Prácticas de privacidad, protección de datos y ciberseguridad para Autosky

Skyone, en el ámbito de la prestación de servicios de Licenciamiento de Uso de Skyone Autosky y de la configuración de los entornos definidos en el momento de la contratación por parte del cliente final, involucra a sus áreas de Gobernanza y Operaciones en la detección, resolución, prevención y mitigación de incidentes relacionados con la privacidad, la protección de datos y la ciberseguridad. De esta manera, garantiza la entrega de soluciones computacionales cada vez más relevantes, disponibles e íntegras. A continuación, presentamos las respuestas a las principales preguntas recurrentes en RFPs y auditorías, específicamente relacionadas con las prácticas adoptadas por Skyone en materia de privacidad, protección de datos y ciberseguridad.

Si la información de este documento no aclara sus dudas, por favor envíe sus preguntas o solicite una reunión enviando un correo electrónico con sus datos a: [email protected]

Gobernanza y Operaciones

¿Cuáles son los procesos y procedimientos de privacidad, protección de datos y ciberseguridad implementados por Skyone?

Los procesos y procedimientos de privacidad, protección de datos y ciberseguridad son componentes esenciales y críticos para la operación de Skyone. La empresa alineó sus prácticas a estándares internacionales y obtuvo la certificación ABNT NBR ISO/IEC 27001:2022, que establece los requisitos para implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). A continuación, se detallan los principales procesos y procedimientos implementados:

Rutina de análisis de seguridad

Realizamos procesos semanales para identificar y mitigar riesgos en el sistema operativo, interfaces web y bases de datos de la plataforma Autosky, incluyendo, pero no limitado a:

Plan de gestión de vulnerabilidades

  • Escaneo de vulnerabilidades de la superficie externa e interna

  • Escaneo en la dark web

  • Aplicación de parches de software

  • Actualización de versiones del sistema operativo

  • Actualización de versiones de la base de datos

  • Escaneo y mapeo de puertos abiertos

Mapeo y clasificación de vulnerabilidades Las vulnerabilidades se categorizan según el Common Vulnerability Scoring System v3.0 (CVSS v3.0 Rating), una estructura abierta para comunicar características y gravedad de vulnerabilidades de software:

  • Crítica

  • Alta

  • Media

  • Baja

Los procesos regulares aplican acciones correctivas basadas en el nivel de severidad, debidamente registradas y tratadas dentro del proceso de Gobernanza de Seguridad.

Rutina de monitoreo, detección y respuesta

Ejecutamos rutinas continuas de análisis y gestión mediante nuestro SOC, responsable del monitoreo y generación de alertas de seguridad con tecnología XDR (Extended Detection and Response).

Plan de gestión de incidentes de privacidad, protección de datos y ciberseguridad

Este plan establece de manera sistémica todas las etapas del tratamiento de eventos e incidentes, conducido por el área de Gobernanza de Skyone dentro del programa de privacidad, protección de datos y ciberseguridad.

Plan de comunicación de incidentes

Mantenemos un plan estructurado de respuesta a incidentes, donde las iniciativas de comunicación desempeñan un papel estratégico. El objetivo es garantizar que la información sea transmitida al público correcto, favoreciendo relaciones transparentes y fortaleciendo la confianza. Las comunicaciones se tratan como un proceso transversal, esencial tanto para operaciones regulares como para situaciones de crisis.

Seguridad de los dispositivos de Skyone

  • Todos los endpoints utilizados son propiedad de Skyone y tienen instalada una solución EDR (Endpoint Detection and Response) monitoreada por el equipo de Gobernanza de Seguridad.

  • Está prohibido el uso de dispositivos personales para actividades corporativas, incluso en modalidad remota.

  • El acceso está restringido mediante herramientas internas de control y Firewall perimetral para ingreso al sistema interno y a los entornos de clientes.

  • Los puertos USB están bloqueados para impedir el uso de dispositivos externos.

Acciones de adecuación, mitigación y acompañamiento de riesgos relacionados con la LGPD y uso de datos de terceros

Las acciones de cumplimiento y mitigación de riesgos previstas en la LGPD fueron estructuradas en 2020. Skyone recopila datos digitales exclusivamente mediante:

  • Formularios en nuestro sitio web y hotsites de campañas

  • Formularios integrados a herramientas de marketing

Directrices adoptadas para garantizar el cumplimiento de la Política de Privacidad:

  • Toda comunicación (marketing o relacional) enviada a la base de CRM requiere consentimiento previo.

  • Todos los formularios en el sitio o hotsites incluyen política de privacidad, control de cookies y solicitud obligatoria de consentimiento.

  • El área de Gobernanza audita sistemáticamente el cumplimiento de estos procesos.

  • Los cambios en procedimientos requieren aprobación del Comité de Privacidad y Protección de Datos.

  • Todos los contratos con proveedores fueron auditados y evaluados en cuanto a cláusulas de privacidad.

¿Cómo es el proceso de comunicación de un incidente?

Skyone sigue etapas estructuradas para el manejo de incidentes utilizando un portal de registro, donde cada fase tiene un propósito definido. Las macroactividades son: Registro → Categorización → Diagnóstico → Resolución → Cierre

Procedimiento de Gestión de Cambios (GMUD)

Los cambios en los entornos de los clientes se realizan conforme al proceso de Gestión de Cambios, que contempla:

  • Identificación del cambio

  • Análisis de datos y sistemas afectados

  • Definición de responsables

  • Evaluación de impactos

  • Plan de pruebas previo al cambio

  • Plan de rollback

  • Plan de pruebas posterior al cambio

La solicitud de GMUD debe realizarse a través del Portal del Cliente mediante ticket. Tras validación técnica y aprobación, el cambio sigue para ejecución según agenda programada.

¿Cómo funciona el plan de transición en caso de cancelación del contrato con Skyone?

En cancelaciones unilaterales antes del fin del contrato, se aplica una multa proporcional al período restante. Independientemente del tipo de rescisión, Skyone pone a disposición un backup de la base de datos por 15 (quince) días a partir de la fecha de rescisión. Las solicitudes deben enviarse a: [email protected]

¿Skyone posee un seguro que cubra ataques cibernéticos o fugas de datos?

Actualmente, no contamos con un seguro cibernético.

¿Skyone posee Código de Ética, Conducta y Política de Gestión de Privacidad?

Sí. El Código de Ética y Conducta y la Política de Privacidad son públicos y están disponibles para nuestros clientes y socios.

¿Existe un DPO asignado a la organización?

Sí. La información de contacto del DPO está disponible en nuestra Política de Privacidad: https://skyone.solutions/juridico/politica-de-privacidad/

Sobre la Plataforma Autosky

¿Qué tecnologías utiliza Skyone?

Los entornos de Skyone utilizan tecnologías actualizadas de los principales proveedores de nube pública (AWS, Google GCP, Azure y Oracle), en Brasil y en el exterior.

¿Qué plataformas, soluciones, estándares, máquinas y switches/firewalls componen el entorno de Skyone?

El uso de nubes públicas implica la abstracción de las capas de hardware, almacenamiento, red y virtualización, siendo los Cloud Providers responsables del mantenimiento, actualizaciones y mitigación de riesgos.

Hardware Aunque la nube se perciba como un elemento virtual, depende de una infraestructura física distribuida geográficamente que incluye:

  • Switches, routers, firewalls, balanceadores de carga

  • Matrices de almacenamiento

  • Dispositivos de backup

  • Servidores físicos

La virtualización conecta estos servidores y abstrae recursos como memoria y procesamiento para los usuarios.

Almacenamiento Los datos se distribuyen en múltiples discos dentro de matrices de almacenamiento, garantizando un SLA de 99,99%. Los mecanismos de gestión aseguran la replicación y recuperación correcta ante fallos.

Red La capa de red en los proveedores está basada en:

  • VPC (AWS y Google)

  • VNET (Azure)

  • VCN (Oracle)

Las redes se segmentan en varias subredes, permitiendo aislamiento, enrutamiento y control granular de accesos.

Virtualización Un hipervisor asigna recursos físicos en entornos virtualizados, formando la capa esencial de la nube.

¿Cómo validar que el proveedor de nube garantiza seguridad y mitigación de riesgos?

Los proveedores de nube cuentan con certificaciones y estándares como: PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-17, entre otros, auditados regularmente.

¿Cuál es el modelo de responsabilidad compartida en la nube pública?

La seguridad se divide entre:

  • Proveedor de nube: infraestructura física, capa de virtualización y servicios relacionados

  • Skyone: gestión del entorno, sistemas operativos, base de datos, plantillas, grupos de seguridad

  • Cliente: configuración y seguridad de aplicaciones, accesos y datos alojados

Este modelo distingue la seguridad de la nube (proveedor) de la seguridad en la nube (Skyone + cliente).

¿Cómo funciona la Plataforma Autosky?

Autosky es una plataforma de orquestación y automatización multicloud que:

  • Facilita la migración de aplicaciones cliente-servidor

  • Soporta cualquier lenguaje de programación o base de datos

  • Ofrece mayor seguridad que el hosting convencional

  • Garantiza backups frecuentes y recuperación eficiente ante desastres

  • Crea servidores temporales con IPs dinámicas, mitigando ataques de fuerza bruta

¿La Plataforma Autosky cuenta con DR (Disaster Recovery)?

Al ser nativa en la nube, la plataforma opera con resiliencia, con componentes distribuidos en dos Zonas de Disponibilidad. Los clientes deben evaluar la criticidad y, si es necesario, contratar DR para sus entornos.

¿La Plataforma Autosky es segura?

Sí. La plataforma evoluciona continuamente y posee arquitectura aislada por cliente.

  1. Pilares estratégicos de seguridad

  • Escaneos semanales de vulnerabilidad

  • Pentests semestrales

  • Aplicación automática de parches

  1. Gestión de acceso

Gestionada por el área de Infosec, con:

  • Concesiones controladas y registradas

  • Privilegios mínimos

  • Auditorías periódicas

  1. Tipos de acceso

  • Usuarios: acceso sin VPN, auditable, con MFA y SAML/SSO

  • Administradores: acceso al Panel Autosky con MFA

  • Consultores y especialistas: acceso vía VPN con credenciales emitidas mediante ticket

  1. Principio de mínimo privilegio

Sí, aplicado totalmente. Skyone utiliza un Cofre de Contraseñas para todos los accesos a entornos.

  1. Endurecimiento (Hardening)

  • Eliminación de servicios innecesarios

  • Actualización continua de bibliotecas

  • Pruebas automatizadas

  1. Desarrollo seguro

Basado en privacidad desde el diseño y seguridad por defecto, en entornos segregados.

  1. Riesgos en la capa de virtualización

La capa es responsabilidad de los proveedores de nube. No se han registrado incidentes recientes que involucren violación de esta capa. Si es necesario, Skyone recrea el entorno en una nueva zona de disponibilidad.

¿Cómo proteger el entorno del cliente?

Se recomienda:

  • Antimalware avanzado con XDR

  • Servicio de Protección de Superficies

  • Mantenimiento de parches según CVE/Mitre

¿Cómo mitigar riesgos cuando colaboradores y consultores acceden al entorno?

  • Uso de EDR

  • Gestión centralizada de accesos y cambio recurrente de contraseñas

  • Uso obligatorio de VPN

¿Cómo Autosky mitiga riesgos en el entorno del cliente?

  1. Reglas de firewall Controladas mediante NSG por entorno.

  2. Puertos de comunicación Abiertos solo tras análisis; riesgos generan Notificación de Riesgo.

  3. Sistemas operativos Siempre disponibles en versiones recientes.

  4. Capa de autenticación Acceso mediante URL segura; ReCaptcha, MFA, SSO/SAML; Auditoría completa; Restricciones por IP y horarios.

  5. Dimensionamiento Servidores ajustados dinámicamente; IPs cambiantes periódicamente para mitigar fuerza bruta.

  6. Monitoreo Monitoreo 24x7 con dashboards.

  7. Anti-malware Versión básica estándar; avanzada opcional.

  8. Skyone Autosky Defender Mitiga ataques de fuerza bruta, bloqueando IPs en tiempo real.

Proceso de backup en la Plataforma Autosky

  • Política estándar de backup Snapshot de la instancia y del servidor de base de datos; Retención de 7 días.

  • Opciones adicionales Granularidad, retención y destino personalizados.

  • Almacenamiento de los backups Snapshots almacenados en servicios de almacenamiento de objetos (S3, OCI Object Storage, Azure Object Storage, Google Cloud Storage) con durabilidad de 11 nueves (99.999999999%). Almacenamiento aislado de los servidores. Los backups en OCI incluyen cifrado automático.

  • Evidencia de backups Disponible en el Portal del Cliente por entorno/servidor.

  • Solicitud de recuperación Puede realizarse directamente en el Portal; la solicitud genera un ticket automático.

  • Pruebas de recuperación Deben ser solicitadas por el cliente mediante ticket.

PreviousPrácticas de Privacidad, Protección de Datos y Ciberseguridad

Last updated