# Prácticas de Privacidad, Protección de Datos y Ciberseguridad #### **Presentación** Skyone integra sus áreas de Seguridad de la Información y Operaciones a lo largo de todo el ciclo de prestación de servicios de infraestructura, actuando de forma continua en la detección, prevención, mitigación y respuesta a incidentes de privacidad, protección de datos y ciberseguridad. Nuestro compromiso es mantener entornos informáticos cada vez más confiables, disponibles e íntegros. A continuación, presentamos respuestas consolidadas a las preguntas más frecuentes en auditorías y RFPs sobre nuestra actuación en estos temas. {% hint style="info" %} Si necesita información adicional, comuníquese con: ****. {% endhint %} *** ### Gobernanza y Operaciones
Procesos y procedimientos de privacidad, protección de datos y ciberseguridad Skyone opera siguiendo prácticas estructuradas y certificadas en conformidad con **ABNT NBR ISO/IEC 27001:2022**, garantizando la mejora continua del Sistema de Gestión de Seguridad de la Información. **Rutina de Análisis de Seguridad** Realizamos semanalmente actividades para identificar y mitigar riesgos en sistemas operativos, interfaces web y bases de datos, incluyendo: * Aplicación de parches y actualizaciones de software * Actualizaciones de sistemas operativos y bases de datos * Exploración y mapeo de puertos abiertos **Gestión y Clasificación de Vulnerabilidades** Utilizamos **CVSS v3.0** para clasificar las vulnerabilidades (Crítica, Alta, Media, Baja), aplicando correcciones según el nivel de severidad, con evidencia registrada en nuestros procesos de gobernanza. **Monitoreo, Detección y Respuesta** Nuestro SOC opera con tecnología **XDR (Extended Detection and Response)** para el monitoreo continuo y la respuesta a eventos de seguridad. **Gestión de Incidentes** Mantenemos un plan estructurado para el tratamiento de eventos e incidentes relacionados con privacidad, protección de datos y ciberseguridad, conducido por nuestra área de Gobernanza. **Plan de Comunicación de Incidentes** Adoptamos un modelo estratégico de comunicación que garantiza información adecuada a las partes interesadas durante incidentes y situaciones críticas. **Seguridad de Endpoints** * Todos los dispositivos son corporativos y cuentan con EDR monitoreado por el área de Seguridad. * No se permite el uso de equipos personales, incluso en trabajo remoto. * Los puertos USB están bloqueados para evitar accesos no autorizados. **Adecuación a la LGPD** Desde 2020, ejecutamos acciones continuas de conformidad con la LGPD. Recopilamos datos solamente mediante: * Formularios en nuestro sitio web y hotsites * Herramientas integradas a campañas de marketing **Directrices aplicadas:** * Solicitud de consentimiento en todas las comunicaciones enviadas a contactos del CRM * Aviso de política de privacidad y control de cookies en todos los formularios * Auditorías periódicas del área de Gobernanza * Cambios solo con aprobación del Comité de Privacidad * Revisión contractual de proveedores respecto a cláusulas de privacidad
Comunicación de Incidentes Seguimos un flujo estandarizado a través de un portal dedicado, que abarca:\ **Registro → Categorización → Diagnóstico → Resolución → Cierre**
Gestión de Cambios (GMUD) Todos los cambios en los entornos de los clientes pasan por un análisis completo, incluyendo: * Identificación del cambio * Impactos y sistemas afectados * Plan de pruebas antes y después del cambio * Plan de rollback * Aprobación formal mediante ticket en el Portal del Cliente
Cancelación de Contrato En caso de cancelación: * Las multas siguen un cálculo proporcional al tiempo restante del contrato. * Skyone pone a disposición una copia de seguridad de la base de datos durante **15 días** después de la rescisión. * Las solicitudes deben enviarse a: ****
Seguro Cibernético Actualmente, Skyone no cuenta con seguro cibernético.
Código de Ética, Conducta y Política de Privacidad Todos los documentos son públicos y están disponibles en nuestro sitio web.
DPO (Encargado de Datos) Skyone cuenta con un DPO designado. La información está disponible en:\
*** ## **Plataformas y Proveedores de Nube**
Tecnologías Utilizadas Operamos con tecnologías de última generación proporcionadas por proveedores líderes de nube pública:
**AWS, Google Cloud Platform (GCP), Microsoft Azure y Oracle Cloud**, en Brasil y en el exterior.
Plataformas y Componentes del Entorno La arquitectura de nube pública abstrae capas de hardware, almacenamiento, red y virtualización, quedando los proveedores responsables por las actualizaciones y la mitigación de riesgos. **Hardware** Compuesto por datacenters con: * Switches, enrutadores y firewalls * Balanceadores de carga * Matrices de almacenamiento * Servidores físicos * Infraestructura de respaldo **Almacenamiento** Alta disponibilidad (**SLA de 99,99%**) con redundancia e indexación para recuperación ante fallas. **Red** Estructuras específicas según el proveedor: * **VPC** (AWS y Google) * **VNET** (Azure) * **VCN** (Oracle) Configuraciones con múltiples subredes permiten aislamiento, segmentación del tráfico y mitigación de ataques laterales. **Virtualización** Recursos virtualizados mediante hipervisores, formando pools de memoria, procesamiento y almacenamiento que componen el entorno en la nube.
Verificación de la Seguridad del Proveedor de Nube Los proveedores cumplen y son auditados bajo normas reconocidas, tales como: **PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-17.**
Modelo de Responsabilidad Compartida La seguridad es compartida entre: * Proveedor de nube pública * Skyone * Cliente **Responsabilidades:** **Proveedor de Nube** * Infraestructura física * Virtualización * Seguridad de instalaciones **Skyone y Cliente** * Sistemas operativos y parches * Configuración y seguridad de bases de datos * Aplicaciones * Grupos y políticas de seguridad
Medidas de Seguridad para Mitigación de Riesgos **a. Pilares Estratégicos** * Exploraciones semanales de vulnerabilidad * Pruebas de penetración semestrales * Aplicación continua de paquetes automatizados de parches/fixes **b. Gestión de Accesos** Realizada por el área de Seguridad de la Información, con: * Concesión mediante solicitud formal * Principio del mínimo privilegio * Auditorías periódicas **c. Tipos de Acceso** * **Usuarios finales:** acceso seguro sin VPN, con registro y opciones de MFA y SSO (SAML) * **Consultores y administradores:** acceso vía VPN, con credenciales emitidas mediante ticket **d. Principio del Mínimo Privilegio** Skyone utiliza un cofre de contraseñas para accesos administrativos, reduciendo el riesgo de exposición de credenciales.
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.skyone.cloud/espanol/seguranca-privacidade-e-conformidade/practicas-de-privacidad-proteccion-de-datos-y-ciberseguridad.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.