Centro de seguridad
Sprout Social opera desde 2010 y cuenta con más de 30 000 clientes activos que confían en nosotros para que los ayudemos a gestionar millones de conversaciones al día. El diseño y la administración de nuestra tecnología están pensados para nuestros clientes y sus audiencias de cientos de millones de personas. Trabajamos diariamente para establecer relaciones duraderas a través de una cultura de éxito y atención al cliente.
Medidas de seguridad de productos
Aunque las medidas de seguridad globales documentadas en esta página se aplican a toda la organización de Sprout Social, cada una de nuestras aplicaciones incluye funciones de seguridad específicas del producto. Puedes encontrar la información relacionada con el control de acceso, la seguridad de las aplicaciones, el alojamiento en la nube y la seguridad de la infraestructura en nuestros productos en sus respectivas secciones a continuación.
Medidas de seguridad globales
Resiliencia operativa
Confiabilidad y disponibilidad
Sprout Social intenta minimizar los impactos en el servicio y el tiempo de inactividad. Diseñamos nuestros sistemas con tolerancia a errores, y nuestros equipos están preparados para efectuar recuperaciones rápidas ante accidentes. Nuestra filosofía es evitar el tiempo de inactividad a cualquier costo, ya sea imprevisto o planificado. Jamás imponemos un tiempo de inactividad destinado al mantenimiento si es posible evitarlo, porque, normalmente, lo es. Los elementos de continuidad del negocio y recuperación ante desastres están incorporados en nuestras prácticas y sistemas. No tomamos decisiones de último momento, ni encargamos una tarea relegada a un solo equipo.
Nuestro equipo de ingeniería se esfuerza por mantener un tiempo de actividad del 99,9 % para cada uno de nuestros productos como indicador clave de rendimiento (KPI, por sus siglas en inglés). Compartimos públicamente el estado del sistema y las métricas en tiempo real en nuestros sitios web de estado, en que los clientes pueden suscribirse para recibir notificaciones de futuros incidentes:
Integraciones con las redes sociales
Nuestra capa de importación de datos combina múltiples conexiones a las API de redes sociales. A través de nuestros acuerdos formales de asociación, las redes sociales como Facebook, Instagram, LinkedIn, Pinterest, Threads, TikTok, X y YouTube nos proporcionan mayores niveles de redundancia y acceso directo a sus equipos de soporte.
Todas las conexiones entre los productos de Sprout Social y las redes sociales ocurren a través de redes seguras. Cuando los clientes conectan sus perfiles de redes sociales a Sprout Social, ingresan las credenciales en la red social; Sprout Social nunca ve, procesa ni almacena ninguna de las credenciales de las cuentas de redes sociales de nuestros clientes.
Copias de respaldo
Con frecuencia se hacen copias de seguridad, se cifran en tránsito y en reposo, y se prueban con frecuencia. Se almacenan intencionalmente “fuera del sitio” principal, en una ubicación geográfica distinta de la del alojamiento principal de cada aplicación, para garantizar altos niveles de durabilidad y disponibilidad.
Puedes encontrar información adicional sobre los centros de datos y las ubicaciones de alojamiento en las páginas de seguridad específicas del producto mencionadas anteriormente.
DevOps y monitoreo
Nuestro equipo de ingeniería practica la Infraestructura como código, lo que brinda corrección, consistencia, capacidad de prueba y rapidez en la recuperación. Todos los miembros de nuestro equipo de asistencia telefónica, que están disponibles las 24 horas, los 7 días de la semana, todo el año, están capacitados para volver a construir sistemas y topologías consistentes. En caso de una pérdida del sistema, nuestro equipo de ingeniería recrea rápidamente los sistemas al ejecutar el código de infraestructura.
Constantemente monitoreamos a nivel mundial, lo que nos permite visualizar, notificar y reportar cualquier variable en tiempo real. Nuestro equipo de atención al cliente colabora con nuestro equipo de ingeniería para apoyar a los clientes. Contamos con ingenieros especializados disponibles por teléfono 24 horas, los 7 días de la semana, todo el año.
Cuando hay problemas, nuestros equipos reciben una notificación de inmediato, reciben el contexto automáticamente y cuentan con las herramientas para colaborar de manera eficiente con sus compañeros. Usamos un sistema localizador-clasificador para asegurarnos de que las notificaciones lleguen a los ingenieros con rapidez y de forma confiable.
Seguridad del personal
Conocimiento y capacitación
Sprout Social ha implementado un robusto sistema de gestión de seguridad de la información a través de un conjunto integral de políticas y estándares que cubren todos los aspectos de seguridad y privacidad. Como parte de su condición de empleo, todos los empleados deben manifestar sus responsabilidades con respecto a la protección de los datos de los clientes.
Además de brindar capacitación sobre la codificación de seguridad a nuestros desarrolladores, todos los empleados participan en la capacitación anual de seguridad general y de privacidad de datos. Los simulacros de suplantación de identidad (phishing) se administran sistemáticamente y se evalúan en función de los indicadores del sector.
Organización de seguridad
Sprout Social cuenta con un equipo altamente calificado y amplio dedicado a la seguridad de la información, liderado por el vicepresidente de TI, Seguridad y Cumplimiento, bajo la supervisión del director de tecnología (CTO, por sus siglas en inglés) y de la Junta Directiva de Sprout Social.
En función de las calificaciones y los intereses profesionales, el personal de seguridad puede asignarse a áreas funcionales, como la seguridad de los empleados, de las aplicaciones y de la infraestructura, el monitoreo del SOC, el cumplimiento y más.
Hardware y dispositivos
Sprout Social mantiene un inventario de todo el equipo y los dispositivos de hardware, que se audita de forma periódica tanto automática como manualmente. Cada dispositivo se gestiona de forma centralizada mediante una solución de administración de dispositivos móviles (MDM, por sus siglas en inglés), que aplica configuraciones centralizadas y permite el monitoreo continuo del sistema.
Cada estación de trabajo de los empleados se protege con cifrado de disco completo, software antivirus y antimalware de última generación, y software de prevención de pérdida de datos. También se configuran los controles de hardware, como el bloqueo de medios externos y puertos USB.
Evaluación
Los candidatos a un empleo realizan varias rondas de entrevistas con partes interesadas interdisciplinarias para verificar las calificaciones. Antes de comenzar a trabajar en Sprout Social, todo el personal se somete a una verificación de identidad y de antecedentes, conforme a las leyes y regulaciones locales.
Gestión de vulnerabilidades y riesgos
Detección y operaciones
El equipo de seguridad interno de Sprout Social monitorea los sistemas y registra eventos y anomalías potenciales las 24 horas del día, los 7 días de la semana, los 365 días del año. Además, hay personal especializado disponible de guardia si se requiere.
Los sistemas y las aplicaciones se escanean con frecuencia para detectar vulnerabilidades comunes, y los hallazgos se solucionan según el riesgo. Proveedores de pruebas externos idóneos realizan pruebas de penetración en las capas de aplicación y de red varias veces al año.
Gestión y respuesta ante accidentes
La planificación y los procedimientos de respuesta a incidentes de Sprout Social se basan en las normas del NIST e incorporan las fases de preparación, detección y análisis, contención, erradicación, recuperación y actividad posterior al incidente. Estos se refuerzan aún más con los requisitos de gestión de incidentes de seguridad de la información de la norma ISO 27001.
Cuando se identifican incidentes potenciales a través de nuestros sistemas de monitoreo, herramientas de detección de amenazas o informes de las partes interesadas, se realiza una evaluación y clasificación iniciales antes de pasar con rapidez a las acciones de respuesta y contención. Las partes interesadas se actualizan de manera periódica durante toda la investigación, y se recopilan y conservan registros y evidencias completas. Una vez que se ha abordado el incidente, se identifica la causa raíz y, con el objetivo de mejorar continuamente, se implementan cambios para evitar incidentes similares en el futuro.
Gestión de la cadena de suministro
Sprout Social usa métodos automáticos y manuales para revisar y monitorear con frecuencia a todos los proveedores críticos de productos y servicios en nuestra cadena de suministro. Nuestros subprocesadores están obligados contractualmente a cumplir con un conjunto establecido de medidas de seguridad que se alinean con las mejores prácticas de la industria.
Dado la importancia del monitoreo del riesgo de terceros, prestamos mucha atención a las bibliotecas y otras dependencias de terceros utilizadas dentro de nuestro entorno para garantizar que permanezcan parcheadas y completamente actualizadas.
Control de cambios
Todos los equipos de ingeniería de Sprout Social siguen metodologías ágiles de desarrollo de software, que incorporan fases formales del ciclo de vida del desarrollo de software (SDLC, por sus siglas en inglés), lo que incluye planificación, desarrollo, revisión de código, pruebas, implementación y monitoreo continuo.
Todos los cambios de código y configuración atraviesan múltiples revisiones y pruebas antes de la implementación. Nuestros entornos de producción aplican el código aprobado mediante herramientas de gestión de configuración, y cualquier modificación directa realizada en esos sistemas será sobrescrita por la configuración aprobada para garantizar la consistencia. Cada desarrollador de Sprout Social debe completar una capacitación anual sobre codificación segura.
Protección física y del medioambiente
Seguridad física de la oficina
Todas las oficinas de Sprout Social tienen puertas de múltiples capas protegidas por sistemas de control de acceso electrónico. El acceso físico está limitado al personal de Sprout Social y a visitantes autorizados y acompañados. Las oficinas están equipadas con cámaras de vigilancia que monitorean la entrada y la salida.
Seguridad digital de la oficina
Todas las oficinas cuentan con salas de datos seguras que contienen equipos de red, incluidos firewalls, switches y puntos de acceso, que gestionamos y son de nuestra propiedad. Las redes de la oficina están segmentadas y supervisadas de manera centralizada. Dado que nuestros servicios están alojados en centros de datos de terceros, no existen dependencias de productos en las oficinas corporativas de Sprout Social ni en otras instalaciones que gestionamos.
Seguridad para la vida
Cada oficina de Sprout Social mantiene planos internos de las instalaciones, lo que incluye la ubicación de salidas, extintores de incendios, desfibriladores y otros recursos de salud y bienestar. Los sistemas de alarma de emergencia están instalados y se prueban con frecuencia. Los procedimientos de emergencia en caso de desastre se actualizan y se realizan ejercicios de prueba, al menos, anualmente.
Continuidad del negocio
Si bien Sprout Social mantiene varias oficinas físicas, la operación continua de nuestro negocio no depende de estas oficinas. Durante la pandemia de COVID-19 (coronavirus), Sprout Social hizo la transición a una fuerza laboral completamente remota sin demoras ni interrupciones. Desde entonces, muchos empleados han regresado a la oficina, pero la organización sigue siendo híbrida y cuenta con personal que trabaja de forma remota en todo el mundo. Por lo tanto, nuestros productos, servicios y operaciones comerciales generales pueden continuar durante todo el día, independientemente de cualquier interrupción en la oficina.