1. ¿Cómo podemos prevenir que los clientes accedan a los datos de otros clientes?

Utilizamos una separación lógica de bases de datos para garantizar la privacidad de los clientes y la confidencialidad en nuestra arquitectura de varios inquilinos. Estos controles rigurosos de privacidad existen en el código de nuestra aplicación para garantizar la privacidad de los datos e impedir que un cliente pueda acceder a los datos de otro. Esto se realiza utilizando identificadores únicos de cuenta que le asignan a cada usuario una cuenta específica. Contamos con muchas pruebas de integración y unidad para garantizar que estos controles de privacidad funcionen según lo previsto. Ejecutamos estas pruebas cada vez que se actualiza nuestro código base. Basta con un solo error de prueba para impedir que un código nuevo se envíe a producción.

 

2. ¿Con qué frecuencia realizamos copias de seguridad?

 Nuestra infraestructura de copias de seguridad y recuperación está alojada y utiliza una combinación de Amazon Simple Storage Service (Amazon S3) y Amazon Relational Database Service (Amazon RDS), lo que permite adaptar el tamaño de la base de datos con una infraestructura de almacenamiento de datos escalable y eficaz. El servicio Amazon RDS está configurado para realizar copias de seguridad de la base de datos de producción todos los días, mantiene 35 días de copias de seguridad y almacena copias de seguridad cifradas de la base de datos en una ubicación de almacenamiento de datos con alta disponibilidad. El servicio Amazon RDS también permite restaurar puntos específicos en el tiempo de la base de datos en cualquier momento de las últimas dos semanas. Las copias viejas de seguridad se eliminan según nuestro programa de retención de datos.

 

3. ¿Cuál es el objetivo de punto de recuperación (RPO, por sus siglas en inglés) y el objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) de KnowBe4?    

Nuestro RPO abarca de unos minutos a horas, pero no más de 72 horas. Nuestro RTO es de 72 horas. 

 

4. ¿Cómo es el procedimiento de administración y control de cambios de KnowBe4? 

Implementamos un proceso de administración de cambios formal que le permite al personal solicitar, administrar, aprobar y controlar los cambios que modifican servicios o sistemas dentro de nuestros entornos. El proceso de control de cambios está diseñado para reforzar los controles de desarrollo clave cada vez que se realiza un cambio en el software, lo que incluye los cambios de emergencia y desarrollo. El proceso de administración de cambios comienza con la identificación de lo que se debe cambiar. Se registra y clasifica el cambio, y luego se avanza con la revisión, aprobación, prueba y presentación para la implementación del cambio. Una vez que la implementación se completa, se mide y se informa, finaliza el proceso de cambio.

    

5. ¿Los datos de producción se utilizan en su entorno de prueba? 

Los datos de producción no se copian en los entornos de prueba. Tenemos un proceso diario que anonimiza nuestra base de datos de producción completa. Este proceso lo supervisan nuestros equipos de privacidad de los datos y seguridad de la información. Esta base de datos anonimizada incluye detalles anónimos de las cuentas de clientes, como la dirección del cliente, el dominio, el nombre de la organización, datos personales y otra información confidencial. Esta base de datos anonimizada se utiliza para las pruebas según sea necesario. Actualizamos esta base de datos a diario para que, cuando se eliminan o purgan datos de la cuenta, los datos de la cuenta también se purguen de la base de datos anonimizada.

    

6. ¿Cómo se administra y monitorea el acceso del personal de KnowBe4? 

KnowBe4 sigue el principio de privilegios mínimos y acceso basado en roles para el personal. El acceso del personal se registra y monitorea.

    

7. ¿Qué tipos de datos recopila o procesa Knowbe4?

 

8. ¿Dónde puedo encontrar una lista de los procesadores secundarios? 

Puede encontrar una lista de nuestros procesadores secundarios aquí.

 

9. ¿Cómo garantiza KnowBe4 la disponibilidad de sus productos? 

Nuestros sistemas se ejecutan en la nube y no ejecutan sus propios enrutadores, equilibradores de carga, servidores DNS o sistemas virtuales. A excepción de unos pocos procesadores secundarios de datos, servicios y datos, los datos se alojan principalmente en los centros de datos de Amazon AWS. Para los clientes de los EE. UU. y aquellos clientes que desean mantener sus datos alojados en los EE. UU., tenemos sistemas en centros de datos de AWS ubicados en la región estadounidense de Virginia del Norte. Para los clientes de la UE/EEE (que incluye Reino Unido y Suiza), tenemos sistemas ubicados en centros de datos de AWS que almacenan datos de producción en DC Dublín, Irlanda, con conmutación en DC Frankfurt. Sin embargo, unos pocos procesadores secundarios de datos procesan un subconjunto limitado de datos en los Estados Unidos. Puede encontrar todas las ubicaciones de procesamiento de datos en nuestra lista de procesadores secundarios.

Nuestros sistemas se desarrollan teniendo en cuenta la continuidad del negocio y la recuperación ante desastres. Nuestra infraestructura de TI, que incluye sistemas y bases de datos, se distribuye entre varios centros de datos de Amazon AWS (zonas de disponibilidad) para las regiones de la UE y los EE. UU. a fin de mantener la continuidad. Los sistemas se encuentran dentro de nuestra nube privada virtual (VPC, por sus siglas en inglés) con listas de control de acceso (ACL, por sus siglas en inglés) a la red, con el fin de impedir que las solicitudes no autorizadas obtengan acceso a la red interna.

Utilizamos la plataforma AWS Fargate como servicio. AWS Fargate es un motor informático sin servidor para Amazon Elastic Container Service (Amazon ECS) que le permite a KnowBe4 ejecutar contenedores sin tener que aprovisionar, configurar ni escalar grupos de máquinas virtuales (VM, por sus siglas en inglés). AWS Fargate administra los grupos y la infraestructura subyacentes. También escala automáticamente la aplicación en función de la demanda. AWS Fargate elimina la necesidad de escalar, monitorear y proteger instancias seguras de EC2, y colocarles parches.

La comunicación de datos entre nuestros sistemas administrativos y los de nuestros clientes está cifrada, lo cual protege los datos en tránsito. Los datos se alojan en un Amazon Relational Database Service (Amazon RDS) cifrado, que brinda disponibilidad y durabilidad de los datos. Los buckets cifrados de Amazon Simple Storage Service (S3) brindan almacenamiento específico para KnowBe4. El cifrado está habilitado para proteger los datos inactivos.

 

10. ¿Cómo garantiza KnowBe4 la confidencialidad de nuestros datos? 

Nuestra red interna está protegida del tráfico público de Internet gracias a los firewalls de inspección con estado que brinda Amazon AWS. Un grupo de seguridad actúa como firewall y controla el tráfico que se permite en un grupo de instancias. Para cada grupo de seguridad, se agregan reglas personalizadas que rigen el tráfico entrante permitido hacia las instancias en el grupo. El resto del tráfico entrante se rechaza.

Se utiliza comunicación cifrada para proteger las sesiones remotas de Internet de nuestras aplicaciones y red interna. Se utiliza cifrado para garantizar la privacidad e integridad de los datos que se pasan a la red pública.

Todos los datos se transmiten a través de canales seguros. Esto incluye el acceso al sitio web de la consola de Capacitación del proveedor de servicios, la información que se envía a terceros para su procesamiento y el inicio de sesión. El envío de datos entre el servidor web y la base de datos se realiza dentro de una nube virtual privada de AWS.

Los datos que se envían entre nuestras aplicaciones y las de nuestros clientes se transmiten, como mínimo, a través de una conexión HTTPS con TLS 1.2 (de manera predeterminada, se usa el nivel más alto de TLS disponible) utilizando cifrados modernos. La instancia de la base de datos está cifrada con el estándar de cifrado AES256.

 

11. ¿Cuál es su política de retención de datos? 

Puede consultar nuestra política de retención de datos aquí.

 

12. ¿KnowBe4 firmará un anexo para socios empresariales tal como se describe en las normas HIPAA? 

Los anexos para socios empresariales son obligatorios para las organizaciones que procesan PHI en nombre de una entidad cubierta. Nuestro Anexo para socios empresariales (BAA, por sus siglas en inglés) está disponible en https://www.knowbe4.com/business-associate-agreement y forma parte de nuestros Términos de servicio u otros acuerdos firmados por separado, como el Acuerdo maestro de servicios (MSA, por sus siglas en inglés), establecido entre los clientes y KnowBe4 para regir el uso de los clientes de los servicios de KnowBe4 (el “Acuerdo”), en los casos correspondientes.

 

12. ¿KnowBe4 cuenta con certificación HIPAA? 

No, en este momento no existe ninguna ley HIPAA para los proveedores de servicios en la nube. Independientemente de la aplicabilidad de la ley HIPAA, KnowBe4 alinea su programa de seguridad de la información con los requisitos de las normas FedRAMP, NIST 800-53 e ISO 27001.

 

13. ¿Cómo pueden verificar los clientes la ubicación donde se almacenan sus datos y dónde se encuentra su consola?

Después de iniciar sesión en su consola, los clientes pueden ver la URL y verificar que la consola está almacenada en diferentes ofertas de ubicación de AWS de KnowBe4. En la tabla a continuación se brinda información sobre la URL de la consola y la ubicación de almacenamiento correspondiente de AWS: