1. ¿Cómo evitamos que los clientes accedan a los datos de otros clientes?

Aprovechamos la separación lógica de bases de datos para garantizar la privacidad y confidencialidad de los clientes en nuestra arquitectura de varios inquilinos. Estos estrictos controles de privacidad están presentes en nuestro código de aplicación con el fin de garantizar la privacidad de los datos y evitar que un cliente acceda a los datos de otro. Esto es posible mediante identificadores únicos de cuentas, que relacionan cada usuario a una cuenta específica. Contamos con numerosas pruebas unitarias y de integraciones para garantizar que estos controles de privacidad funcionan debidamente. Además, llevamos a cabo estas pruebas cada vez que se actualiza nuestro código base. Tan solo un único fallo durante las pruebas es suficiente para que no saquemos el nuevo código a producción.

 

2. ¿Con qué frecuencia hacemos copias de seguridad?

 Nuestra infraestructura de copia de seguridad y recuperación se encuentra alojada en Amazon Simple Storage Service (Amazon S3) y Amazon Relational Database Service (Amazon RDS). Estos servicios nos permiten modificar la capacidad de las bases de datos y nos proporcionan una infraestructura de almacenamiento de datos escalable y eficiente. Hemos configurado el servicio Amazon RDS para que se haga una copia de seguridad de la base de datos de producción todos los días, se conserven 35 días de copias de seguridad y se almacenen copias de seguridad cifradas de bases de datos en una ubicación de almacenamiento de alta disponibilidad. Gracias al servicio Amazon RDS, también podemos restaurar la base de datos a cualquier momento concreto de las últimas dos semanas. Las copias de seguridad antiguas se eliminan de acuerdo con nuestro programa de retención de datos.

 

3. ¿Cuáles son el RPO (objetivo de punto de recuperación) y RTO (objetivo de tiempo de recuperación) de KnowBe4?    

Nuestro RPO es de unos minutos a unas horas, pero no más de 72 horas, mientras que nuestro RTO es de 72 horas. 

 

4. ¿Cuál es el procedimiento de gestión/control de cambios de KnowBe4? 

Hemos implementado un proceso formal de gestión de los cambios con el que el personal puede solicitar, gestionar, aprobar y controlar los cambios que modifiquen los servicios o sistemas en nuestros entornos. El proceso de control de cambios está diseñado para aplicar controles de desarrollo claves cada vez que se haga un cambio en el software, incluidos cambios de desarrollo y de emergencia. El proceso de gestión de cambios comienza con la identificación de qué debe cambiarse; a continuación, se registra y clasifica el cambio y, por último, se revisa, autoriza, prueba y organiza para terminar implementándolo. Cuando la implementación se ha completado, analizado y comunicado, el proceso de cambio se da por finalizado.

5. ¿Se usan los datos de producción en su entorno de prueba? 

Los datos de producción no se copian a los entornos de prueba. Contamos con un proceso diario con el que se anonimiza nuestra base de datos de producción por completo. Nuestros equipos de Seguridad de la Información y Privacidad de Datos se encargan de supervisar este proceso. En esta base de datos anonimizada se incluyen detalles anonimizados de las cuentas de los clientes, como la dirección, el dominio, el nombre de la empresa, datos personales y otra información confidencial. Además, esta base de datos se usa para realizar las pruebas necesarias. Actualizamos la base de datos a diario con la intención de que, cuando se borren o eliminen los datos de la cuenta, también se eliminen de la base de datos anonimizada.

6. ¿Cómo se gestiona y supervisa el acceso del personal de KnowBe4?

El acceso del personal de KnowBe4 se rige por el principio del menor privilegio y está basado en roles. Se registran y supervisan todos los accesos del personal.

    

7. ¿Qué tipo de datos recopila o procesa KnowBe4?

 

8. ¿Dónde puedo encontrar una lista de los subprocesadores? 

Puede encontrar una lista de nuestros subprocesadores aquí.

 

9. ¿Cómo garantiza KnowBe4 la disponibilidad de su producto? 

Nuestros sistemas se ejecutan en la nube y no ejecutan sus propios enrutadores, equilibradores de carga, servidores DNS ni sistemas virtuales. Los datos se alojan principalmente en los centros de Amazon AWS, a excepción de una serie de subprocesadores de datos, servicios y datos. Para los clientes estadounidenses y aquellos que quieran conservar sus datos en Estados Unidos, contamos con sistemas en centros de datos de AWS en la región de Virginia del Norte. Para los clientes europeos o en el EEE (incluidos Reino Unido y Suiza), contamos con sistemas en centros de datos de AWS en Dublín, Irlanda, con respaldo en Frankfurt, en los que se almacenan datos de producción. Sin embargo, algunos subprocesadores de datos procesarán un subconjunto de datos limitado en Estados Unidos. Puede consultar el registro completo de las ubicaciones de procesamiento de datos en nuestra lista de subprocesadores.

Nuestros sistemas están desarrollados de forma que se tienen en cuenta la continuidad de las operaciones y la recuperación de desastres. Nuestra infraestructura de TI, incluidos sistemas y bases de datos, está repartida en varios centros de datos de Amazon AWS (zonas de disponibilidad) en regiones de la UE y EE. UU con fines de continuidad. Los sistemas se encuentran en nuestra propia nube virtual privada (VPC) con listas de control de acceso a la red (ACL) para evitar el acceso de solicitudes no autorizadas a la red interna.

Usamos la plataforma AWS Fargate como servicio. AWS Fargate es un motor informático sin servidor de Amazon Elastic Container Service (Amazon ECS) que permite a KnowBe4 ejecutar contenedores sin necesidad de aprovisionar, configurar y escalar clústeres de máquinas virtuales. La gestión de la infraestructura y los clústeres subyacentes se lleva a cabo mediante AWS Fargate, así como la adaptación automática de la aplicación en función de la demanda. AWS Fargate elimina la necesidad de escalar, supervisar, parchear y proteger instancias de EC2.

Con el objetivo de proteger los datos en tránsito, la comunicación de datos entre nuestros sistemas internos y los sistemas internos de nuestros clientes está cifrada. Los datos se conservan en un Amazon Relational Database Service (Amazon RDS) cifrado, lo que proporciona disponibilidad y durabilidad de los datos. Por otro lado, Amazon Simple Storage Service (S3) proporciona almacenamiento mediante buckets (contenedores de objetos) cifrados específicos para KnowBe4. El cifrado se habilita para proteger los datos en reposo.

 

10. ¿Cómo garantiza KnowBe4 la confidencialidad de nuestros datos? 

Nuestra red interna está protegida del tráfico de internet público gracias a firewalls de inspección por estado proporcionados por Amazon AWS. Un grupo de seguridad actúa como un firewall y controla el tráfico que se admite en un grupo de instancias. Por cada grupo de seguridad, se añaden reglas de seguridad personalizadas que rigen el tráfico entrante permitido a las instancias del grupo. El resto del tráfico entrante se rechaza.

La comunicación cifrada se utiliza para proteger sesiones remotas de Internet a nuestras aplicaciones y red interna; de esta manera, el cifrado nos permite garantizar la privacidad e integridad de los datos que se transmiten a la red pública.

Todos los datos se transmiten por canales seguros. Esto incluye el acceso al sitio web de la consola de formación del proveedor del servicio y la información que se envía a terceros para su procesamiento y registro. El envío de los datos entre el servidor web y la base de datos se realiza en una nube virtual privada en AWS.

El envío de datos entre nuestras aplicaciones y las de nuestros clientes se fuerza a través de una conexión, como mínimo, HTTPS TLS 1.2 (se establecerá el valor más alto de TLS disponible de forma predeterminada) mediante algoritmos de cifrado modernos. La instancia de la base de datos está cifrada con el estándar AES256.

 

11. ¿Cuál es la política de retención de datos? 

Puede consultar nuestra política de retención de datos aquí.

 

12. ¿Firmará KnowBe4 un acuerdo de socio comercial, como se describe en la normativa HIPAA? 

Los acuerdos de socios comerciales son obligatorios para las organizaciones que procesan PHI en nombre de una entidad cubierta. Nuestro BAA está disponible en https://www.knowbe4.com/business-associate-agreement y forma parte de nuestras Condiciones de servicio y otros documentos firmados por separado, como el Acuerdo maestro de servicios (MSA), vigente en las relaciones entre clientes y KnowBe4 en relación con el uso de los servicios de KnowBe4 por parte de los clientes («Acuerdo»), si procede.

 

12. ¿Cuenta KnowBe4 con la certificación HIPAA? 

No, y actualmente no existe ninguna normativa HIPAA para los proveedores de servicios en la nube. Independientemente de este aspecto, el programa de seguridad de la información de KnowBe4 cumple los requisitos de las normativas FedRAMP, NIST 800-53 e ISO 27001.

 

13. ¿Cómo pueden verificar los clientes la ubicación de sus datos o de su consola?

Después de iniciar sesión en su consola, los clientes pueden comprobar la dirección URL y verificar dónde se almacena su consola de entre todas las ubicaciones de AWS de las que dispone KnowBe4. En la siguiente tabla se muestra información sobre la URL de la consola y las ubicaciones de almacenamiento de AWS correspondientes: