Seguridad de los Servicios

Objetivos de seguridad SGSI Gestión de riesgos Normas y certificaciones Seguridad física y ambiental Continuidad de los servicios Gestión de accesos lógicos Gestión de activos Gestión de vulnerabilidades Recursos humanos

Última actualización: noviembre de 2024

Este documento describe las medidas técnicas y organizativas implementadas por JOTELULU como parte de sus servicios, para garantizar la seguridad de los datos de sus clientes, en particular los datos alojados en las infraestructuras puestas a su disposición. También describe las medidas técnicas y organizativas de las que el cliente es responsable en el marco del uso de los servicios proporcionados por JOTELULU. Este documento forma parte integrante del contrato de servicio en vigor entre JOTELULU y el cliente.

  1. Objetivos de Seguridad

JOTELULU

Las medidas técnicas y organizativas implementadas por JOTELULU tienen como objetivo garantizar, en el marco de la prestación de sus servicios, la seguridad de los datos procesados en nombre de sus clientes, en particular los datos alojados en las infraestructuras puestas a su disposición, y proteger dichos datos contra la destrucción, pérdida, indisponibilidad, alteración y accesos no autorizados.

Un resumen de los objetivos de seguridad está disponible aquí: (https://jotelulu.com/infraestructura-seguridad/)

Cliente

El cliente define sus propios objetivos de seguridad, en particular aquellos relacionados con el uso de los servicios de JOTELULU. Garantiza que dichos servicios se ajusten a sus objetivos de seguridad y, cuando corresponda, a las necesidades y objetivos de seguridad del cliente final.

  1. Sistema de Gestión de Seguridad de la Información

JOTELULU

Con el objetivo de alcanzar sus objetivos de seguridad, JOTELULU ha implementado y mantiene un Sistema de Gestión de Seguridad de la Información (SGSI) adecuado, bajo el cual se formalizan e implementan políticas, procedimientos y una organización que permiten, de manera sistemática y continua:

  • Identificar los riesgos de seguridad de la información y establecer un plan de tratamiento y medidas técnicas y organizativas apropiadas;
  • Designar las partes interesadas y garantizar que sean conscientes de los riesgos inherentes a su función, y que cuenten con la experiencia y los recursos necesarios para abordar estos problemas;
  • Proporcionar a sus clientes información que les permita garantizar que los servicios cumplen con sus necesidades y que puedan usarlos de manera adecuada para garantizar la seguridad de sus datos y la continuidad de sus actividades.

Este SGSI cumple con los requisitos de la norma ISO 27001:2022 y cubre todas las actividades realizadas por JOTELULU y sus subcontratistas como parte de la prestación de los servicios.

Las medidas técnicas y organizativas implementadas en este marco se revisan periódicamente y, si es necesario, se adaptan a los cambios en el contexto (tecnológico, regulatorio, organizativo, ambiental, etc.) en el que se prestan los servicios.

JOTELULU pone a disposición de sus clientes, bajo solicitud y de acuerdo con los términos del contrato de servicio, cualquier información adicional útil sobre su SGSI, incluyendo las amenazas consideradas y los criterios implementados como parte de su sistema de gestión de riesgos.

Cliente

El cliente implementa su propio sistema de gestión de seguridad de la información para proteger su sistema de información y, en particular, su uso de los servicios de JOTELULU.

En este contexto, el cliente deberá asegurarse, en particular, de que los servicios que utiliza, incluidas las medidas técnicas y organizativas implementadas por JOTELULU, se adapten a sus necesidades y, cuando corresponda, a las necesidades de los clientes finales, y deberá implementar cualquier medida adicional necesaria.

  1. Gestión de Riesgos

JOTELULU

JOTELULU realiza análisis de riesgos formalizados utilizando una metodología basada en la norma ISO 27005. Estos análisis abarcan todas las actividades relacionadas con la provisión de servicios ofrecidos por JOTELULU a sus clientes.

El análisis de riesgos da lugar a la definición de un plan de tratamiento implementado bajo la responsabilidad del CISO y los gestores de activos.

El análisis de riesgos se revisa periódicamente, al menos una vez al año, y da lugar a una actualización del plan de tratamiento, fomentando así la mejora continua.

JOTELULU pone a disposición de sus clientes, bajo solicitud y de acuerdo con las condiciones establecidas en el contrato de servicio, cualquier información adicional útil sobre su gestión de riesgos, en particular las amenazas consideradas y los criterios implementados como parte de su sistema de gestión de riesgos.

Cliente

El cliente es responsable de su propia gestión de riesgos, especialmente en relación con su uso de los servicios.

El cliente garantiza que las características y condiciones de uso de los servicios de JOTELULU, y en particular las medidas técnicas y organizativas implementadas por JOTELULU, se adapten a sus actividades y, en su caso, a las actividades de los clientes finales, teniendo en cuenta los riesgos inherentes a dichas actividades.

Los servicios de JOTELULU pueden ser auditados por el cliente según lo previsto en el contrato de servicio.

  1. Normas y Certificaciones

JOTELULU

En el marco de sus actividades, JOTELULU aplica normas reconocidas en la industria, en particular las siguientes normas de certificación:

  • Certificación ISO/IEC27001

JOTELULU has implemented an Information Security Management System (ISMS) that complies with the ISO/IEC27001:2022 standard.

La conformidad del SGSI de JOTELULU con la norma ISO27001:2022 ha sido auditada por un auditor independiente reconocido para los siguientes servicios:

  • Servidores
  • Escritorio remoto
  • Almacenamiento de archivos
  • Almacenamiento de objetos..
  • Código de Conducta CISPE

JOTELULU se compromete a garantizar que sus servicios cumplan con el Código de Conducta para Proveedores de Servicios de Infraestructura en la Nube publicado por la asociación CISPE (Cloud Infrastructure Services Providers in Europe) y aprobado por la CNIL el 3 de junio de 2021 (ver Deliberación 2021-065 del 3 de junio de 2021). Este código define las mejores prácticas que los proveedores de infraestructura en la nube pueden implementar para cumplir con el Reglamento General de Protección de Datos (RGPD).

  • INCIBE – Catalogo de Ciberseguridad.

JOTELULU está registrada en el catálogo de empresas y servicios de ciberseguridad del INCIBE (Instituto Nacional de Ciberseguridad).

  • Sello PYME Innovadora

Sello que certifica que, en los últimos años, la empresa ha llevado a cabo actividades en los ámbitos de la Investigación, el Desarrollo Tecnológico o la Innovación Tecnológica.

La conformidad de JOTELULU con estas normas de certificación es reevaluada y auditada anualmente, tanto internamente como por auditores externos independientes y reconocidos.

En caso de identificar no conformidades, se implementan medidas correctivas y de remediación.

Cliente

Dado el contexto en el que se utiliza JOTELULU, especialmente sus compromisos contractuales con terceros y las normativas aplicables a sus actividades, el cliente debe garantizar que los servicios de JOTELULU cuenten con todas las certificaciones requeridas.

El cliente debe considerar, en particular, el tipo de datos alojados en las infraestructuras proporcionadas por JOTELULU, los tratamientos realizados sobre dichos datos y, en su caso, la naturaleza de las actividades de los clientes finales.

  1. Seguridad física y ambiental

JOTELULU

Los servicios de JOTELULU se alojan en centros de datos europeos de alto nivel, seleccionados según estrictos criterios de seguridad, disponibilidad y conectividad.

  • Control de acceso físico
  • Acceso físico sujeto a autorización previa y verificación sistemática de identidad.
  • Control de acceso mediante tarjetas individuales y nominativas o sistemas de gestión de acceso biométrico.
  • Implementación de cinco (5) capas de protección física (acceso al perímetro, edificio, salas técnicas, armarios de rack).
  • Presencia 24/7 de guardias de seguridad profesionales.
  • Sistema continuo de videovigilancia 24/7 que incluye cámaras exteriores e interiores (puertas de acceso, SAS, pasillos) y grabación de video para investigaciones en caso de incidentes.
  • Registro y revisión periódica de los accesos.
  • Sistema de protección contra incendios

Todos los entornos cuentan con sistemas de extinción de incendios diseñados para apagar cualquier fuego en cuestión de segundos y sin dejar residuos, incluyendo:

  • Detectores de humo.
  • Inicio automático de sistemas de extinción.
  • Botones de parada manual de emergencia en todas las salas.
  • Detectores ópticos e iónicos con sistema VESDA.
  • Alarmas monitorizadas 24/7.
  • Controles ambientales

Los centros de datos están ubicados en zonas sin riesgos conocidos de inundaciones o sismos.

Las infraestructuras de los servicios están instaladas en entornos permanentemente controlados bajo las siguientes condiciones:

  • Refrigeración continua (24/24).
  • Equipos de aire acondicionado redundantes.
  • Temperatura de 21 ºC.
  • 50% de humedad relativa.
  • Sistema automático de detección y monitoreo de incidentes.
  • Certificaciones

Los centros de datos donde se alojan los servicios de JOTELULU están certificados conforme a las siguientes normas:

  • ISO 14001 – Sistemas de gestión ambiental.
  • ISO 22301 – Seguridad y continuidad de negocio.
  • ISO 27001 – Gestión de seguridad de la información.
  • ISO 9001 – Gestión de calidad.
  • ISO 50001 – Sistemas de gestión energética.
  • SOC1/SOC2 – Controles de la organización del servicio.
  • PCI-DSS – Estándar de seguridad de datos para la industria de tarjetas de pago.
  • HDS – Alojamiento de datos de salud personales (DataCenters de París).
  • ENS – Esquema Nacional de Seguridad (DataCenters de Madrid).)
  • Monitorización

JOTELULU asegura, mediante evaluaciones periódicas, que los proveedores externos responsables de mantener operativos los centros de datos utilizados en el marco de los servicios implementen medidas técnicas y operativas adecuadas, como se describe anteriormente.

Cliente

El cliente es el único responsable de la seguridad física y ambiental de todas las infraestructuras que utiliza y que no son proporcionadas por JOTELULU.

  1. Continuidad de los servicios

JOTELULU

JOTELULU ha implementado un plan de continuidad de servicios que incluye las medidas descritas a continuación. Este plan se revisa periódicamente y, si es necesario, se adapta a los cambios que puedan ocurrir en el contexto en el que se prestan los servicios.

Las medidas implementadas para garantizar la continuidad de los activos críticos se prueban de forma periódica.

  • Redundancia de infraestructuras

OTELULU ha desplegado una arquitectura redundante para garantizar que la falla de un componente no afecte al funcionamiento normal de los servicios. En particular:

  • Los centros de datos están equipados con conexiones redundantes a la red eléctrica y generadores diésel dimensionados para satisfacer las necesidades energéticas de todo el edificio y la infraestructura.
  • Cada servidor tiene dos fuentes de alimentación, cada una conectada a un segmento eléctrico diferente del centro de datos.
  • Los centros de datos donde se alojan los servicios son neutrales y ofrecen una amplia gama de conectividad, lo que permite a JOTELULU tener varios circuitos de red de diferentes proveedores para protegerse contra la pérdida de conectividad por fallo de un proveedor.
  • Los equipos de infraestructura tienen al menos dos conexiones de red de alta disponibilidad (LAG), y cada conexión de red tiene su propio switch, para que la falla de un switch no interrumpa el servicio.
  • Se ha implementado una agregación de enlaces multi-chasis en la que cada router y cada switch (de agregación y acceso) es redundante, garantizando la disponibilidad y escalabilidad de la red.
  • La infraestructura del Portal es de alta disponibilidad (HA) en dos DataCenters diferentes.
  • Redundancia N x 1.25 en hipervisores, proporcionando suficiente capacidad para soportar la falla de hasta un 25% de ellos. En caso de falla de un hipervisor, los servidores alojados en él se inician automáticamente en otros hipervisores.
  • Alta disponibilidad del almacenamiento, combinando clústeres basados en almacenamiento con espejado síncrono para una recuperación fluida ante fallos.
  • Sistema Anti-DDoS

Las infraestructuras están equipadas con un sistema anti-DDoS que previene y filtra los ataques de denegación de servicio para garantizar la disponibilidad de los servicios. Este sistema incluye varias líneas de detección y filtrado que permiten gestionar ataques pequeños (cientos de Mb/s) y diferenciar ataques mayores (miles de Gb/s).

  • Planificación de la capacidad.

JOTELULU asegura, mediante monitoreo y revisiones periódicas, que la capacidad y el dimensionamiento de las infraestructuras utilizadas cumplan con los acuerdos de nivel de servicio. Para recursos compartidos entre varios clientes, JOTELULU hace todo lo posible para satisfacer las necesidades de capacidad de los clientes, pero no garantiza un volumen específico de recursos disponibles.

  • Gestión de cambios

JOTELULU implementa una política de gestión de cambios diseñada para garantizar la continuidad de los servicios en caso de modificaciones o cambios.

Como parte del desarrollo, actualización y evolución del sistema de información, se aplican los siguientes principios:

  • Evaluación de requisitos y riesgos en la etapa de planificación.
  • Desarrollo en un entorno de desarrollo.
  • Pruebas y aceptación de aseguramiento de calidad, incluyendo la seguridad.
  • Pruebas en entornos beta.
  • Puesta en producción tras la aprobación y según la planificación del proceso de cambio.

Los clientes son informados de los cambios que puedan tener un impacto en las condiciones de uso de los servicios (en particular niveles de rendimiento, condiciones de interoperabilidad, niveles de seguridad, continuidad de los servicios, cambios en las funcionalidades, etc.).

Cliente

El cliente es responsable de la continuidad de sus actividades, en particular de la disponibilidad del sistema de información que aloja en las infraestructuras puestas a su disposición por JOTELULU.

En este sentido, el cliente:

  • Garantiza la correcta gestión de los elementos y procesos que están bajo su responsabilidad, según lo establecido en el contrato de servicio.
  • Asegura que las características y condiciones de los servicios (en particular el dimensionamiento y el nivel de rendimiento de los servicios) sean adecuadas para alcanzar sus objetivos de disponibilidad y continuidad.
  • Es responsable de activar y configurar las funciones y opciones disponibles para garantizar la continuidad de sus actividades (en particular las funciones de copia de seguridad y versionado).
  • Implementa medidas adicionales (como copias de seguridad remotas, recursos redundantes, etc.) que puedan ser necesarias para garantizar el cumplimiento de estos objetivos.
  • Tiene en cuenta los incidentes, así como los cambios y desarrollos en los servicios comunicados por JOTELULU, y adapta, si es necesario, su organización y las condiciones bajo las cuales utiliza los servicios.

 

  1. Gestión de accesos lógicos

JOTELULU

  • Acceso de JOTELULU al sistema de información

JOTELULU implementa las siguientes medidas para garantizar la seguridad del acceso a los diferentes componentes del sistema de información utilizado en el marco de los servicios:

  • Gestión de identidades y accesos documentada y centralizada.
  • Proceso formalizado para la asignación y eliminación de derechos de acceso.
  • Implementación de los principios de privilegio mínimo y minimización.
  • Asignación de derechos de acceso basada en roles predefinidos o en la pertenencia a grupos operativos.
  • Revisión periódica de los derechos de acceso.
  • Supervisión del proceso de entrada/salida de empleados, especialmente para garantizar que los derechos de acceso se asignen y revoquen adecuadamente, sobre todo cuando un empleado abandona la organización o cambia de función.
  • Uso de cuentas de usuario individuales y nominativas, si es posible.
  • Implementación de una política de gestión de contraseñas conforme al estado del arte.
  • Implementación de un sistema de autenticación multifactor obligatoria para roles con privilegios, en particular para administradores.
  • Registro de conexiones y almacenamiento seguro de los registros (logs)..
  • Acceso del cliente a los servicios

JOTELULU proporciona al cliente una plataforma que le permite designar a las personas autorizadas, en su nombre, para usar los servicios de JOTELULU.

En particular, esta plataforma permite crear y eliminar usuarios, crear diferentes perfiles de usuario con derechos de acceso específicos.

La plataforma también permite al cliente usar la autenticación de dos factores (2FA).

Los registros de accesos y eventos se almacenan durante 12 meses y están disponibles para el cliente dentro de la plataforma o bajo petición de cliente.

Cliente

El cliente es el único responsable de gestionar el acceso de los miembros de su personal a los servicios y a la plataforma de gestión de servicios proporcionada por JOTELULU. En particular, el cliente es responsable de:

  • La creación y eliminación de cuentas de usuario para los miembros de su personal, así como la asignación de los derechos necesarios para el desempeño de sus funciones.
  • Activar la funcionalidad de autenticación de dos factores (2FA).
  • Controlar y revisar periódicamente los derechos de acceso de su personal.
  • Implementar medidas técnicas y operativas para garantizar la confidencialidad de los métodos de autenticación de los usuarios que forman parte de su personal.

Además, el cliente es el único responsable de gestionar las autorizaciones y el acceso lógico a los sistemas y aplicaciones no proporcionados por JOTELULU (incluidos aquellos desplegados como parte de los servicios).

  1. Gestión de activos

JOTELULU

Todos los activos necesarios para proporcionar los servicios (en particular máquinas físicas y virtuales, equipos de red, espacio de almacenamiento, etc.) están inventariados.

El inventario de activos se actualiza periódicamente.

Cada activo está bajo la responsabilidad de un equipo identificado, encargada de garantizar la gestión adecuada del activo en cumplimiento con las políticas implementadas por JOTELULU (análisis y tratamiento de riesgos asociados, gestión de vulnerabilidades, gestión de accesos, mantenimiento en condiciones operativas, etc.).

Al final de su vida útil o en caso de un cambio de uso de un activo que pueda contener datos, se implementa previamente un proceso de borrado que cumple con los estándares de la industria.

Del mismo modo, el equipo que llega al final de su vida útil se destruye de acuerdo con los estándares de la industria.

Cliente

El cliente es responsable de gestionar y proteger los activos que utiliza como parte de los servicios (instancias, espacios de almacenamiento, sistemas y aplicaciones instalados en las infraestructuras puestas a su disposición, etc.).

Antes de la fecha efectiva de terminación o expiración de los servicios que utiliza, el cliente debe asegurarse de que los datos alojados en dichas infraestructuras sean eliminados.

  1. Gestión de vulnerabilidades

JOTELULU

El sistema de información utilizado para prestar los servicios cuenta con una protección adecuada contra los riesgos de intrusión, que incluye: particionamiento, firewalls, filtrado IP y sistemas de detección de intrusiones, acceso a través de bastiones de seguridad.

Los equipos de trabajo de los empleados están equipados con software antivirus actualizado y un sistema de detección de código malicioso.

Además, JOTELULU mantiene una vigilancia tecnológica que le permite detectar y remediar vulnerabilidades en los activos utilizados para prestar sus servicios.

Las vulnerabilidades se detectan mediante:

  • Información proporcionada por los fabricantes y editores de los componentes utilizados.
  • Comunidades de usuarios.
  • Comunidades de código abierto, cuando corresponda.
  • Incidentes detectados por JOTELULU y/o sus clientes.
  • Supervisión de los servicios.
  • Revisiones de código y configuraciones, particularmente en el caso de nuevos desarrollos.
  • Auditorías internas y pruebas de penetración realizadas periódicamente.

Cuando se detecta una vulnerabilidad, se realiza un estudio de impacto, se implementan acciones de mitigación y remediación, y se informa a los clientes expuestos.

Cliente

El cliente es responsable de la gestión de las vulnerabilidades de los elementos que están fuera del ámbito de responsabilidad de JOTELULU, en particular de los sistemas y aplicaciones desplegados en las infraestructuras puestas a su disposición por JOTELULU.

El cliente implementa todas las medidas útiles para minimizar el impacto y remediar las vulnerabilidades de las que tenga conocimiento, en particular aquellas que le sean notificadas por JOTELULU.

  1. Recursos humanos

JOTELULU

JOTELULU implementa medidas adecuadas para garantizar que el personal que emplea posea las habilidades y conocimientos necesarios para contribuir a la seguridad de la información, en particular:

  • El alta y baja de empleados se gestiona mediante procesos que controlan la asignación y devolución de activos, así como la asignación de accesos lógicos al sistema de información.
  • Todos los empleados reciben formación sobre seguridad de la información y protección de datos personales al incorporarse y, posteriormente, de forma periódica (al menos una vez al año).
  • Todos los contratos (de trabajo o de servicios) incluyen un compromiso de confidencialidad.
  • Se ponen a disposición de los empleados políticas y procedimientos formalizados relacionados con la gestión y uso de los distintos componentes del sistema de información, a los cuales se comprometen a cumplir.
  • Se llevan a cabo campañas de comunicación y pruebas con los empleados de forma regular.

Cliente

El cliente sigue siendo responsable de los miembros de su personal, en particular de aquellos encargados de utilizar los servicios.

El cliente deberá asegurarse de que los miembros de su personal dispongan del conocimiento y las habilidades necesarias para utilizar los servicios, así como comunicarles las condiciones de uso de los mismos (incluidas las modificaciones) y, en general, todas las instrucciones e información útiles.