ACLs de red

Seguimos una arquitectura de microservicios en la que los diferentes servicios están débilmente acoplados y cada uno de ellos es responsable únicamente de una característica o función específica dentro de la aplicación. 

El acceso está restringido a los microservicios a nivel de red. Los servicios y las bases de datos alojados en AWS, por defecto, no son accesibles desde ninguna parte; hay que añadir manualmente reglas de entrada explícitas. 
 

Control de cambios

Para garantizar la rápida detección de los cambios que puedan afectar a la seguridad de la infraestructura, el equipo de seguridad ha desarrollado una solución automatizada que crea alertas en el sistema de tickets para su revisión. 

Exploración automatizada de vulnerabilidades

Los escaneos automatizados de vulnerabilidad de caja negra se ejecutan tanto periódicamente como en respuesta a los cambios de infraestructura en nuestro entorno en la nube con el fin de identificar rápidamente los sistemas potencialmente vulnerables.

Pruebas de infiltración de terceros

Al menos una vez al año, contratamos a un auditor externo independiente para que realice una prueba de infiltración a nivel de infraestructura y de aplicación.

Programa de divulgación responsable

Como resultado de nuestro programa público de divulgación responsable (https://prezi.com/bug-bounty/), tanto nuestra infraestructura como nuestra aplicación son continuamente analizadas por escáneres de vulnerabilidad e investigadores de seguridad entusiastas. 

Gestión de incidentes de seguridad (SIEM)

Nuestra solución SIEM recoge, procesa y correlaciona registros detallados de nuestra infraestructura en la nube, de los nodos que se ejecutan en ella y de las propias aplicaciones. El equipo de seguridad funciona como un centro de operaciones de seguridad y es responsable de supervisar y responder a las amenazas tanto internas como externas. El equipo responde de forma continua a las alertas automatizadas abiertas por diferentes mecanismos de detección (por ejemplo, AWS GuardDuty, AWS Macie, registros de uso de AWS, alertas de detección de amenazas de la infraestructura a través de Sysdig Falco, registros detallados relevantes para la seguridad de los componentes de la infraestructura, registros relacionados con la seguridad web, etc.)

Cortafuegos de aplicaciones web (WAF)

Utilizamos una solución de cortafuegos de aplicaciones web de última generación en modo de bloqueo como primera línea de defensa frente a todo el tráfico web orientado al cliente.

Cifrado en tránsito

Por defecto, utilizamos el cifrado TLS entre el cliente de Prezi (ya sea el navegador o nuestra aplicación de escritorio/iOS/Android) y el servidor. La conexión TLS también se establece entre los servidores que se ejecutan en diferentes regiones. 

Los equilibradores de carga se utilizan para terminar TLS con la emisión automática de certificados con fuertes parámetros de seguridad (claves públicas RSA de 2048 bits con algoritmo de firma SHA256+RSA).

TLS también es compatible con todas las comunicaciones por correo electrónico que mantenemos con nuestros clientes.

Cifrado en reposo

Los datos críticos de los clientes (XML de Prezi y recursos multimedia) creados después de febrero de 2018 se cifran en el lado del servidor con AES-256. El cifrado es transparente; las claves son gestionadas por nuestro proveedor de infraestructura en la nube.

Centro de datos

Utilizamos un proveedor de servicios en la nube de primer nivel que cumple con numerosas normativas y estándares de privacidad (Reglamento General de Protección de Datos de la UE, HIPAA, GLBA, HITECH), y posee certificaciones reconocidas por la industria (SOC, PCI, FedRAMP, ISO y otras). 

Revisiones de seguridad

Para poner de manifiesto los posibles riesgos de seguridad lo antes posible, todos los planes de arquitectura son revisados por el equipo de seguridad. En cada caso, el equipo de seguridad también ejecuta ejercicios de modelado de amenazas en colaboración con los equipos de ingeniería implicados.

Por ello, el equipo de seguridad interactúa a diario con los desarrolladores e ingenieros para compartir la mentalidad de seguridad, las mejores prácticas y herramientas eficaces.

Análisis de código estático

Estamos apoyando nuestro ciclo de vida de desarrollo de software seguro con herramientas que detectan automáticamente los cambios de código en función de las mejores prácticas de seguridad. El equipo de seguridad revisa todos los cambios de código marcados como riesgos potenciales, hace un seguimiento de los problemas abiertos y se comunica con los ingenieros para compartir diariamente los conocimientos y las mejores prácticas relacionadas con la seguridad.

Pruebas de infiltración de terceros

Al menos una vez al año, contratamos a un auditor externo independiente para que realice una prueba de infiltración a nivel de infraestructura y de aplicación.

Programa de divulgación responsable

Como resultado de nuestro programa público de divulgación responsable (https://prezi.com/bug-bounty/), tanto nuestra infraestructura como nuestra aplicación son continuamente analizadas por escáneres de vulnerabilidad e investigadores de seguridad entusiastas. 

Auditoría

Disponemos de un registro detallado de la actividad de los usuarios, que incluye (pero no se limita a) eventos relacionados con la seguridad como el inicio de sesión, el cambio de contraseña, la creación/eliminación/modificación de presentaciones, la configuración de la privacidad y los cambios en los derechos de acceso a nivel de la aplicación.

Compartir prezis y privacidad de datos

Después de crear una presentación, puedes proteger quién la ve añadiendo específicamente colaboradores o generando un enlace de visualización que puede enviarse a quien tú elijas. También puedes hacer que tu presentación esté disponible para todo el mundo cambiando su configuración de privacidad.

Para más información, visita:

• https://support.prezi.com/hc/es/articles/360003478554-Setting-privacy
• https://support.prezi.com/hc/es/articles/360003498553-Collaborating-in-Prezi-Next
• https://support.prezi.com/hc/es/articles/360003499433-Sharing-a-presentation

Autenticación y almacenamiento de credenciales

Prezi es compatible con la autenticación basada en el correo electrónico y la contraseña, así como con la autenticación de terceros, como Facebook y Google. Las contraseñas nunca se almacenan en texto plano.

Cifrado en tránsito

Por defecto, utilizamos el cifrado TLS entre el cliente de Prezi (ya sea el navegador o nuestra aplicación de escritorio/iOS/Android) y el servidor. La conexión TLS también se establece entre los servidores que se ejecutan en diferentes regiones. 

Los equilibradores de carga se utilizan para terminar TLS con la emisión automática de certificados con fuertes parámetros de seguridad (claves públicas RSA de 2048 bits con algoritmo de firma SHA256+RSA).

TLS también es compatible con todas las comunicaciones por correo electrónico que mantenemos con nuestros clientes.

Informe SOC 2 Tipo 2 sobre Seguridad

Nos hemos sometido con éxito a una auditoría externa e independiente de terceros y hemos obtenido un informe SOC 2 Tipo 2 sobre Seguridad para Prezi. El informe está disponible bajo petición para los suscriptores de Prezi Business que firmen un acuerdo de no divulgación. Para más información, contacta con nuestro equipo de ventas.

Privacidad y protección de datos

Puedes leer nuestra política de privacidad en línea y encontrar más detalles sobre Prezi y el GDPR, y la CCPA en nuestra base de conocimientos.

For our Privacy Whitepaper please contact our Sales team.

Informe de seguridad

Para obtener nuestro informe de seguridad, ponte en contacto con nuestro equipo de ventas.

Informe sobre la privacidad

Para obtener nuestro informe de privacidad, ponte en contacto con nuestro equipo de ventas.