Alojamiento de datos y seguridad

Confiabilidad y disponibilidad

Sprout Social intenta minimizar los impactos en el servicio y el tiempo de inactividad. Diseñamos nuestros sistemas con tolerancia a errores, y nuestros equipos están preparados para efectuar recuperaciones rápidas ante accidentes. Nuestra filosofía es evitar el tiempo de inactividad a cualquier costo, ya sea imprevisto o planificado. Jamás imponemos un tiempo de inactividad destinado al mantenimiento si es posible evitarlo, porque, normalmente, lo es. Los elementos de continuidad del negocio y recuperación ante desastres están incorporados en nuestras prácticas y sistemas. No tomamos decisiones de último momento, ni encargamos una tarea relegada a un solo equipo.

Una trayectoria comprobada

El 99.99 % del tiempo de actividad es un indicador clave de rendimiento (KPI, por sus siglas en inglés) para nuestro grupo de ingeniería. Al momento de redactar estas líneas, obtuvimos una actividad mayor a 99.95 % en comparación con los 6 y 12 meses anteriores.

Transparencia ante nuestros clientes

La confianza comienza con la comunicación abierta. Compartimos públicamente el estado del sistema en tiempo real y las métricas en nuestros sitios web de estado, https://status.sproutsocial.com en el caso de Sprout Social y https://status.getbambu.com en el caso de Bambú. En estos sitios informamos sobre problemas y actividades de mantenimiento planeada, así como cualquier consecuencia que pudieran tener en el cliente, y mostramos las métricas sobre el estado del sistema obtenidas por parte de proveedores externos independientes. Los clientes pueden suscribirse para recibir notificaciones por mensaje o correo al instante sobre futuros accidentes.

Actualizaciones de social media

Nuestra capa de importación de datos combina múltiples conexiones a las API de redes sociales. Como socios, las redes sociales, incluidos Facebook, Twitter, Instagram y LinkedIn, nos brindan altos niveles de redundancia y acceso a sus equipos de asistencia.

Copias de respaldo

Con frecuencia se crean copias de respaldo, se realiza el cifrado en tránsito y durante inactividad, y se ponen a prueba con regularidad. Las copias de respaldo se mantienen "fuera del sitio" en Amazon S3, que almacena archivos en varios dispositivos físicos en instalaciones que ofrecen el 99.999999999 % de durabilidad y el 99.99 % de disponibilidad.

Transparencia ante nuestros equipos

A nivel interno, ponemos en práctica un tipo de análisis multidisciplinario y sin señalar culpables; además, buscamos aumentar nuestro equipo, procedimientos y sistemas después de un error. El miedo es el enemigo del progreso.

Aislamiento

Nuestra plataforma back-end altamente distribuida utiliza patrones de diseño de aislamiento para mitigar los riesgos en todos los componentes. Los errores que afectan a un componente difícilmente afectan a otros.

Objetivos de punto de recuperación (RPO)

Las estrategias de recuperación están diseñadas para brindar RPO actualizados a un Tiempo objetivo de recuperación (RTO) bajo, con datos de recuperación antiguos frente a RTO más largos. Esto es consistente con las expectativas del cliente en social media, lo que permite que nuestros clientes conozcan las necesidades inmediatas de sus clientes.

Prácticas recomendadas sobre los DevOps

Nuestro equipo de ingeniería practica la Infraestructura como código, lo que brinda corrección, consistencia, capacidad de prueba y rapidez en la recuperación. Todos los miembros de nuestro equipo de asistencia telefónica, que están disponibles las 24 horas, los 7 días de la semana, todo el año, están capacitados para volver a construir sistemas y topologías totalmente consistentes. En caso de una pérdida del sistema, nuestro equipo de ingeniería recrea rápidamente los sistemas al ejecutar el código de infraestructura.

Monitoreo y asistencia telefónica

Constantemente monitoreamos todos nuestros entornos técnicos en todo el mundo, lo que nos permite visualizar, notificar y reportar cualquier variable en tiempo real. Para brindar asistencia a nuestros clientes, colaboramos con nuestro equipo de asistencia que tiene contacto directo con el cliente y con nuestro equipo de ingeniería. Contamos con ingenieros especializados disponibles por teléfono 24 horas, los 7 días de la semana, todo el año.

Cuando hay problemas, nuestros equipos reciben una notificación de inmediato, reciben el contexto automáticamente y cuentan con las herramientas para colaborar de manera eficiente con sus compañeros. Utilizamos un sistema localizador-clasificador para asegurarnos de que las notificaciones lleguen a los ingenieros con rapidez y de forma confiable.

Centros de datos

Los productos de Sprout Social se alojan en Amazon Web Services (AWS). AWS brinda instalaciones de alojamiento de primera clase, seguras, de alta disponibilidad y redundantes, en cumplimiento con la Cloud Security Alliance Star Nivel 2, ISO 9001, 27001, 27017, 27018, PCI DSS Nivel 1, y SOC 1, 2 y 3. Para obtener más información sobre las certificaciones y los programas de cumplimiento, visita https://aws.amazon.com/compliance/programs.

Ubicación de datos

Los datos del cliente se alojan en los Estados Unidos, en la región de AWS us-east-1. Sprout Social está certificado por el Escudo de Privacidad para transferir datos personales desde la Unión Europea y Suiza, además de que cumple con los requerimientos del RGPD.

Instalaciones

Los centros de datos de AWS cuentan con la capacidad de alojamiento físico de clase mundial. Los edificios cuentan con gestión y monitoreo de temperatura y humedad, detección y eliminación automática de agua, así como detección y extinción automática de fuego. La combinación entre varias fuentes de alimentación, los sistemas de alimentación ininterrumpida (UPS) y los generadores eléctricos en el sitio brindan capas de energía de respaldo. Las conexiones de Internet y telecomunicaciones son redundantes. No hay dependencias de productos en las oficinas corporativas de Sprout Social u otras instalaciones que gestionemos.

Seguridad de TI

Additional security is applied to information technology rooms and systems including forced open door alarms, thread and electronic intrusion detection systems, multi-factor authentication, and media destruction per
NIST 800-88.

Seguridad física

Los edificios del centro de datos tienen un acceso físico estricto de revisión y escrutinio. El personal monitorea todo el acceso físico las 24 horas, los 7 días de la semana. La autenticación de varios factores es obligatoria para todos los visitantes. Existe un monitoreo continuo para evitar el acceso no autorizado gracias a nuestra vídeo vigilancia, detección de intrusos y sistemas de monitoreo de registro de acceso.

Seguridad de infraestructura y red

Sprout Social utiliza un equipo de seguridad personalizado. Todos los sistemas son monitoreados y están alertas las 24 horas, los 7 días de la semana, todo el año en caso de incidentes de seguridad y operativos. Los Sistemas de Detección de Intrusos (IDS, por sus siglas en inglés) basados en host se implementan en todos los sistemas de producción.

Controles de red

Nuestra red privada está segmentada en varias zonas de seguridad. Estas brindan mayores niveles de control, en proximidad a los datos del cliente.

Gestión y respuesta ante accidentes

La planificación y procedimientos de respuesta ante accidentes de Sprout Social están basados en las normas del NIST. Todos los informes de accidentes se analizan, informan y solucionan de inmediato según sea necesario. El plan y procedimientos de respuesta definen todos los pasos para garantizar un proceso consistente.

Escaneo

Los sistemas y aplicaciones se escanean regularmente para detectar vulnerabilidades frecuentes.

Cifrado en tránsito e inactivo

Todas las comunicaciones en redes públicas con la aplicación y la API de Sprout Social se realizan a través de HTTPS con TLS 1.2 o superior. Todos los datos se almacenan y se cifran en reposo con AES-256 o superior, incluidas las copias de respaldo.

Administración de sistemas

Utilizamos prácticas recomendadas, como el principio mínimo de privilegio, gestión de configuración central y políticas de firewall de red y alojamiento rigurosos. Los servidores se parchan automáticamente de forma regular, con parches de alta prioridad que se aplican manualmente fuera de ciclo.

Seguridad de aplicaciones

Los desarrolladores de Sprout Social reciben capacitaciones anuales sobre codificación de seguridad. Los empleados de Sprout escriben todos los códigos de aplicación y cada cambio se somete a una revisión por parte de sus compañeros. Las vulnerabilidades de seguridad se evalúan y corrigen oportunamente.

Prueba de penetración de terceros

Sprout Social contrata a varios proveedores de pruebas de penetración para realizar varias evaluaciones al año. Los clientes pueden disponer de los informes bajo acuerdo de confidencialidad tras solicitarlos.

Mitigación de DDoS

La mitigación de denegación distribuida de servicio se proporciona a través de nuestra plataforma de alojamiento.

política de divulgación responsable

Los investigadores de seguridad pueden informar de vulnerabilidades a través de Bug Crowd (enlace: https://bugcrowd.com/sproutsocial). Obtén más información sobre nuestra política en https://sproutsocial.com/responsible-disclosure-policy.

Empleados y las TI internas

Además de brindar capacitación sobre la codificación de seguridad a nuestros desarrolladores, todos los empleados participan en la capacitación de seguridad general y privacidad de datos anual. Los simulacros de suplantación de identidad (phishing) se administran sistemáticamente y se evalúan en función de los indicadores del sector.

Normas y políticas de seguridad sobre la información

Sprout Social cuenta con un conjunto integral de políticas y normas que abarcan todos los aspectos de seguridad y privacidad. Todos los empleados deben manifestar sus responsabilidades con respecto a la protección de los datos del cliente como parte de su condición laboral.

Protocolos de asistencia de seguridad

Nuestro equipo de asistencia de primera clase sigue los protocolos de suplantación de identidad y resistencia ante amenazas diseñados por nuestro equipo de seguridad al llevar a cabo acciones delicadas en las cuentas de los clientes.

Oficinas

Las oficinas de Sprout Social están protegidas gracias al acceso con tarjeta. Las redes de oficina están segmentadas, se supervisan de manera centralizada y protegen por firewalls y dispositivos para la prevención de intrusiones. Nuestros productos no cuentan con dependencias en nuestras oficinas u otras instalaciones que gestionemos.

Dispositivos

Todos los dispositivos de Sprout Social son inventariados con etiquetas de identificación y se gestionan con una solución central de administración de dispositivos móviles (MDM, por sus siglas en inglés).

Terminales

Las estaciones de trabajo de los empleados están aseguradas mediante cifrado de disco duro, antivirus y detección de malware avanzada con gestión y control centrales.

Comprobación de antecedentes

Los nuevos empleados con acceso a los datos del cliente son sometidos a una revisión de antecedentes e historial criminal antes de su contratación.

Continuidad del negocio

Al igual que el alojamiento de nuestros productos, las oficinas físicas de Sprout Social están en todo el mundo; sin embargo, la operación continua de nuestro negocio no depende de ellas. Nuestros productos, el servicio al cliente y las operaciones empresariales en general pueden seguir con sus operaciones sin interrupciones por accidentes o problemas físicos en nuestras oficinas. Durante la pandemia del COVID-19 (coronavirus), la fuerza laboral de Sprout Social comenzó a trabajar a distancia sin demoras ni interrupciones, lo que garantizó la continuidad de los servicios a nuestros clientes. Nuestro equipo cuenta con herramientas basadas en la nube y con soluciones de colaboración y acceso remoto para utilizar estas herramientas todos los días.

Funciones de seguridad de nuestros productos

Autenticación de varios factores (MFA)

Los propietarios y administradores de cuenta pueden requerir que sus usuarios aprovechen esta capa de seguridad adicional. Sprout Social cuenta con el apoyo de aplicaciones como Google Authenticator y otros con el algoritmo Time-based One-time Password Algorithm (TOTP) o el HMAC-based One-time Password Algorithm (HOTP) para generar contraseñas.

Almacenamiento seguro de credenciales

Las contraseñas de cuentas se cifran y verifican con los algoritmos y métodos más recientes, que se auditan periódicamente. Ningún humano, incluyendo a nuestro personal, puede verlos. Si olvida su contraseña, no podrá recuperarla y deberá restablecer su cuenta.

Protecciones contra ataques de fuerza bruta

Además de la verificación, que supone un reto computacional, nuestros servicios de autenticación implementan protecciones adicionales que limitan la velocidad y ReCAPTCHA.

Flujos de aprobación

Los propietarios y administradores de cuentas pueden restringir ciertas actividades detrás de los flujos de trabajo de aprobación. Esto permite que las tareas se dividan en el equipo, con la tranquilidad de que los que tomarán la decisión central revisarán y controlarán las acciones que se mostrarán al público.

Restricciones de IP

Sprout Social puede estar configurado para limitar el acceso a las aplicaciones y a la API desde rangos de IP específicos.

Inicio de sesión único (SSO)

Sprout Social ofrece el inicio de sesión único (SSO) de SAML 2.0 para organizaciones que aprovechan este servicio de autenticación con el fin de otorgarle a los empleados un conjunto de credenciales que les permitan acceder a múltiples aplicaciones. Nuestro equipo de Ingeniería trabaja con los clientes para implementar integraciones de inicio de sesión único personalizadas tanto en la web como en el móvil.

Firma de correo electrónico

Sprout Social implementa el Convenio de remitentes (SPF, por sus siglas en inglés) y el DomainKeys Identified Mail (DKIM, por sus siglas en inglés) para garantizar que los correos electrónicos que enviamos estén autenticados como procedentes de Sprout Social, lo que ayudará a evitar la suplantación de identidad y garantizará nuestra autenticidad.

Permisos de acceso

Los propietarios y administradores de cuenta pueden restringir el acceso a los perfiles, funciones, acciones (como leer y escribir), entre otros datos, al aplicar los controles granulares a los usuarios de su cuenta.

Pausa de publicación global

En momentos de crisis, tu equipo tiene acceso a un botón que desactiva temporalmente cualquier mensaje programado y en línea automatizado para que no se envíe desde Sprout Social. Esta función está disponible en nuestras aplicaciones web y móviles.

Cumplimiento y certificaciones

Reglamento General de Protección de Datos (RGPD)

Sprout Social cumple con el RGPD como controlador y procesador de datos personales según el Reglamento General de Protección de Datos.

Ley de Privacidad del Consumidor de California (CCPA)

Sprout Social cumple con la CCPA, lo que les brinda a los consumidores de California más control sobre la información personal que se recopila sobre ellos.

Cumplimiento con los estándares para la Industria de Tarjeta de Pago (PCI)

Sprout Social cumple con el PCI SAQ-A. Las transacciones de pago se subcontratan a procesadores de pago externos que cumplan con el PCI-DSS Nivel 1.

Proveedor del Crown Commercial Service (CCS)

Sprout Social es un proveedor de software de la nube en el mercado digital G-Cloud 12 del Crown Commercial Service (CCS). El marco de adquisiciones G-Cloud ayuda a los clientes del sector público del Reino Unido a encontrar y comprar servicios de la nube, en el entendido de que el CCS ha evaluado a cada proveedor.

Asociaciones con social media oficiales

Sprout Social es reconocido como socio oficial de Twitter, Facebook, Instagram, LinkedIn, Pinterest y Google My Business.