
Slack utiliza la infraestructura proporcionada por Amazon Web Services, Inc. («AWS») para alojar o procesar los Datos del cliente enviados a los servicios de Slack y de GovSlack. La información acerca de seguridad proporcionada por AWS está disponible en el sitio web de Seguridad de AWS. La información acerca de las auditorías de seguridad y privacidad, y de las certificaciones recibidas por AWS, incluida la información sobre la certificación ISO 27001 y los informes SOC, está disponible en el sitio web de Cumplimiento de AWS.