Prácticas de Privacidad, Protección de Datos y Ciberseguridad

Skyone opera siguiendo prácticas estructuradas y certificadas en conformidad con ABNT NBR ISO/IEC 27001:2022, garantizando la mejora continua del Sistema de Gestión de Seguridad de la Información.

Rutina de Análisis de Seguridad

Realizamos semanalmente actividades para identificar y mitigar riesgos en sistemas operativos, interfaces web y bases de datos, incluyendo:

• Aplicación de parches y actualizaciones de software

• Actualizaciones de sistemas operativos y bases de datos

• Exploración y mapeo de puertos abiertos

Gestión y Clasificación de Vulnerabilidades

Utilizamos CVSS v3.0 para clasificar las vulnerabilidades (Crítica, Alta, Media, Baja), aplicando correcciones según el nivel de severidad, con evidencia registrada en nuestros procesos de gobernanza.

Monitoreo, Detección y Respuesta

Nuestro SOC opera con tecnología XDR (Extended Detection and Response) para el monitoreo continuo y la respuesta a eventos de seguridad.

Gestión de Incidentes

Mantenemos un plan estructurado para el tratamiento de eventos e incidentes relacionados con privacidad, protección de datos y ciberseguridad, conducido por nuestra área de Gobernanza.

Plan de Comunicación de Incidentes

Adoptamos un modelo estratégico de comunicación que garantiza información adecuada a las partes interesadas durante incidentes y situaciones críticas.

Seguridad de Endpoints

• Todos los dispositivos son corporativos y cuentan con EDR monitoreado por el área de Seguridad.

• No se permite el uso de equipos personales, incluso en trabajo remoto.

• Los puertos USB están bloqueados para evitar accesos no autorizados.

Adecuación a la LGPD

Desde 2020, ejecutamos acciones continuas de conformidad con la LGPD. Recopilamos datos solamente mediante:

• Formularios en nuestro sitio web y hotsites

• Herramientas integradas a campañas de marketing

Directrices aplicadas:

• Solicitud de consentimiento en todas las comunicaciones enviadas a contactos del CRM

• Aviso de política de privacidad y control de cookies en todos los formularios

• Auditorías periódicas del área de Gobernanza

• Cambios solo con aprobación del Comité de Privacidad

• Revisión contractual de proveedores respecto a cláusulas de privacidad

Seguimos un flujo estandarizado a través de un portal dedicado, que abarca: Registro → Categorización → Diagnóstico → Resolución → Cierre

Todos los cambios en los entornos de los clientes pasan por un análisis completo, incluyendo:

• Identificación del cambio

• Impactos y sistemas afectados

• Plan de pruebas antes y después del cambio

• Plan de rollback

• Aprobación formal mediante ticket en el Portal del Cliente

En caso de cancelación:

• Las multas siguen un cálculo proporcional al tiempo restante del contrato.

• Skyone pone a disposición una copia de seguridad de la base de datos durante 15 días después de la rescisión.

• Las solicitudes deben enviarse a: [email protected]

Actualmente, Skyone no cuenta con seguro cibernético.

Todos los documentos son públicos y están disponibles en nuestro sitio web.

Skyone cuenta con un DPO designado. La información está disponible en: https://skyone.solutions/juridico/politica-de-privacidad/

Operamos con tecnologías de última generación proporcionadas por proveedores líderes de nube pública:

AWS, Google Cloud Platform (GCP), Microsoft Azure y Oracle Cloud, en Brasil y en el exterior.

La arquitectura de nube pública abstrae capas de hardware, almacenamiento, red y virtualización, quedando los proveedores responsables por las actualizaciones y la mitigación de riesgos.

Hardware

Compuesto por datacenters con:

• Switches, enrutadores y firewalls

• Balanceadores de carga

• Matrices de almacenamiento

• Servidores físicos

• Infraestructura de respaldo

Almacenamiento

Alta disponibilidad (SLA de 99,99%) con redundancia e indexación para recuperación ante fallas.

Red

Estructuras específicas según el proveedor:

• VPC (AWS y Google)

• VNET (Azure)

• VCN (Oracle)

Configuraciones con múltiples subredes permiten aislamiento, segmentación del tráfico y mitigación de ataques laterales.

Virtualización

Recursos virtualizados mediante hipervisores, formando pools de memoria, procesamiento y almacenamiento que componen el entorno en la nube.

Los proveedores cumplen y son auditados bajo normas reconocidas, tales como:

PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-17.

La seguridad es compartida entre:

• Proveedor de nube pública

• Skyone

• Cliente

Responsabilidades:

Proveedor de Nube

• Infraestructura física

• Virtualización

• Seguridad de instalaciones

Skyone y Cliente

• Sistemas operativos y parches

• Configuración y seguridad de bases de datos

• Aplicaciones

• Grupos y políticas de seguridad

a. Pilares Estratégicos

• Exploraciones semanales de vulnerabilidad

• Pruebas de penetración semestrales

• Aplicación continua de paquetes automatizados de parches/fixes

b. Gestión de Accesos

Realizada por el área de Seguridad de la Información, con:

• Concesión mediante solicitud formal

• Principio del mínimo privilegio

• Auditorías periódicas

c. Tipos de Acceso

• Usuarios finales: acceso seguro sin VPN, con registro y opciones de MFA y SSO (SAML)

• Consultores y administradores: acceso vía VPN, con credenciales emitidas mediante ticket

d. Principio del Mínimo Privilegio

Skyone utiliza un cofre de contraseñas para accesos administrativos, reduciendo el riesgo de exposición de credenciales.