Cintoo Opciones de Alojamiento y Ciberseguridad

Este artículo describe en detalle cómo se almacenan los datos de los clientes en Cintoo, cuáles son las principales opciones de alojamiento, cómo Cintoo gestiona varios temas de seguridad, certificaciones, etc.


Introducción


La solución de gestión y colaboración de Datos de Realidad de Cintoo se entrega a través de la nube.


La nube proporciona flexibilidad, escalabilidad y fiabilidad para simplemente activar más potencia de cómputo, almacenamiento o nuevos servicios según los necesite, de modo que Cintoo pueda crecer con usted.

La seguridad en la nube también se reconoce como mejor que en las instalaciones, con una amplia certificación y acreditación de seguridad, cifrado de datos y fuerte seguridad física en los centros de datos, proporcionando una manera más segura de gestionar la infraestructura de TI de su empresa.


Diferentes organizaciones tienen diferentes requisitos de nube, y estos a menudo están determinados por la estrategia de TI, la infraestructura existente y las políticas de seguridad. Cintoo ofrece flexibilidad en las opciones de nube, confiando en Microsoft Azure y Amazon Web Services (AWS), los dos mayores proveedores de servicios en la nube a nivel mundial.


Este documento describe varias opciones y medidas generales de ciberseguridad que Cintoo ha implementado para asegurar el servicio en la nube más seguro a nuestros clientes. Se pueden revelar más detalles tras la firma de un Acuerdo de Confidencialidad (NDA).


ÍNDICE DE CONTENIDOS


Metadatos del Cliente versus Archivos del Cliente

Cintoo divide los datos del cliente en dos tipos distintos: 

  • Metadatos del Cliente son todos los datos que conciernen a usuarios, miembros o espectadores. 
  • Archivos del Cliente son los datos subidos por el cliente y los datos generados por el cliente al utilizar herramientas de Cintoo.

Opciones de Alojamiento en la Nube para Datos del Cliente

Preámbulo: 

  • Todos los datos del cliente se almacenan en diferentes Regiones de centros de datos en Microsoft Azure, Amazon Web Services (AWS) o centros de datos de Google.
  • Archivos del Cliente se almacenan en almacenes de objetos (Microsoft Azure Blob o AWS S3 o cualquier almacenamiento compatible).
  • Metadatos del Cliente se almacenan en una base de datos SQL actualmente alojada en Microsoft Azure.
  • No hay Metadatos del Cliente ni Archivos del Cliente en servidores locales o repositorios en las oficinas de Cintoo.


Definiciones: 

Una Región de centro de datos es una colección de uno o más centros de datos interconectados por una red de baja latencia y alta capacidad, y suele estar dentro de un mercado o geografía discreta, típicamente que contiene dos o más regiones, lo que preserva los límites de residencia de datos y cumplimiento. Esto permite a las organizaciones con requisitos específicos de residencia de datos y cumplimiento mantener sus datos y aplicaciones cerca.


La red de distribución de contenidos (CDN) puede activarse o no al seleccionar la opción de alojamiento para un proyecto determinado. CDN es una red distribuida geográficamente de servidores proxy y sus centros de datos. CDN proporciona alta disponibilidad y alto rendimiento a los usuarios finales.

  • Cuando se usa CDN, los datos se almacenan temporalmente en caché en la CDN para mejorar el rendimiento de streaming para los usuarios finales que pueden estar ubicados en cualquier lugar del mundo. Los datos se eliminan de la CDN después de 30 días desde el último acceso.
  • Cuando no se usa CDN, los datos siempre permanecerán en la región del centro de datos seleccionada sin distribución en servidores proxy.


Arquitectura de alojamiento de Cintoo

 


Opciones de alojamiento

Metadatos del Cliente se almacenan actualmente en una base de datos SQL administrada alojada en:

  • Ya sea en Central US (Iowa), con una copia de seguridad en East US (Virginia).
  • O en la región de Europa Occidental (Países Bajos - Ámsterdam) con una copia de seguridad en Azure North Europe (Irlanda - Dublín).
  • El cliente puede solicitar a Cintoo seleccionar una de estas 2 opciones (EE. UU. / UE) antes de la creación del primer proyecto.


Archivos del Cliente se almacenan en una de las siguientes ‘regiones’ en la nube, dependiendo de la opción de alojamiento elegida por el Gerente de Proyecto del Cliente al crear un proyecto.

  • If CDN is used, hosting is either in Europe (AWS Frankfurt) or in the US (AWS Ohio) depending on the customer location, with potential caching in any CDN point of presence.
  • Si no se usa CDN, las siguientes opciones de nube pueden ser seleccionadas por el Gerente de Proyecto para cada proyecto individualmente:
    • AWS - Asia Pacífico (Sídney)
    • AWS - Asia Pacífico (Yakarta)
    • AWS - Canadá (Central)
    • AWS - Europa (Fráncfort)
    • AWS - Europa (Londres)
    • AWS - EE. UU. Este (N. Virginia)
    • AWS - EE. UU. Oeste (Oregón)
    • Azure - Australia del Este (Sídney)
    • Azure - Brasil Sur (Estado de Sao Paulo)
    • Azure - Canadá Central (Toronto)
    • Azure - Francia Central (París)
    • Azure - Noruega (Oslo / Stavanger)
    • Azure - Sudeste Asiático (Singapur)
    • Azure - Suiza Norte (Zúrich)
    • Azure - Reino Unido Sur (Londres)
    • Azure - Europa Occidental (Países Bajos)
    • Azure - EE. UU. Oeste (Washington)
    • Google - Europa Norte (Finlandia)
  • Si la región que realmente necesita para su proyecto no está disponible en esta lista, póngase en contacto con el equipo de Cintoo en support@cintoo.com para verificar la disponibilidad de otras regiones propuestas por Azure y AWS (se pueden aplicar tarifas adicionales): 
    • Haga clic aquí para ver una lista de todas las regiones de centros de datos actuales de Azure
    • Haga clic aquí para obtener una lista de todas las regiones actuales de centros de datos de Amazon Web Services
  • Algunas de las regiones de EE. UU. de Azure y AWS tienen una certificación de FedRAMP (Federal Risk and Authorization Management Program), que puede ser requerida para proyectos que involucren agencias federales y gubernamentales de EE. UU. Opciones de FedRAMP en Cintoo.
    • Más sobre FedRAMP aquí
    • Más sobre FedRAMP en Microsoft Azure aquí
    • Más sobre FedRAMP en Amazon Web Services aquí.


La escalabilidad del servicio está garantizada por nuestro uso de recursos de nube elástica, que son monitoreados de cerca en tiempo real. El rendimiento de la aplicación se supervisa y mejora continuamente para asegurar que la plataforma siga siendo escalable en términos de usuarios, proyectos, escaneos, etc.


Opción de Nube Híbrida 

La opción de nube híbrida está disponible para organizaciones que necesitan asegurar que los Archivos del Cliente se almacenan dentro de la propia red de la organización.

  • Todos los Archivos del Cliente permanecen almacenados en las instancias privadas de la organización de Azure o AWS, y Cintoo transmite estos datos directamente desde este almacenamiento privado al navegador del usuario.
  • Cintoo luego proporciona acceso a la aplicación Cintoo Connect dentro del entorno de nube del cliente, permitiendo a los usuarios acceder y colaborar en Archivos del Cliente directamente en la nube del cliente.
        

Los Metadatos del Cliente permanecen alojados ya sea en Central US (Iowa) o en la región de Europa Occidental, dependiendo de la selección realizada por el administrador de la cuenta al crear la cuenta de Cintoo. Las copias de seguridad se almacenan en una ubicación diferente.


Se aplicarán tarifas adicionales para implementar la opción de Nube Híbrida


Segregación de datos 

Para Metadatos del Cliente

  • Como Cintoo es una plataforma comunitaria, maneja datos de múltiples clientes que pueden proporcionar acceso a usuarios que ya tienen una cuenta de Cintoo de otros clientes o de trabajos anteriores.
  • Para usuarios que acceden a Cintoo a través de la URL genérica (aec.cintoo.com), hay un tenant predeterminado que permite compartir usuarios entre varias cuentas o clientes. 


  • Para usuarios que acceden a Cintoo desde una URL personalizada (company.cintoo.cloud), hay un tenant por cliente: 



Para Archivos del Cliente

  • La segregación de datos para cada proyecto se asegura almacenando Archivos del Cliente en una carpeta dedicada en el almacenamiento de objetos para cada proyecto (o incluso en un almacenamiento de objetos dedicado).
  • Si se elige la opción de alojamiento en Nube Híbrida , los Archivos de Cliente pueden ser almacenados y controlados por el propio cliente. 

Gestión de accesos y autenticación

El método de autenticación predeterminado en la plataforma Cintoo se basa en inicio de sesión/contraseña, con las mejores medidas y prácticas de seguridad recomendadas implementadas. 

La gestión de acceso de usuarios está integrada en la plataforma Cintoo. Es gestionada por los clientes mediante el rol de Administradores de cuenta y la función de Roles y permisos . Son personalizables para ofrecer el nivel adecuado de granularidad a los administradores que configuran roles y permisos para sus usuarios.


Además de estos 5 roles predefinidos, los Administradores de cuenta también pueden definir roles personalizados para mayor granularidad.


Se mantiene un registro de auditoría de todas las invitaciones de usuario a un proyecto determinado y es visible en la aplicación. Los Administradores de cuenta pueden exportar Informes de uso desde la pestaña Administración en Cintoo, proporcionando información sobre todos los usuarios en todos los proyectos para cada día durante la última semana, el último mes o los últimos 3 meses. La información disponible es la siguiente.


Cada acceso a los datos del cliente y los intentos de inicio de sesión se registran, para que se puedan rastrear, investigar y auditar actividades sospechosas. Sin embargo, la responsabilidad de asignar los roles/permisos correctos a los usuarios correctos recae en los Administradores y los coadministradores.


Todas las aplicaciones propias de Cintoo están aseguradas con Azure AD Single Sign On (SSO) con MFA obligatorio habilitado para todos los usuarios. 


Los datos del cliente solo pueden ser accedidos por los ingenieros de soporte de Cintoo después de la aprobación explícita del cliente, y solo en el caso de que esto sea necesario para investigar incidentes de producción y correcciones de errores. Dicho acceso se registra y puede ser auditado.


Inicio de sesión único corporativo (SSO) 

Cintoo puede integrarse con la solución de inicio de sesión único (SSO) de tu empresa, para cumplir con los requisitos de seguridad corporativos y simplificar la gestión de usuarios. Las ventajas del SSO Corporativo van más allá de tener una sola contraseña que recordar. It is about adopting company’s policy for user access, authentication, and password controls (e.g., password changes every 3 months, password configurations, no reuse of former passwords etc.). 

By implementing Corporate SSO, Cintoo Cloud becomes compliant to this policy by essence.


Cintoo supports OpenID Connect (OIDC) and SAML protocols, and is compatible with the following identity providers: 

  • Azure AD (proveedor preferido)
  • Microsoft ADFS
  • Okta / Okta MyID
  • Ping Federate 

Contact your Cintoo sales representative or sales@cintoo.com to subscribe to the SSO option for your Cintoo account. Extra fee will be required for this implementation.


Multi-factor Authentication (MFA)

For all Cintoo domains (including eu.cintoo.cloud and us.cintoo.cloud) all users passing by native login flow (outside SSO flow) are obliged to pass one-time password (OTP) verification by email.


Cumplimiento SOC 2

Cintoo ha desarrollado un Marco de Control Interno basado en COSO, COBIT 5 e ISO 27001, que es validado cada año por una auditoría SOC 2 Tipo 2. La última auditoría puede estar disponible para los clientes tras la firma de un Acuerdo de Confidencialidad (NDA).

La Política de Seguridad del Sistema de Información de Cintoo (“ISSP”), política de TI, procedimiento operativo y procedimiento de seguridad definen un enfoque organizativo sobre cómo se protegen los sistemas y datos. Esto incluye políticas sobre cómo se diseña y desarrolla el servicio, cómo se opera y gestiona el sistema y cómo se contrata y capacita a los empleados. La “ISSP” y sus controles se revisan anualmente para garantizar el más alto nivel de seguridad y cumplimiento.



Certificación ISO 27001

Cintoo mantiene una certificación de cumplimiento con ISO 27001. La ISO 27001 es el estándar internacional para la seguridad de la información que establece especificaciones para un sistema de gestión de seguridad de la información (SGSI). Cintoo ha estado certificado con ISO 27001 desde 2024.


Pruebas de penetración 

Cintoo colabora con una empresa externa para realizar pruebas de penetración semestrales, además de la supervisión diaria. Los informes de pruebas de penetración pueden estar disponibles tras la firma de un Acuerdo de Confidencialidad (NDA). 


FedRAMP

Cintoo no tiene la certificación FedRAMP actualmente. Pero algunas de las opciones de alojamiento tienen bases de datos/servidores web autorizados por FedRAMP que permiten a Cintoo heredar controles.


Ejemplo:

El alojamiento de proyectos predeterminado (CDN) en la región de la UE usa AWS Alemania, el cual no está autorizado por FedRAMP.

Para tener una infraestructura autorizada por FedRAMP (base de datos/servidor web), el alojamiento del proyecto debe ser únicamente Azure o AWS US.


GDPR

Los servicios y compromisos de seguridad de Cintoo para con los clientes relacionados con su plataforma en la nube están documentados y comunicados a través de los siguientes documentos, todos accesibles en línea a través de Cintoo. 

  • Condiciones de servicio
    • Las Condiciones de servicio rigen el acceso y uso de Cintoo y servicios relacionados por parte de los clientes de Cintoo.
    • Todos los usuarios de Cintoo deben aceptar dichas Condiciones de servicio al crear su cuenta.
  • Acuerdo de Procesamiento de Datos
    • El Acuerdo de Procesamiento de Datos es un apéndice a las Condiciones de servicio entre Cintoo y sus clientes. Este acuerdo documenta y comunica requisitos en torno al manejo y procesamiento de datos del cliente, incluidos requisitos de seguridad de datos y manejo de incidentes, así como responsabilidades del cliente como parte del Reglamento General de Protección de Datos (GDPR) de la UE.
    • El Acuerdo de Procesamiento de Datos debe ser aceptado por el Administrador de Cuenta al crear la cuenta de Cintoo.

Retención y eliminación de datos

Para Metadatos de Clientea

  • Los Metadatos de Cliente eliminados almacenados en la base de datos SQL se conservan durante 3 meses para fines de auditoría.
  • En caso de que el cliente solicite explícitamente la eliminación, estos datos se mantendrán en las copias de seguridad de la base de datos durante solo 30 días.

Para Archivos del Cliente

  • Cuando un proyecto se elimina de Cintoo (ya sea explícitamente por el cliente o después de la terminación de la suscripción), un proceso automatizado elimina todos los Archivos del Cliente del almacén de objetos 1 mes después (o antes si se solicita explícitamente por el cliente) si se utiliza el alojamiento estándar en la nube pública.
  • En caso de que el cliente elija la opción Híbrida en la Nube , el cliente es entonces responsable de gestionar los Archivos del Cliente, incluida su eliminación.

Copia de seguridad y recuperación de datos

Cintoo mantiene procedimientos formalizados de copia de seguridad y recuperación de datos. Archivos del Cliente se almacenan y replican en tiempo real en varios centros de datos basados en zonas de disponibilidad o regiones. Además, los datos del cliente tienen un periodo de recuperación de copia de seguridad incremental de 30 días, lo que significa que cualquier cliente puede en cualquier momento recuperar la totalidad de las modificaciones realizadas en los últimos 30 días.


Recuperación ante desastres y continuidad del negocio

La estrategia general de Cintoo para Recuperación ante Desastres (DR) y Continuidad del Negocio (BC) es descargar toda nuestra TI crítica interna a la nube, de modo que un desastre en nuestra oficina tendría un impacto mínimo o nulo. Todos los empleados pueden operar y monitorizar el servicio en cualquier situación. Se implementa una gestión cuidadosa del conocimiento para garantizar la continuidad del negocio. La persona encargada de la estrategia DR / BC está claramente asignada dentro de la organización.


Nuestro plan de DR para el servicio Cintoo se basa principalmente en la replicación geográfica de todos nuestros recursos de almacenamiento en Azure y AWS, gracias al uso de zonas de disponibilidad o regiones emparejadas. La base de datos SQL para Metadatos del Cliente se replica en tiempo real en otra región de Azure, lo que permite una rápida recuperación en caso de interrupción regional. El despliegue de toda la infraestructura en la nube está automatizado usando infraestructura como código, por lo que se puede recrear desde cero en 1 hora. La conmutación por error a otra región de una cuenta de almacenamiento de Azure también toma aproximadamente 1 hora.


El plan de DR se prueba anualmente para asegurar que la arquitectura de alta disponibilidad funcione como se espera.


La base de datos SQL se respalda en tiempo real en otra región de la nube, y las copias de seguridad pueden restaurarse desde cualquier punto en el tiempo en los últimos 30 días. Las pruebas de restauración se realizan anualmente como parte de las pruebas del plan de DR.

Los detalles de los Objetivos de Tiempo de Recuperación (RTO) y de Punto de Recuperación (RPO) pueden proporcionarse tras la firma de un Acuerdo de Confidencialidad (NDA). 


Objetivos de nivel de servicio 

El servicio Cintoo se origina en una arquitectura de Alta Disponibilidad, asegurada por redundancia en todos los niveles de la infraestructura y el uso de servicios en la nube gestionados.


Cintoo proporcionará los servicios las veinticuatro (24) horas del día, 365 días al año con una Disponibilidad del 99,5% por mes (SLA), excluyendo el mantenimiento programado. Cintoo proporciona a sus clientes su calendario de mantenimiento y los notificará con antelación en caso de cualquier mantenimiento no programado. 


Cifrado 

Todos los datos almacenados en el almacenamiento de Azure y AWS están cifrados en reposo usando AES 256. Las claves de cifrado son gestionadas por Azure y AWS y se almacenan por separado de los datos cifrados: 

Se pueden encontrar evidencias de una gestión adecuada de claves en los informes SOC 2 de Azure y AWS. 


Todas las transferencias de red están aseguradas con TLS 1.2+. Los datos en nubes públicas se cifran en movimiento usando TLS 1.2+. 


Desarrollo de software

Cintoo sigue todas las recomendaciones de codificación segura y mejores prácticas de la OWASP.


Estas mejores prácticas se aseguran mediante revisiones de código sistemáticas que son obligatorias antes de promover nuevo código al entorno de desarrollo.


Las vulnerabilidades técnicas se evalúan regularmente mediante revisiones de código, pruebas de aseguramiento de calidad automatizadas y pruebas de penetración manuales. Cualquier vulnerabilidad se rastrea y aborda como la máxima prioridad.


Todas las estaciones de trabajo de los empleados están equipadas con software antivirus y se mantienen actualizadas con los últimos parches de seguridad del sistema operativo. Este procedimiento está implementado para asegurar el análisis de registros o la detección de eventos inusuales y contribuye a asegurar la protección contra atacantes externos.


El único acceso a la red interna de Cintoo desde el exterior se realiza a través de un VPN y un sistema de seguridad (firewall) configurado con una política de denegar por defecto.

¿Le fue útil este artículo?

¡Qué bueno!

Gracias por sus comentarios

¡Sentimos mucho no haber sido de ayuda!

Gracias por sus comentarios

¡Díganos cómo podemos mejorar este artículo!

Seleccione al menos una de las razones
La verificación de CAPTCHA es obligatoria.

Comentarios enviados

Agradecemos su iniciativa, e intentaremos corregir el artículo