Seguridad y Confianza

Las ciudades, las agencias de tránsito y las empresas de movilidad confían a Remix sus datos relacionados con el transporte. Como demostración de nuestro compromiso de mantener la seguridad de los datos, ahora cumplimos con la norma SOC-2 y podemos proporcionar nuestro último informe de auditoría a los clientes y socios actuales y potenciales que lo soliciten.

Esta página detalla cómo protegemos nuestra plataforma, los datos que almacena y las personas que dependen de ella.

Plataforma

SEGURIDAD DE APLICACIONES Y CENTROS DE DATOS

21 de mayo de 2020

Toda la infraestructura de aplicaciones para Remix está actualmente gestionada por Amazon Web Services (AWS) y Heroku, una filial de Salesforce. Todos los datos se almacenan en centros de datos gestionados por Amazon. Estos centros de datos han recibido las certificaciones ISO 27001 y SOC, la autorización moderada de la Ley Federal de Gestión de la Seguridad de la Información (FISMA) y la acreditación de la Administración de Servicios Generales de los Estados Unidos.

Más información sobre la seguridad y el cumplimiento de los servicios web de Amazon

Más sobre la política de seguridad de Heroku

AISLAMIENTO DE DATOS

Los datos sensibles se integran, procesan y almacenan en un entorno aislado y seguro en AWS, denominado cuenta de datos de asociado o partner. La agregación se realiza dentro de la cuenta de datos de asociado y sólo salen de ella los datos agregados. La cuenta aislada requiere de pasos adicionales para que los desarrolladores de Remix puedan acceder, incluyendo un proceso de aprobación por escrito y una capacitación especializada.

SUPERVISIÓN DE LA SEGURIDAD DE LA RED

Nuestros proveedores de nube y el sistema centralizado de registro y alerta proporcionan capacidades de detección de intrusos que nos alertan de comportamientos sospechosos y maliciosos. Las fuentes incluyen información de eventos de la red, eventos del sistema interno y fuentes de información de vulnerabilidad y/o amenaza.

TRANSMISIÓN SEGURA DE DATOS

Nuestras APIs y frontales web están configuradas para utilizar la última versión de TLS (una vez que los navegadores y nuestros proveedores de alojamiento en la nube la soportan ampliamente), comprueban la existencia de un certificado válido, firmado y específico para el dominio y utilizan un sólido conjunto de protocolos criptográficos. Nuestra filosofía de encriptación por defecto también significa que no admitimos comunicaciones sin encriptación (por ejemplo, https -> http).

CLASIFICACIÓN DE DATOS

Clasificamos los datos según el tipo y la sensibilidad. Utilizamos esa clasificación para definir qué sistemas están autorizados a acceder y almacenar diferentes tipos de datos. La clasificación de sensibilidad de los datos se utiliza en el proceso de evaluación de riesgos para determinar el nivel adecuado de los controles de seguridad.

CONTROLES DE ACCESO A LA BASE DE DATOS

Remix tiene la política de limitar el acceso directo a las bases de datos y a las copias de seguridad a sus ingenieros. El acceso a los datos sensibles está limitado estrictamente a las personas que los necesitan para hacer su trabajo. Revisamos el acceso periódicamente y a las personas que ya no lo necesitan. Cada desarrollador tiene credenciales únicas y se aplica la autenticación de dos factores.

SEGURIDAD DE ALMACENAMIENTO

Remix utiliza AWS y Heroku para almacenar los datos y documentos de los clientes. Estas bases de datos tienen un aislamiento a nivel de red a través de Nubes Privadas Virtuales (VPCs) y el acceso se controla a través de Listas de Control de Acceso (ACLs). Nuestra política es negar automáticamente cualquier tráfico que no esté explícitamente permitido hacia o desde una base de datos. Además del aislamiento de la red, todos los datos se cifran en reposo y en tránsito.

Más sobre los VPCs de Amazon

Más sobre los Espacios Privados de Heroku

Gente

CONTROL DE ACCESO POR ROLES

Remix emplea controles de acceso basados en roles para administrar el acceso a los servidores que contienen los datos de las aplicaciones. Estos controles están diseñados para exigir a los empleados autorizados que usen credenciales de cuenta y autenticaciones individuales para obtener acceso. Remix controla el acceso a los servidores y a los almacenes de datos a través de la autenticación manejada con sesiones SSH basadas en claves. Operamos bajo el Principio del Mínimo Privilegio, el cual está diseñado para que el acceso a un sistema sólo se conceda si es absolutamente necesario para atender una necesidad comercial legítima. Nuestra política es que los empleados sólo tienen acceso a los datos y sistemas que necesitan para hacer su trabajo. 

Remix ofrece a todos los empleados una formación de concienciación en materia de seguridad. Remix se asegurará de que sólo el personal autorizado se registre y de que el acceso se elimine oportunamente.

ACCESO AL CÓDIGO

La base de código Remix está actualmente almacenada en GitHub y requiere una autenticación multifactorial y una autorización basada en el equipo para ver o editar. Todos los cambios en la base de código se registran con el nombre de la persona que hace el cambio, la hora y precisamente qué líneas de código cambiaron. Todos los cambios en el código que se ejecutan en los servidores de producción son revisados por pares, prestando especial atención a la seguridad antes de su implementación. Se mantiene un registro de auditoría para todos los cambios de código que se ejecutan en producción.

ORDENADORES INDIVIDUALES

Todos los ordenadores de la empresa se implementan con protección de contraseña y discos duros cifrados.

AUTENTIFICACIÓN DE USUARIOS

Los usuarios de Remix deben autenticarse con un correo electrónico y una contraseña. Las contraseñas sólo se almacenan como hashes criptográficos de una sola dirección y nunca en texto plano.

SEGURIDAD DEL PERSONAL

Remix ha formalizado las políticas y procedimientos de contratación, la gestión del rendimiento y las prácticas de despido. El acceso a los sistemas de la empresa se elimina lo antes posible una vez que ya no es necesario. Remix lleva a cabo exhaustivos controles de antecedentes previos a la contratación en la medida en que lo permite la ley.

Proceso

SEGURIDAD EN EL DESARROLLO DE APLICACIONES

Nuestros desarrolladores revisan los estándares de codificación segura aplicables a los entornos, lenguajes y plataformas en los que trabajan. Estas normas pueden incluir el control de acceso a los datos, la limpieza de los valores de entrada/salida y el registro de las violaciones que podrían indicar un ataque o una vulnerabilidad.

RETENCIÓN DE DATOS

Remix tiene como objetivo ser un custodio responsable de los datos de los clientes, y eliminará todos los datos de los clientes si así se solicita o si se rescinde la relación de Remix con el cliente. 

GESTIÓN DE CREDENCIALES

Actualmente utilizamos AWS Secrets Manager y AWS Parameter Store para almacenar y gestionar todo lo confidencial de la cuenta de datos de asociado. Estos secretos se rotan automáticamente en un horario regular. Toda la información confidencial se cifra en reposo, utilizando claves de firma gestionadas a través del Servicio de Gestión de Claves AWS, y se cifran en tránsito a través de conexiones seguras TLS. El acceso a secretos específicos está restringido a los servicios que necesitan acceso y a los ingenieros de Remix que mantienen dichos servicios.

EVALUACIONES DE VULNERABILIDAD

Remix trae periódicamente un equipo externo para probar nuestra seguridad, incluyendo auditorías para el cumplimiento del SOC-2 y pruebas de penetración. Las evaluaciones se basan en las tendencias de ataque actuales y en la verificación de las mejores prácticas (por ejemplo, OWASP Top 10). Los hallazgos son revisados y remediados por nuestros equipos técnicos.

AUDITORÍA

Es nuestra política registrar todas las acciones realizadas por un usuario o un servicio (usando un rol) y reportar esos registros automáticamente a AWS CloudTrail.

 

Privacidad

AGREGACIÓN

La plataforma de Remix está diseñada para ayudar a las ciudades a comprender mejor a los vehículos, las flotas y los patrones de movimiento, no para rastrear a las personas. Remix tiene como objetivo asegurar que los mapas, informes y estadísticas que mostramos a nuestros clientes no revelen el comportamiento de viaje de individuos identificables. Al analizar y combinar los datos sobre los viajes individuales, proporcionamos a las ciudades información fiable y auditable al tiempo que protegemos la privacidad. Trabajamos sólo con datos que no contienen identificadores individuales y nunca intentamos volver a identificar a las personas en datos anónimos.

Más información sobre cómo agregamos los datos de movilidad.


USO DE DATOS

Nuestra misión es ayudar a construir ciudades más habitables. Creamos herramientas de software que las ciudades utilizan para entender los sistemas de transporte urbano multimodal y mejorar la seguridad, el acceso a la movilidad y la sostenibilidad en sus comunidades. Cuando esas herramientas incorporan datos de movilidad, nuestros contratos con las ciudades y las empresas de movilidad regulan nuestro acceso a los datos y limitan lo que podemos y no podemos hacer con ellos.

Obtenemos nuestros ingresos de la construcción de gran tecnología y servicios. La publicidad no forma parte de nuestro modelo de negocio, y no vendemos datos de viajes individuales u otra información personal.

Aprenda más acerca de cómo usamos (y no usamos) los datos de movilidad.


INTERCAMBIO DE DATOS

No recogemos directamente los datos de los viajes de los individuos. Remix tiene obligaciones contractuales con los clientes de la ciudad y las empresas de movilidad que rigen nuestra capacidad para recopilar, utilizar, compartir, asegurar y eliminar diversos datos que se nos proporcionan.