Alojamiento de datos y seguridad
El objetivo de Sprout Social es ayudar a las empresas de todos los tamaños a volverse mejores marketers, establecer relaciones más estrechas con sus clientes, tomar decisiones mejor justificadas y convertirlas en las marcas más geniales del mundo.
Sprout Social opera desde 2010 y cuenta con más de 30 000 clientes activos que confían en nosotros para que los ayudemos a gestionar millones de conversaciones al día. El diseño y la administración de nuestra tecnología están pensados para nuestros clientes y sus audiencias de cientos de millones de personas. Trabajamos diariamente para establecer relaciones duraderas a través de una cultura de éxito y atención al cliente.
Confiabilidad y disponibilidad
Sprout Social intenta minimizar los impactos en el servicio y el tiempo de inactividad. Diseñamos nuestros sistemas con tolerancia a errores, y nuestros equipos están preparados para efectuar recuperaciones rápidas ante accidentes. Nuestra filosofía es evitar el tiempo de inactividad a cualquier costo, ya sea imprevisto o planificado. Jamás imponemos un tiempo de inactividad destinado al mantenimiento si es posible evitarlo, porque, normalmente, lo es. Los elementos de continuidad del negocio y recuperación ante desastres están incorporados en nuestras prácticas y sistemas. No tomamos decisiones de último momento, ni encargamos una tarea relegada a un solo equipo.
Una trayectoria comprobada
El 99.99 % del tiempo de actividad es un indicador clave de rendimiento (KPI, por sus siglas en inglés) para nuestro grupo de ingeniería. Al momento de redactar estas líneas, obtuvimos una actividad mayor a 99.95 % en comparación con los 6 y 12 meses anteriores.
Transparencia ante nuestros clientes
La confianza empieza con una comunicación abierta. Compartimos públicamente el estado del sistema en tiempo real y las métricas en nuestros sitios web de estado, https://status.sproutsocial.com en el caso de Sprout Social y https://status.advocacy.sproutsocial.com en el caso de Advocacy de empleados. Allí, informamos sobre problemas y actividades de mantenimiento programado, así como cualquier consecuencia que pudieran tener en el cliente, y mostramos las métricas sobre el estado del sistema obtenidas de proveedores externos independientes. Los clientes pueden suscribirse para recibir notificaciones por mensaje o por correo electrónico al instante sobre futuros accidentes.
Actualizaciones de social media
Nuestra capa de importación de datos combina múltiples conexiones a las API de redes sociales. Como socios, las redes sociales, incluidos Facebook, Twitter, Instagram y LinkedIn, nos brindan altos niveles de redundancia y acceso a sus equipos de asistencia.
Copias de respaldo
Con frecuencia se crean copias de respaldo, se realiza el cifrado en tránsito y durante inactividad, y se ponen a prueba con regularidad. Las copias de respaldo se mantienen "fuera del sitio" en Amazon S3, que almacena archivos en varios dispositivos físicos en instalaciones que ofrecen el 99.999999999 % de durabilidad y el 99.99 % de disponibilidad.
Transparencia ante nuestros equipos
A nivel interno, ponemos en práctica un tipo de análisis multidisciplinario y sin señalar culpables; además, buscamos aumentar nuestro equipo, procedimientos y sistemas después de un error. El miedo es el enemigo del progreso.
Aislamiento
Nuestra plataforma back-end altamente distribuida utiliza patrones de diseño de aislamiento para mitigar los riesgos en todos los componentes. Los errores que afectan a un componente difícilmente afectan a otros.
Objetivos de punto de recuperación (RPO)
Las estrategias de recuperación están diseñadas para brindar RPO actualizados a un Tiempo objetivo de recuperación (RTO) bajo, con datos de recuperación antiguos frente a RTO más largos. Esto es consistente con las expectativas del cliente en social media, lo que permite que nuestros clientes conozcan las necesidades inmediatas de sus clientes.
Prácticas recomendadas sobre los DevOps
Nuestro equipo de ingeniería practica la Infraestructura como código, lo que brinda corrección, consistencia, capacidad de prueba y rapidez en la recuperación. Todos los miembros de nuestro equipo de asistencia telefónica, que están disponibles las 24 horas, los 7 días de la semana, todo el año, están capacitados para volver a construir sistemas y topologías totalmente consistentes. En caso de una pérdida del sistema, nuestro equipo de ingeniería recrea rápidamente los sistemas al ejecutar el código de infraestructura.
Monitoreo y asistencia telefónica
Constantemente monitoreamos todos nuestros entornos técnicos en todo el mundo, lo que nos permite visualizar, notificar y reportar cualquier variable en tiempo real. Para brindar asistencia a nuestros clientes, colaboramos con nuestro equipo de asistencia que tiene contacto directo con el cliente y con nuestro equipo de ingeniería. Contamos con ingenieros especializados disponibles por teléfono 24 horas, los 7 días de la semana, todo el año.
Cuando hay problemas, nuestros equipos reciben una notificación de inmediato, reciben el contexto automáticamente y cuentan con las herramientas para colaborar de manera eficiente con sus compañeros. Utilizamos un sistema localizador-clasificador para asegurarnos de que las notificaciones lleguen a los ingenieros con rapidez y de forma confiable.
Centros de datos
Los productos de Sprout Social se alojan en Amazon Web Services (AWS). AWS brinda instalaciones de alojamiento de primera clase, seguras, de alta disponibilidad y redundantes, en cumplimiento con la Cloud Security Alliance Star Nivel 2, ISO 9001, 27001, 27017, 27018, PCI DSS Nivel 1, y SOC 1, 2 y 3. Para obtener más información sobre las certificaciones y los programas de cumplimiento, visita https://aws.amazon.com/compliance/programs.
Ubicación de datos
Los datos del cliente se alojan en los Estados Unidos, en la región de AWS us-east-1.
Instalaciones
Los centros de datos de AWS cuentan con la capacidad de alojamiento físico de clase mundial. Los edificios cuentan con gestión y monitoreo de temperatura y humedad, detección y eliminación automática de agua, así como detección y extinción automática de fuego. La combinación entre varias fuentes de alimentación, los sistemas de alimentación ininterrumpida (UPS) y los generadores eléctricos en el sitio brindan capas de energía de respaldo. Las conexiones de Internet y telecomunicaciones son redundantes. No hay dependencias de productos en las oficinas corporativas de Sprout Social u otras instalaciones que gestionemos.
Seguridad de TI
Additional security is applied to information technology rooms and systems including forced open door alarms, thread and electronic intrusion detection systems, multi-factor authentication, and media destruction per
NIST 800-88.
Seguridad física
Los edificios del centro de datos tienen un acceso físico estricto de revisión y escrutinio. El personal monitorea todo el acceso físico las 24 horas, los 7 días de la semana. La autenticación de varios factores es obligatoria para todos los visitantes. Existe un monitoreo continuo para evitar el acceso no autorizado gracias a nuestra vídeo vigilancia, detección de intrusos y sistemas de monitoreo de registro de acceso.
Seguridad de infraestructura y red
Sprout Social utiliza un equipo de seguridad personalizado. Todos los sistemas son monitoreados y están alertas las 24 horas, los 7 días de la semana, todo el año en caso de incidentes de seguridad y operativos. Los Sistemas de Detección de Intrusos (IDS, por sus siglas en inglés) basados en host se implementan en todos los sistemas de producción.
Controles de red
Nuestra red privada está segmentada en varias zonas de seguridad. Estas brindan mayores niveles de control, en proximidad a los datos del cliente.
Gestión y respuesta ante accidentes
La planificación y procedimientos de respuesta ante accidentes de Sprout Social están basados en las normas del NIST. Todos los informes de accidentes se analizan, informan y solucionan de inmediato según sea necesario. El plan y procedimientos de respuesta definen todos los pasos para garantizar un proceso consistente.
Escaneo
Los sistemas y aplicaciones se escanean regularmente para detectar vulnerabilidades frecuentes.
Cifrado en tránsito e inactivo
Todas las comunicaciones en redes públicas con la aplicación y la API de Sprout Social se realizan a través de HTTPS con TLS 1.2 o superior. Todos los datos se almacenan y se cifran en reposo con AES-256 o superior, incluidas las copias de respaldo.
Administración de sistemas
Utilizamos prácticas recomendadas, como el principio mínimo de privilegio, gestión de configuración central y políticas de firewall de red y alojamiento rigurosos. Los servidores se parchan automáticamente de forma regular, con parches de alta prioridad que se aplican manualmente fuera de ciclo.
Gestión de riesgos de terceros
Sprout Social revisa la postura de seguridad de nuestros proveedores de productos y servicios críticos de terceros de forma regular. Los subprocesadores de Sprout Social están obligados contractualmente a cumplir con un conjunto establecido de medidas de seguridad que se alinean con las prácticas recomendadas de la industria.
Seguridad de aplicaciones
Los desarrolladores de Sprout Social reciben capacitaciones anuales sobre codificación de seguridad. Los empleados de Sprout escriben todos los códigos de aplicación y cada cambio se somete a una revisión por parte de sus compañeros. Las vulnerabilidades de seguridad se evalúan y corrigen oportunamente.
Prueba de penetración de terceros
Sprout Social contrata a varios proveedores de pruebas de penetración para realizar varias evaluaciones al año. Los clientes pueden disponer de los informes bajo acuerdo de confidencialidad tras solicitarlos.
Mitigación de DDoS
La mitigación de denegación distribuida de servicio se proporciona a través de nuestra plataforma de alojamiento.
política de divulgación responsable
Los investigadores de seguridad pueden informar vulnerabilidades a través de Bug Crowd (enlace: https://bugcrowd.com/sproutsocial). Obtén más información sobre nuestra política en https://sproutsocial.com/responsible-disclosure-policy.
Empleados y las TI internas
El vicepresidente de TI, Seguridad y Cumplimiento con la supervisión del director de tecnología (CTO, por sus siglas en inglés) y la Junta Directiva de Sprout Social es el responsable de la seguridad de la información en Sprout Social. Además de brindar capacitación sobre la codificación de seguridad a nuestros desarrolladores, todos los empleados participan en la capacitación anual de seguridad general y de privacidad de datos. Los simulacros de suplantación de identidad (phishing) se administran sistemáticamente y se evalúan según los indicadores del sector.
Normas y políticas de seguridad sobre la información
Sprout Social ha implementado un robusto sistema de gestión de seguridad de la información a través de un conjunto integral de políticas y estándares que cubren todos los aspectos de seguridad y privacidad. Todos los empleados deben manifestar sus responsabilidades con respecto a la protección de los datos del cliente como parte de su condición laboral.
Protocolos de asistencia de seguridad
Nuestro equipo de asistencia de primera clase sigue los protocolos de suplantación de identidad y resistencia ante amenazas diseñados por nuestro equipo de seguridad al llevar a cabo acciones delicadas en las cuentas de los clientes.
Oficinas
Las oficinas de Sprout Social están protegidas gracias al acceso con tarjeta. Las redes de oficina están segmentadas, se supervisan de manera centralizada y protegen por firewalls y dispositivos para la prevención de intrusiones. Nuestros productos no cuentan con dependencias en nuestras oficinas u otras instalaciones que gestionemos.
Dispositivos
Todos los dispositivos de Sprout Social son inventariados con etiquetas de identificación y se gestionan con una solución central de administración de dispositivos móviles (MDM, por sus siglas en inglés).
Terminales
Las estaciones de trabajo de los empleados están aseguradas mediante cifrado de disco duro, antivirus y detección de malware avanzada con gestión y control centrales.
Comprobación de antecedentes
Los nuevos empleados con acceso a los datos del cliente son sometidos a una revisión de antecedentes e historial criminal antes de su contratación.
Continuidad del negocio
Al igual que el alojamiento de nuestros productos, las oficinas físicas de Sprout Social están en todo el mundo; sin embargo, la operación continua de nuestro negocio no depende de ellas. Nuestros productos, el servicio al cliente y las operaciones empresariales en general pueden seguir con sus operaciones sin interrupciones por accidentes o problemas físicos en nuestras oficinas. Durante la pandemia del COVID-19 (coronavirus), la fuerza laboral de Sprout Social comenzó a trabajar a distancia sin demoras ni interrupciones, lo que garantizó la continuidad de los servicios a nuestros clientes. Nuestro equipo cuenta con herramientas basadas en la nube y con soluciones de colaboración y acceso remoto para utilizar estas herramientas todos los días.
Funciones de seguridad de nuestros productos
Autenticación de varios factores (MFA)
Los propietarios y administradores de cuenta pueden requerir que sus usuarios aprovechen esta capa de seguridad adicional. Sprout Social cuenta con el apoyo de aplicaciones como Google Authenticator y otros con el algoritmo Time-based One-time Password Algorithm (TOTP) o el HMAC-based One-time Password Algorithm (HOTP) para generar contraseñas.
Almacenamiento seguro de credenciales
Las contraseñas de cuentas se cifran y verifican con los algoritmos y métodos más recientes, que se auditan periódicamente. Ningún humano, incluyendo a nuestro personal, puede verlos. Si olvida su contraseña, no podrá recuperarla y deberá restablecer su cuenta.
Protecciones contra ataques de fuerza bruta
Además de la verificación, que supone un reto computacional, nuestros servicios de autenticación implementan protecciones adicionales que limitan la velocidad y ReCAPTCHA.
Flujos de aprobación
Los propietarios y administradores de cuentas pueden restringir ciertas actividades detrás de los flujos de trabajo de aprobación. Esto permite que las tareas se dividan en el equipo, con la tranquilidad de que los que tomarán la decisión central revisarán y controlarán las acciones que se mostrarán al público.
Restricciones de IP
Sprout Social puede estar configurado para limitar el acceso a las aplicaciones y a la API desde rangos de IP específicos.
Inicio de sesión único (SSO)
Sprout Social ofrece el inicio de sesión único (SSO) de SAML 2.0 para organizaciones que aprovechan este servicio de autenticación con el fin de otorgarle a los empleados un conjunto de credenciales que les permitan acceder a múltiples aplicaciones. Nuestro equipo de Ingeniería trabaja con los clientes para implementar integraciones de inicio de sesión único personalizadas tanto en la web como en el móvil.
Firma de correo electrónico
Sprout Social implementa el Convenio de remitentes (SPF, por sus siglas en inglés) y el DomainKeys Identified Mail (DKIM, por sus siglas en inglés) para garantizar que los correos electrónicos que enviamos estén autenticados como procedentes de Sprout Social, lo que ayudará a evitar la suplantación de identidad y garantizará nuestra autenticidad.
Permisos de acceso
Los propietarios y administradores de cuenta pueden restringir el acceso a los perfiles, funciones, acciones (como leer y escribir), entre otros datos, al aplicar los controles granulares a los usuarios de su cuenta.
Pausa de publicación global
En momentos de crisis, tu equipo tiene acceso a un botón que desactiva temporalmente cualquier mensaje programado y en línea automatizado para que no se envíe desde Sprout Social. Esta función está disponible en nuestras aplicaciones web y móviles.
Protección del cliente
Sprout Social quiere ayudar a protegerte de las amenazas de seguridad en línea y ha creado recursos diseñados para este fin, que incluyen las prácticas recomendadas de seguridad y cómo proteger la información confidencial.
Cumplimiento y certificaciones
Puedes encontrar las certificaciones y saber cómo cumplimos con la normativa de seguridad de Sprout Social en nuestro Centro de confianza.