Blip es una plataforma de automatización de conversaciones que facilita la comunicación entre empresas y clientes a través del Contacto Inteligente.
Comprometida con la seguridad de los datos y la información, cuenta con la certificación ISO 27001:2022 y cumple con las leyes de privacidad, como el Reglamento General de Protección de Datos (GDPR) en Europa y la Ley General de Protección de Datos Personales (LGPD) en Brasil, lo que refleja su responsabilidad en promover la confianza de sus clientes y socios, garantizando la protección de los datos y la confianza en las interacciones digitales.
Prácticas y políticas integrales para proteger los datos y los activos, garantizando el cumplimiento y la privacidad en un entorno digital dinámico.
Proceso de Incorporación
En el proceso de incorporación de nuevos empleados, la concienciación sobre la seguridad de la información, la privacidad y la protección de datos es fundamental para garantizar que todos comprendan las responsabilidades y las buenas prácticas necesarias para proteger la información de la organización. En esta oportunidad, se presentan las directrices de la Política de Seguridad de la Información (PSI), la privacidad y la protección de datos.
Todos los nuevos empleados deben reconocer y firmar un compromiso relacionado con la seguridad de la información y la privacidad, formalizando la responsabilidad individual.
Tras la incorporación, se mantiene la concienciación mediante campañas internas y formaciones recurrentes, como itinerarios de aprendizaje y pruebas periódicas, lo que garantiza que la seguridad de la información forme parte de la cultura organizativa y que los nuevos empleados comiencen su andadura con conocimientos, responsabilidad y conciencia de la importancia de la protección de datos.
Comunicación
El equipo de Seguridad de la Información utiliza los canales de comunicación interna de Blip para mantener a todos los empleados informados sobre temas relacionados con la seguridad, con el fin de crear conciencia y mantenerlos al día sobre la Política de Seguridad de la Información (PSI), la privacidad y la protección de datos.
Comité de Seguridad de la Información, Privacidad y Protección de Datos
Existe un comité ejecutivo de Seguridad de la Información, Privacidad y Protección de Datos con miembros de diversos sectores y responsabilidades de Blip, que representan a la Alta Dirección y demuestran su compromiso y dedicación con el Sistema de Gestión de la Seguridad de la Información para toda la cadena estratégica de negocio y de valor de la empresa.
Formación sobre Phishing
Realizamos simulacros de phishing a lo largo del año con el objetivo de aumentar la concienciación de los empleados sobre las amenazas cibernéticas, formarles para mejorar su capacidad de identificar y reaccionar ante intentos de phishing y reforzar la seguridad general de la organización, minimizando el riesgo de incidentes reales de violación de datos.
Formación Basada en Funciones
La formación basada en funciones en materia de seguridad de la información, privacidad y protección de datos es un enfoque que adapta el contenido de seguridad a las responsabilidades específicas de cada empleado dentro de la organización. En lugar de una formación genérica, esta metodología garantiza que cada equipo reciba orientación relevante para su función, lo que aumenta la eficacia en la prevención de riesgos y la respuesta a incidentes.
Por ejemplo, para los empleados que trabajan en desarrollo, se ofrece una «Ruta de desarrollo seguro», mientras que los empleados en general reciben formación para identificar amenazas como el phishing y la ingeniería social, además de participar en jornadas internas, que son eventos con la participación de referencias externas y en los que se abordan temas relevantes sobre seguridad de la información, privacidad y protección de datos. Esta estrategia mejora la cultura de seguridad de la empresa, reduciendo las vulnerabilidades y reforzando la protección de los datos corporativos.
Los equipos reciben periódicamente formación del equipo de Seguridad de la Información sobre temas relacionados con la seguridad y la privacidad en línea con el desempeño de sus actividades y funciones.
Formación en Concienciación sobre Seguridad
Todo el personal de Blip está obligado a completar una formación de concienciación sobre seguridad y privacidad al iniciar su empleo y, posteriormente, cada año.
El equipo de seguridad proporciona actualizaciones adicionales sobre concienciación en materia de seguridad y privacidad por correo electrónico, publicaciones en el canal interno de comunicación y presentaciones durante eventos internos.
Formación en Desarrollo Seguro
Los desarrolladores de Blip deben completar la formación en desarrollo seguro, centrada en temas como el OWASP Top 10, una iniciativa de concienciación y capacitación para las áreas involucradas en el desarrollo de software, con el fin de garantizar que los requisitos y medidas de seguridad de la información sean adecuados y se implementen de acuerdo con el Ciclo de Vida de Desarrollo de Software Seguro (SSDLC).
En Blip, el proceso de Gestión de Riesgos de Seguridad de la Información y Privacidad es esencial para garantizar la protección de los datos y el cumplimiento de las principales normas y regulaciones del mercado, como ISO 27001, LGPD y GDPR.
Actuamos de forma proactiva en la identificación, evaluación y mitigación de riesgos, implementando controles y monitoreando continuamente el entorno para garantizar que la confidencialidad, integridad y disponibilidad de los datos no se vean comprometidas.
Nuestro compromiso es garantizar que Blip opere de manera segura y conforme a las normas, promoviendo la confianza de los clientes y la resiliencia ante los retos del panorama digital.
Seguridad por Diseño
Durante las fases del SDLC (Ciclo de Desarrollo de Software), el equipo de Seguridad de la Información participa como consultor, buscando adaptar el SDLC a marcos y estándares de seguridad, como el OWASP. Las normas de seguridad (o políticas específicas por tema) de desarrollo seguro rigen cómo debe llevarse a cabo el desarrollo seguro. En términos generales, se adopta el concepto SD3+C (Secure by Design, Secure by Default, Secure by Deployment and Communication).
Privacidad por diseño (Privacy By Design)
Durante la fase de desarrollo de productos, sistemas o servicios, el equipo de Privacidad de Datos de Blip evalúa los riesgos que las actividades pueden suponer para los titulares de los datos y define medidas para garantizar el cumplimiento de los principios de protección de datos y los derechos de los titulares. Cuando el tratamiento de datos personales presenta riesgos elevados para la privacidad, Blip elabora el Informe de Impacto sobre la Protección de Datos (RIPD) para identificar y mitigar los posibles impactos. Además, los equipos tienen autonomía para solicitar evaluaciones de privacidad siempre que sea necesario.
Acuerdo de Tratamiento de Datos (Data Processing Agreement)
Para garantizar que el tratamiento de datos se realice de forma segura y de conformidad con la normativa vigente, como la Ley General de Protección de Datos (LGPD) y el Reglamento General de Protección de Datos (GDPR), Blip ha desarrollado un Acuerdo de Tratamiento de Datos (DPA) estándar para cada localidad en la que operamos.
Este DPA establece claramente las condiciones y obligaciones relacionadas con el tratamiento de datos personales, tanto de Blip como de sus clientes, garantizando que todos los procesos se ajusten a los requisitos legales y a las mejores prácticas del sector. Se trata de un documento esencial que forma parte de todos los contratos firmados por Blip, reafirmando nuestro compromiso con la transparencia y la seguridad en el manejo de la información de nuestros clientes y usuarios.
AVISO IMPORTANTE: El DPA puede modificarse según la fecha y el lugar en que se haya firmado el contrato.
Blip ha desarrollado un conjunto completo de políticas y normas de seguridad y privacidad, de clasificación interna, que abarca diversos temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de Blip.
Blip puede proporcionarlas a los clientes, partes interesadas y competentes, cuando sea aplicable y tras la firma del acuerdo de confidencialidad entre las partes.
Política de Privacidade Externa
Data Protection Officer (DPO)
Blip ha nombrado a Paulo Kimura como Data Protection Officer (DPO), encargado de garantizar el cumplimiento de las normativas de privacidad y protección de datos, como la LGPD y el GDPR. El Data Protection Officer está disponible para aclarar dudas, atender las solicitudes de los titulares de los datos y garantizar que se respeten los derechos de privacidad.
Puede ponerse en contacto con el Data Protection Officer a través del correo electrónico [email protected].
Solicitud de los Derechos de los Titulares
Blip pone a disposición un formulario para facilitar el ejercicio de los derechos de los titulares de datos previstos en la legislación competente, como la LGPD y el GDPR.
El uso de este formulario es opcional, pero es una forma eficaz y segura de tramitar su solicitud. Si los datos personales indicados han sido recopilados por otra empresa, que actúa como responsable del tratamiento, su eliminación por parte de Blip dependerá de la comunicación previa a la empresa responsable.
AVISO IMPORTANTE: Para su seguridad, cada vez que presente una solicitud para ejercer sus derechos, Blip podrá solicitarle información y/o documentos complementarios para poder verificar su identidad y evitar fraudes. Lo hacemos para garantizar la seguridad y la privacidad de todos.
En algunos casos, Blip puede tener motivos legítimos para no atender una solicitud de ejercicio de derechos. Estas situaciones incluyen, por ejemplo, casos en los que la divulgación de información específica podría violar los derechos de propiedad intelectual o los secretos comerciales de Blip o de terceros, así como casos en los que las solicitudes de derechos no pueden ser atendidas (i) porque estarían fuera de las atribuciones de Blip o (ii) debido a la existencia de una obligación de Blip de conservar datos, ya sea para cumplir con obligaciones legales, reglamentarias o para permitir la defensa de Blip o de terceros en disputas de cualquier naturaleza.
Solicite aquí sus Derechos de Privacidad
Para ejercer sus derechos de privacidad, como el acceso, la rectificación, la supresión o la portabilidad de sus datos personales, puede realizar su solicitud directamente a través de nuestro Portal de Privacidad de Datos. Solo tiene que acceder al Formulario de Atención y seguir las instrucciones para formalizar su solicitud.
Subprocesadores
Para dar soporte a la prestación de los Servicios, Blip puede contratar proveedores de servicios externos, denominados subprocesadores. Celebramos todos los documentos necesarios con nuestros socios, asegurando que cada subprocesador cumpla con los más altos estándares de seguridad y conformidad. Realizamos un análisis previo detallado de los proveedores, evaluando sus prácticas y políticas de protección de datos antes de firmar cualquier acuerdo de colaboración.
Política de Cookies
Blip utiliza cookies con fines técnicos, así como para mejorar su experiencia al navegar por nuestro sitio web. Estas cookies nos ayudan a personalizar y optimizar el contenido, además de garantizar el correcto funcionamiento de las funcionalidades de la plataforma Blip.
Para obtener más información sobre los tipos de cookies que utilizamos, cómo se aplican y cómo puede gestionar sus preferencias al respecto, consulte nuestra Política de cookies. En ella encontrará detalles sobre sus derechos y las opciones para controlar el uso de cookies en nuestra plataforma.
Notificación de Violación de Datos
Blip mantiene políticas y procedimientos para la gestión de incidentes de seguridad de conformidad con las leyes de protección de datos aplicables, lo que garantiza una respuesta eficiente y transparente ante cualquier situación que pueda amenazar la seguridad de la información.
En caso de un incidente de seguridad, llevamos a cabo un análisis minucioso para determinar el papel de Blip, ya sea como responsable del tratamiento o como encargado del tratamiento. Sobre la base de esta evaluación, seguimos estrictamente los requisitos legales pertinentes, garantizando que todas las medidas adoptadas se ajusten a la legislación vigente.
Preguntas Frecuentes sobre Privacidad de Datos: Blip y el GDPR
El objetivo de esta guía es responder a las preguntas que surgen con frecuencia sobre el programa de adecuación de la privacidad de Blip al Reglamento General de Protección de Datos (GDPR).
Informativo sobre la adecuación del Programa de Privacidad de Blip – GDPR
Seguridad de los Proveedores
Blip minimiza los riesgos asociados a los proveedores mediante análisis durante el proceso de contratación y, cada año, se reevalúan los proveedores considerados críticos (que acceden a nuestros sistemas o datos).
Nuestros equipos de Seguridad, Privacidad y Asuntos Jurídicos evalúan las salvaguardias adecuadas en relación con el servicio que se presta y los tipos de datos que se intercambian.
El cumplimiento continuo de las protecciones esperadas se supervisa a través del proceso de gestión de riesgos.
Consulte la Política de Seguridad de la Información completa, disponible para los proveedores del Grupo Blip.
Gestión de La Continuidad del Negocio
Blip cuenta con un Plan de Continuidad del Negocio (PCN) para garantizar la resiliencia de sus servicios. Los procedimientos están estructurados para asegurar la rápida recuperación de los servicios y procesos críticos, permitiendo la continuidad de las actividades esenciales y la disponibilidad de los servicios incluso en situaciones de crisis o indisponibilidades no programadas.
Gestión de Incidentes de Seguridad de la Información
Blip cuenta con normas y procedimientos sobre gestión y respuesta a incidentes, que incluyen las directrices y los procedimientos que deben adoptarse en caso de incidentes de seguridad de la información y cibernética.
Estas directrices deben ser conocidas por los empleados, proveedores y terceros involucrados para que notifiquen la ocurrencia de incidentes, con el fin de que se traten a tiempo.
Monitorización del Acceso
Blip mantiene registros de accesos y modificaciones en todos los activos críticos del entorno con fines de auditoría y supervisión continua. Estos registros incluyen información sobre quién ha accedido a los datos, qué modificaciones se han realizado y cuándo se han producido, lo que permite la trazabilidad de las operaciones realizadas.
Además, Blip adopta mecanismos de supervisión para identificar y responder rápidamente a cualquier actividad sospechosa, garantizando la seguridad y la integridad de los datos.
Eliminación de Datos
Blip conserva los datos personales durante el tiempo necesario para prestar los servicios contratados y garantizar los derechos de nuestros clientes. Tras la solicitud de eliminación o la finalización del contrato, los datos de los clientes se eliminarán de las bases de datos activas en un plazo máximo de 30 días.
Sin embargo, algunos datos, como los registros y los metadatos relacionados, pueden conservarse durante períodos adicionales para satisfacer necesidades de seguridad, cumplimiento legal u obligaciones estatutarias, garantizando que Blip cumpla con los requisitos legales y reglamentarios aplicables. Estos datos se tratan con las medidas de seguridad adecuadas y solo durante los períodos necesarios para el cumplimiento de los fines específicos.
Si usted es cliente de Blip y necesita solicitar la eliminación de datos, puede hacerlo a través de nuestro Canal de Atención al Cliente. Le garantizamos que su solicitud será atendida dentro de los plazos establecidos.
Copia de Seguridad de los Datos
Se realizan y auditan copias de seguridad de los sistemas de bases de datos y de la infraestructura crítica, incluidos los medios técnicos y organizativos para la correcta restauración y recuperación de los datos.
Cifrado en Tránsito
Los datos en tránsito en la Plataforma Blip están protegidos por encriptación, utilizando de forma predeterminada los protocolos TLS 1.2 (sin cifrados débiles) y TLS 1.3 en todas las comunicaciones de datos. Esta encriptación se aplica a todas las interacciones, incluida la comunicación de datos con los sistemas de bases de datos, lo que garantiza que la información esté protegida contra la interceptación o la alteración durante la transmisión.
Cifrado en Reposo
Los datos en reposo, es decir, aquellos almacenados en las diversas estructuras de los sistemas de bases de datos de Blip, están protegidos por encriptación utilizando, como mínimo, el algoritmo AES-128. Esta encriptación garantiza la confidencialidad y seguridad de la información almacenada, incluso en caso de acceso no autorizado a los sistemas.
Además, la gestión de las claves de cifrado se supervisa y audita mediante auditorías externas independientes, lo que garantiza que las prácticas de seguridad sean conformes. Este proceso también garantiza que las claves se gestionen de forma segura, lo que previene riesgos y garantiza la integridad de los datos almacenados.
Ubicación de los Datos
Todos los datos que circulan por la Plataforma Blip se almacenan en la nube, en centros de datos de Microsoft. El almacenamiento de datos personales se realiza de conformidad con las normativas locales, como la LGPD y el GDPR.
La documentación de cumplimiento de Azure se puede encontrar en el Portal de documentación de cumplimiento de Azure.
Cifrado de Disco
Según lo exige la política de seguridad interna, el cifrado de disco se implementa en todos los dispositivos propiedad de Blip. Esta medida de seguridad es obligatoria para todos los activos de la empresa, lo que garantiza la protección de la información en caso de pérdida, robo o acceso no autorizado a los dispositivos.
Gestión de Dispositivos Móviles
Todos los dispositivos móviles de Blip adoptan controles de seguridad para reducir los riesgos asociados. Se adoptan tecnologías de gestión de dispositivos móviles (MDM, Mobile Device Management) junto con otros controles de seguridad adecuados para la protección adecuada de los activos.
Seguridad contra Códigos Maliciosos
Todos los ordenadores proporcionados a los empleados de Blip cuentan con una solución avanzada de antimalware (NGAV) y EDR. Además, se adoptan tecnologías de DLP, WebFilter, HIDPS, Firewall, entre otras. Se aplican controles de seguridad similares a los activos del entorno Cloud.
Instalación y uso de Software no Autorizado
Los empleados de Blip no están autorizados a utilizar software sin la autorización previa de las partes competentes. En el entorno Cloud, solo se utiliza software autorizado y esencial para el funcionamiento de los servicios.
Prevención de Pérdida de Datos
Blip adopta tecnología de prevención de pérdida de datos (DLP, por sus siglas en inglés) implementada en su entorno y aplica políticas estrictas relacionadas para prevenir la filtración o el acceso no autorizado a los datos.
Gestión de la Seguridad de la Información y los Eventos
Blip almacena los registros de seguridad en la solución SIEM (Security Information and Event Management), donde son supervisados y analizados por el equipo responsable. Este proceso forma parte integrante de la estrategia de respuesta a incidentes, lo que permite detectar, analizar y mitigar posibles amenazas.
Firewall y WAF
Las redes de la operación en la nube del entorno de Blip están protegidas por firewalls y un servicio WAF (Web Application Firewall) en sus bordes que supervisan y controlan el tráfico, bloqueando los accesos y las actividades sospechosas debido al riesgo que representan para la Plataforma Blip.
Reputación de IP
Se realizan análisis de reputación de IP en cada solicitud recibida por la Plataforma Blip. Si se identifica una IP con reputación negativa, la solicitud asociada puede bloquearse automáticamente, lo que evita riesgos de seguridad y garantiza la integridad de la Plataforma Blip.
Segregación de Redes
Las redes de producción, homologación y pruebas están segregadas y no se comunican entre sí.
Integraciones
Blip ofrece muchas posibilidades de integraciones que permiten conectar su solución de comunicación a diversas plataformas y servicios, potenciando sus interacciones con los usuarios. Estas integraciones facilitan la automatización de procesos, mejorando la experiencia del cliente y optimizando el funcionamiento de las empresas.
Entre las integraciones disponibles, puede encontrar opciones para conectarse a redes sociales, sistemas CRM, herramientas de marketing y mucho más. Esto le permite centralizar la comunicación y aprovechar los datos de diferentes fuentes para ofrecer un servicio más personalizado y eficiente.
Para explorar todas las posibilidades y comprender mejor cómo implementar estas integraciones, puede consultar la documentación completa disponible en https://docs.blip.ai/#integrations. Esta documentación proporciona detalles sobre cada integración, instrucciones de configuración y ejemplos prácticos, lo que facilita el uso de estas funciones en su estrategia de comunicación.
Control de Acceso
En la Plataforma Blip y en Blip Desk, los controles de acceso se gestionan de forma que se garantiza que cada usuario solo tenga acceso a las funciones necesarias para sus actividades.
El control de acceso en Blip Desk se realiza mediante permisos, que permiten al administrador definir qué agentes pueden utilizar determinadas funciones. Esta gestión de permisos es esencial para garantizar que cada miembro del equipo tenga acceso solo a las funciones necesarias para sus funciones específicas.
Estos son los aspectos principales del proceso:
– Registro de Usuarios: se pueden registrar nuevos usuarios en el Portal Blip, lo que les permite formar parte del equipo y configurar sus permisos.
– Autorización de Acceso: es posible autorizar el acceso para ver el contrato y el bot, garantizando que cada usuario tenga los permisos adecuados para sus responsabilidades.
– Añadir Asistentes al Contrato: Se pueden añadir asistentes al contrato, lo que les permite participar en la atención humana en Blip Desk.
– Permisos Individuales o en Grupos: El administrador puede configurar el acceso de forma individual para cada agente o en grupos de dos o más agentes a través del Portal.
– Reglas de Permisos: es fundamental respetar las reglas específicas de permisos de cada funcionalidad, ya que, al habilitar una nueva funcionalidad, los agentes registrados inicialmente no tendrán acceso hasta que se configuren los permisos.
– Funcionalidades con Permisos Activos: Algunas funcionalidades requieren que los permisos se activen desde el principio para garantizar que los agentes puedan utilizarlas correctamente.
Estos controles de acceso son fundamentales para garantizar la seguridad y la eficiencia en el uso de las plataformas, ya que permiten a los administradores configurar los permisos según las necesidades de cada miembro del equipo.
Soporte SSO
En la plataforma BLIP, es posible establecer SSO (Single Sign-On) para la autenticación de usuarios. Esta integración permite que el control de acceso se realice por usuario a través de la plataforma. Además, también es posible realizar la integración a través de ADFS (Active Directory Federation Services). De este modo, ofrecemos seguridad y flexibilidad en la autenticación y gestión del acceso de los usuarios.
Intercambio de Archivos en BLiP
Para ayudar a nuestros clientes a garantizar la seguridad de los archivos intercambiados con sus usuarios, los medios que circulan por BLiP se someten a un análisis antimalware (antes, durante y después del almacenamiento). También se bloquean algunos tipos de archivos potencialmente maliciosos, como ejecutables y bibliotecas. En primer lugar, los archivos son analizados por servicios de verificación de malware en el WAF (Web Application Firewall), luego son analizados por su solución interna de malware y, antes de ser almacenados en los sistemas de datos, durante el tráfico de datos, en tiempo real, también son analizados. Por último, cuando se almacenan, también se analizan, lo que culmina en hasta cuatro evaluaciones de malware.
Proveedor de Servicios de Computación en la Nube
La plataforma Blip está alojada en Microsoft Azure. La documentación de conformidad de Azure se puede encontrar en el Portal de documentación de conformidad de Azure
Autenticación
Blip adopta procedimientos de autenticación que requieren al menos dos factores de autenticación (2FA) para todos los accesos al entorno en la nube. Además, hemos implementado el acceso condicional para garantizar que solo los usuarios autorizados puedan acceder a determinados recursos, basándonos en políticas de seguridad específicas.
Para reforzar aún más la protección, se aplican políticas de geolocalización que restringen el acceso desde ubicaciones no autorizadas, lo que garantiza un mayor control sobre el origen de las conexiones. También utilizamos un almacén seguro de contraseñas para la gestión adecuada de las credenciales y tecnologías VPN para garantizar que las comunicaciones estén protegidas y se realicen a través de canales seguros.
Control de Acceso
El entorno de producción de Blip es restringido y protegido, con acceso limitado exclusivamente al personal autorizado. El control de acceso se basa en los principios de privilegio mínimo y necesidad de conocer, lo que garantiza que solo los empleados con los permisos adecuados puedan acceder a los activos críticos.
Además, los datos de auditoría, como los registros de acceso, se mantienen de forma segura y restringida a las partes competentes, garantizando que los datos sensibles y los recursos críticos estén protegidos contra el acceso no autorizado.
Gestión de Secretos
Blip adopta prácticas de gestión de secretos para proteger la información sensible de las aplicaciones, como claves API y contraseñas de bases de datos. Esta información se almacena en bóvedas de contraseñas seguras, con acceso restringido y controlado, lo que garantiza que solo los usuarios autorizados puedan acceder a ella.
Además, todas las actividades y accesos a los almacenes de contraseñas se registran de forma detallada, lo que permite una auditoría y una trazabilidad completas, garantizando que las credenciales y otros secretos se gestionen de forma segura y de acuerdo con las mejores prácticas de seguridad de la información.
Control de Acceso Basado en Funciones
Utilizamos un sistema de gestión de identidades y accesos (IDM) para gestionar todo el ciclo de vida de las identidades digitales. A través de nuestro proveedor de identidades, implementamos la segregación de funciones adoptando el modelo de Control de Acceso Basado en Funciones (RBAC). De esta manera, garantizamos que el aprovisionamiento, desaprovisionamiento, movimiento lateral y vertical corporativo de las identidades digitales de los empleados se ajusten automáticamente para reflejar el principio del privilegio mínimo, asegurando una gestión eficiente y segura de los permisos de acceso.
Registros de Acciones y Actividades en el Entorno de la Nube
Se mantienen registros de acciones y actividades, como modificaciones de configuraciones, creación y eliminación de activos en el entorno de producción, para permitir auditorías e investigaciones cuando sea necesario.
Supervisión
Blip implementa una supervisión continua de las acciones en el entorno mediante paneles de control que proporcionan visibilidad sobre el cumplimiento del entorno con las directrices de seguridad y ayudan a identificar rápidamente cualquier desviación o riesgo potencial.
Además, las políticas de seguridad se aplican mediante medidas coercitivas, siempre que sea posible, lo que garantiza que las medidas de protección se implementen y se sigan automáticamente en todas las capas del entorno.
Certificaciones de Seguridad
Los entornos de los proveedores de servicios de computación en la nube utilizados por Blip cumplen con los requisitos de seguridad más estrictos, en conformidad con las principales normas y regulaciones internacionales. Estos entornos son auditados regularmente por entidades externas independientes y cuentan con certificaciones de seguridad reconocidas a nivel mundial, como ISO27001, ISO27701, SOC2, etc., lo que garantiza la protección de los datos y la integridad de los sistemas.
Análisis Estático de Código
El ciclo de vida del desarrollo de software (SDLC) se somete a rigurosas evaluaciones utilizando una solución de pruebas de seguridad de aplicaciones estáticas (SAST), que realiza un análisis estático del código fuente del producto y de los archivos de configuración. Este proceso permite identificar y corregir posibles vulnerabilidades antes de que el código se implemente en producción, garantizando que las aplicaciones cumplan con los estándares de seguridad.
Blip adopta esta práctica como parte de su enfoque proactivo para detectar y mitigar los riesgos de seguridad, garantizando que el software de la Plataforma Blip se desarrolle de forma segura desde las fases iniciales hasta la implementación final. Además, las vulnerabilidades identificadas se tratan de forma ágil y eficiente, reforzando la protección contra posibles amenazas.
Análisis de la Composición del Software
Blip realiza un análisis detallado de la composición del software de la plataforma Blip para identificar y mitigar vulnerabilidades en los componentes de software, marcos y bibliotecas utilizados en el desarrollo de sus soluciones. Este proceso implica la verificación de todas las dependencias y bibliotecas de terceros, garantizando que cualquier vulnerabilidad conocida sea rápidamente identificada y corregida.
Esta práctica forma parte de nuestro enfoque de seguridad, que garantiza que todos los elementos que componen nuestras soluciones cumplan con los estándares de seguridad y estén protegidos contra posibles riesgos. Además, mantenemos un proceso continuo de supervisión y actualización para garantizar la integridad y la seguridad de todos los componentes de software a lo largo de su ciclo de vida.
Análisis y Aprobación de Cambios en el Código Fuente
Los equipos de desarrollo, al finalizar la codificación, ya sea de nuevas implementaciones o de corrección de defectos de software, son evaluados y aprobados rigurosamente por las partes competentes.
Seguridad del Código Fuente
Los códigos fuente de Blip se almacenan en un repositorio privado de gestión de código fuente (SCM), con acceso controlado y auditado. Este repositorio está protegido por políticas de seguridad, lo que garantiza que solo los usuarios autorizados puedan acceder, modificar o visualizar el código fuente. Además, todas las actividades de acceso y modificación se supervisan y registran para garantizar la trazabilidad y la integridad del código.
Blip adopta estas prácticas para proteger el código fuente contra accesos no autorizados y para garantizar que todas las modificaciones se realicen de forma segura y de conformidad con las políticas y normas establecidas.
Revisión del Código Fuente
El código fuente es revisado por personas competentes y con la experiencia necesaria para garantizar la solidez del código fuente. También se contempla la revisión del código de seguridad adoptando los principios del OWASP (Open Web Application Security Project).
Calidad del Código Fuente
Además de los aspectos de seguridad del código, se lleva a cabo una evaluación de la calidad del código por parte de equipos competentes y con el apoyo de software ampliamente conocido y adoptado por grandes empresas.
Segregación de Entornos
Blip realiza la segregación entre los entornos de desarrollo, homologación y producción, garantizando que cada entorno tenga sus propios permisos de acceso y controles específicos. El entorno de producción sigue el principio del privilegio mínimo, garantizando que los usuarios y los sistemas solo tengan acceso a los recursos necesarios para el desempeño de sus funciones.
Además, Blip implementa el control de acceso basado en funciones (RBAC, Role-Based Access Control), lo que garantiza que los permisos se asignen de acuerdo con las responsabilidades de cada usuario, minimizando el riesgo de acceso indebido o uso inadecuado de datos sensibles.
Este procedimiento de segregación y control de acceso contribuye a la seguridad e integridad de los datos, además de garantizar que las operaciones en cada entorno se realicen de forma segura y de conformidad con las políticas y normas establecidas por la Organización.
Realización de Pruebas de Intrusión (Pentest)
Blip contrata periódicamente a una empresa externa para la ejecución independiente de pruebas de intrusión (Pentest) en el producto Blip. Blip proporciona a los clientes, partes interesadas y competentes, cuando procede y tras la firma del NDA (Acuerdo de confidencialidad), una Carta de Evidencia con las pruebas de la realización de los análisis de vulnerabilidad y las pruebas de intrusión (Pentest). No se facilita el texto completo de la prueba de intrusión (Pentest), ya que se trata de información clasificada como confidencial.
Sí. Blip cuenta con un Programa formal de Privacidad y Protección de Datos, que incluye la estructuración de un Equipo de Privacidad, el establecimiento de políticas, procesos y controles tecnológicos, entre otras necesidades para el cumplimiento de la Legislación en materia de Privacidad.
Blip cuenta con un Data Protection Officer, que garantiza el cumplimiento de la legislación en materia de privacidad en lo que respecta al tratamiento de los datos por parte de la organización y el respeto de los derechos de los titulares de los datos. Puede ponerse en contacto con el Data Protection Officer a través del correo electrónico [email protected].
Blip adopta las mejores prácticas para proteger la privacidad y la confidencialidad de su información, manteniendo así medidas de seguridad conformes con las normas legales aplicables para la protección de la información contra el acceso y uso no autorizados, la alteración y la destrucción.
Para obtener más información sobre cómo la seguridad de la información forma parte de los pilares de Blip, acceda al menú «Seguridad» en «Visión general» y otros documentos, aquí, en el Portal de Privacidad y Seguridad de Blip.
Acceda a nuestras guías de «Preguntas Frecuentes sobre Privacidad de Datos» y obtenga más aclaraciones sobre el tema.
España: Paseo de La Habana, 9, 11, Chamartín, 28036 Madrid
México: Flexo Cibeles. Plaza Villa Madrid No. 1, Roma Norte, Cuauhtémoc, 06700 Ciudad de México, CDMX.
Certificado ISO 27001
