Alojamiento de datos y seguridad

El objetivo de Sprout Social es ayudar a las empresas de todos los tamaños a volverse mejores marketers, establecer relaciones más estrechas con sus clientes, tomar decisiones mejor justificadas y convertirlas en las marcas más geniales del mundo.

Sprout Social se encuentra en operaciones desde 2010 y cuenta con más de 25 000 clientes activos que confían en nosotros para que los ayudemos a gestionar millones de conversaciones al día. El diseño y administración de nuestra tecnología están pensados para nuestros clientes y sus audiencias y cientos de millones de personas. Trabajamos diariamente para establecer relaciones duraderas a través de una cultura de éxito y apoyo al cliente.

Confiabilidad y disponibilidad

Sprout Social intenta minimizar los efectos y el tiempo de inactividad del servicio. Diseñamos nuestros sistemas con tolerancia a fallas y nuestros equipos están capacitados para realizar recuperaciones rápidas ante accidentes. Está en nuestro espíritu evitar el tiempo de inactividad a cualquier costo, ya sea imprevisto o planificado. Jamás imponemos un tiempo de inactividad destinado al mantenimiento si es posible evitarlo, porque normalmente lo podemos evitar. Los elementos de continuidad del negocio y recuperación ante desastres están incorporados en nuestras prácticas y sistemas. No tomamos decisiones de último momento, ni encargamos una tarea relegada a un solo equipo.

Una trayectoria comprobada

El 99.99 % de actividad es un KPI para nuestro grupo de ingeniería. Al momento de escribir, obtuvimos una actividad mayor a 99.99 % en comparación con los 6 y 12 meses anteriores.

Transparencia ante nuestros clientes

La confianza comienza con la comunicación abierta. Compartimos públicamente el estado del sistema en tiempo real y las métricas en nuestros sitios web de estado, https://status.sproutsocial.com en el caso de Sprout Social y https://status.getbambu.com en el caso de Bambú. En estos sitios informamos sobre problemas y actividades de mantenimiento planeada, así como cualquier consecuencia que pudieran tener en el cliente, y mostramos las métricas sobre el estado del sistema obtenidas por parte de proveedores externos independientes. Los clientes pueden suscribirse para recibir notificaciones por mensaje o correo al instante sobre futuros accidentes.

Actualizaciones de social media

Nuestra capa de importación de datos combina múltiples conexiones a las API de redes sociales. Como socios certificados, las redes sociales como Facebook, Twitter, Instagram y LinkedIn nos brindan altos niveles de redundancia y acceso a sus equipos de asistencia.

Copias de respaldo

Con frecuencia se crean copias de respaldo, se realiza el cifrado en tránsito y durante inactividad, y se ponen a prueba con regularidad. Las copias de respaldo se mantienen "fuera del sitio" en Amazon S3, que almacena archivos en varios dispositivos físicos en instalaciones que ofrecen el 99.999999999 % de durabilidad y el 99.99 % de disponibilidad.

Transparencia ante nuestros equipos

A nivel interno ponemos en práctica un tipo de análisis multidisciplinario y sin señalar culpables; además, buscamos aumentar nuestro equipo, procedimientos y sistemas después de un error. El miedo es el enemigo del progreso.

Aislamiento

Nuestra plataforma back-end altamente distribuida utiliza patrones de diseño de aislamiento para mitigar los riesgos en todos los componentes. Los errores que afectan a un componente difícilmente afectan a otros.

Objetivos de punto de recuperación (RPO)

Las estrategias de recuperación están diseñadas para brindar RPO actualizados a un Tiempo objetivo de recuperación (RTO) bajo, con datos de recuperación antiguos frente a RTO más largos. Esto es consistente con las expectativas del cliente en social media, lo que permite que nuestros clientes conozcan las necesidades inmediatas de sus clientes.

Prácticas recomendadas sobre los DevOps

Nuestro equipo de ingeniería practica la Infraestructura como código, lo que brinda corrección, consistencia, comprobabilidad y rapidez en la recuperación. Cualquier miembro de nuestro equipo de asistencia telefónica (disponibles las 24 horas, los 7 días de la semana, todo el año) está capacitado para volver a construir sistemas y topologías con total consistencia. En caso de pérdida del sistema, nuestro equipo de ingeniería recrea rápidamente los sistemas al ejecutar el código de infraestructura.

Monitoreo y asistencia telefónica

Constantemente monitoreamos la información en todo el mundo, lo que nos permite mostrar, notificar e informar sobre todos nuestros entornos técnicos en tiempo real. Para brindar asistencia a nuestros clientes, colaboramos con nuestro equipo de asistencia que tiene contacto directo con el cliente y nuestro equipo de ingeniería. Contamos con ingenieros especializados disponibles por teléfono 24 horas, los 7 días de la semana, todo el año.

Cuando hay problemas, nuestros equipos reciben una notificación de inmediato, reciben el contexto automáticamente y cuentan con las herramientas para colaborar de manera eficiente con sus compañeros. Utilizamos un sistema localizador-clasificador para asegurarnos de que las notificaciones lleguen a los ingenieros con rapidez y de forma confiable.

Centros de datos

Los productos de Sprout Social se alojan en Amazon Web Services (AWS) AWS brinda instalaciones de alojamiento de primera clase, seguras, altamente confiables y redundantes, en cumplimiento con la Cloud Security Alliance Star Nivel 2, ISO 9001, 27001, 27017, 27018, PCI DSS Nivel 1, y SOC 1, 2 y 3. Para obtener más información sobre las certificaciones y programas de cumplimiento, visita https://aws.amazon.com/compliance/programs.

Ubicación de datos

Los datos del cliente se alojan en los Estados Unidos, en las regiones de AWS us-east-1 y us-west-2. Sprout Social está certificado por el Escudo de Privacidad para transferir datos personales desde la Unión Europea y Suiza, además de que cumple con los requerimientos del RGPD.

Instalaciones

Los centros de datos de AWS cuentan con la capacidad de alojamiento físico de clase mundial. Los edificios cuentan con gestión y monitoreo de temperatura y humedad, detección y eliminación automática de agua, así como detección y extinción automática de fuego. La combinación entre varias fuentes de alimentación, los sistemas de alimentación ininterrumpida (UPS) y los generadores eléctricos en el sitio brindan capas de energía de respaldo. Las conexiones de Internet y telecomunicaciones son redundantes. No hay dependencias de productos en las oficinas corporativas de Sprout Social u otras instalaciones que gestionemos.

Seguridad de TI

Additional security is applied to information technology rooms and systems including forced open door alarms, thread and electronic intrusion detection systems, multi-factor authentication, and media destruction per
NIST 800-88.

Seguridad física

Los edificios del centro de datos tienen un acceso físico estricto de revisión y escrutinio. El personal monitorea todo el acceso físico las 24 horas, los 7 días de la semana. La autenticación de varios factores es obligatoria para todos los visitantes. Existe un monitoreo continuo para evitar el acceso no autorizado gracias a nuestra vídeo vigilancia, detección de intrusos y sistemas de monitoreo de registro de acceso.

Seguridad de infraestructura y red

Sprout Social utiliza un equipo de seguridad personalizado. Todos los sistemas son monitoreados y están alertas las 24 horas, los 7 días de la semana, todo el año en caso de incidentes de seguridad y operativos. La detección de intrusos basada en alojamiento se implementa en todos los sistemas de producción.

Controles de red

Nuestra red privada está segmentada en varias zonas de seguridad. Estas brindan mayores niveles de control, en proximidad a los datos del cliente.

Gestión y respuesta ante accidentes

La planificación y procedimientos de respuesta ante accidentes de Sprout Social están basados en las normas del NIST. Todos los informes de accidentes se analizan, informan y solucionan de inmediato según sea necesario. El plan y procedimientos de respuesta definen todos los pasos para garantizar un proceso consistente.

Escaneo

Los sistemas y aplicaciones se escanean regularmente para detectar vulnerabilidades frecuentes.

Cifrado en tránsito e inactivo

Todas las comunicaciones en redes públicas con aplicaciones y API de Sprout Social se realizan a través del TLS/HTTPS. Todos los datos se almacenan con cifrado durante inactividad, incluidas las copias de respaldo.

Administración de sistemas

Utilizamos prácticas recomendadas, como el principio mínimo de privilegio, gestión de configuración central y políticas de firewall de red y alojamiento rigurosos. Los servidores se parchan automáticamente de forma regular, con parches de alta prioridad que se aplican manualmente fuera de ciclo.

Seguridad de aplicaciones

Los desarrolladores de Sprout Social reciben capacitaciones anuales sobre codificación de seguridad. Los empleados de Sprout escriben todos los códigos de aplicación y cada cambio se somete a una revisión por parte de sus compañeros. Las vulnerabilidades de seguridad se evalúan y corrigen oportunamente.

Prueba de penetración de terceros

Sprout Social contrata a varios proveedores de pruebas de penetración para realizar varias evaluaciones al año. Los clientes pueden disponer de los informes bajo acuerdo de confidencialidad tras solicitarlos.

Mitigación de DDoS

La mitigación de denegación distribuida de servicio se proporciona a través de nuestra plataforma de alojamiento.

política de divulgación responsable

Los investigadores de seguridad pueden informar vulnerabilidades a través de Bug Crowd. (enlace: https://bugcrowd.com/sproutsocial). Obtén más información sobre nuestra política en https://sproutsocial.com/responsible-disclosure-policy.

Empleados y las TI internas

Además de brindar capacitación sobre la codificación de seguridad a nuestros desarrolladores, todos los empleados participan en la capacitación de seguridad general y privacidad de datos anual. Los simulacros de suplantación de identidad se realizan sistemáticamente y se evalúan en función de los indicadores del sector.

Normas y políticas de seguridad sobre la información

Sprout Social cuenta con un conjunto integral de políticas y normas
que abarcan todos los aspectos de seguridad y privacidad. Todos los empleados deben manifestar sus responsabilidades con respecto a la protección de datos del cliente como parte de su condición de empleo.

Protocolos de asistencia de seguridad

Nuestro equipo de asistencia de primera clase sigue los protocolos de suplantación de identidad y resistencia ante amenazas diseñados por nuestro equipo de seguridad al llevar a cabo acciones delicadas en las cuentas de los clientes.

Oficinas

Las oficinas de Sprout Social están protegidas gracias al acceso con tarjeta. Las redes de oficina están segmentadas, se supervisan de manera centralizada y protegen por firewalls y dispositivos para la prevención de intrusiones. Nuestros productos no cuentan con dependencias en nuestras oficinas u otras instalaciones que gestionemos.

Dispositivos

Todos los dispositivos de Sprout Social son inventariados con etiquetas de identificación y se gestionan con una solución central de MDM.

Terminales

Las estaciones de trabajo de los empleados están aseguradas mediante cifrado de disco duro, antivirus y detección de malware avanzada con gestión y control centrales.

Comprobación de antecedentes

Los nuevos empleados con acceso a los datos del cliente son sometidos a una revisión de antecedentes e historial criminal antes de su contratación.

Continuidad del negocio

Al igual que el alojamiento de nuestros productos, Sprout Social tiene oficinas físicas en todo el mundo; sin embargo, la operación continua de nuestro negocio no depende de ellas. Nuestros productos, el servicio al cliente y las operaciones empresariales en general tienen la capacidad de seguir con sus operaciones sin interrupciones por a accidentes o problemas físicos en nuestras oficinas. Nuestro equipo cuenta con herramientas basadas en la nube, así como con soluciones de colaboración y acceso a distancia para utilizar estas herramientas todos los días.

Funciones de seguridad de nuestros productos

Verificación de dos pasos (2FA)

Los propietarios y administradores de cuenta pueden requerir que sus usuarios aprovechen esta capa de seguridad adicional. Sprout Social cuenta con el apoyo de aplicaciones como Google Authenticator y otros con el algoritmo Time-based One-time Password Algorithm (TOTP) o el HMAC-based One-time Password Algorithm (HOTP) para generar contraseñas.

Almacenamiento seguro de credenciales

Las contraseñas de cuentas se cifran y verifican con los algoritmos y métodos más recientes, que se auditan periódicamente. Ningún humano, incluyendo a nuestro personal, puede verlos. Si olvida su contraseña, no podrá recuperarla y deberá restablecer su cuenta.

Protecciones contra ataques de fuerza bruta

Además de la verificación, que supone un reto computacional, nuestros servicios de autenticación implementan protecciones adicionales que limitan la velocidad y ReCAPTCHA.

Flujos de aprobación

Los propietarios y administradores de cuentas pueden restringir ciertas actividades detrás de los flujos de trabajo de aprobación. Esto permite que las tareas se dividan en el equipo, con la tranquilidad de que los que tomarán la decisión central revisarán y controlarán las acciones que se mostrarán al público.

Restricciones de IP

Sprout Social puede estar configurado para limitar el acceso a las aplicaciones y a la API desde rangos de IP específicos.

Inicio de sesión único (SSO)

Sprout Social ofrece el inicio de sesión único (SSO) de SAML 2.0 para organizaciones que aprovechan este servicio de autenticación con el fin de otorgarle a los empleados un conjunto de credenciales que les permitan acceder a múltiples aplicaciones. Nuestro equipo de Ingeniería trabaja con los clientes para implementar integraciones de inicio de sesión único personalizadas tanto en la web como en el móvil.

Firma de correo electrónico

Sprout Social implementa el Convenio de remitentes (SPF) y
el DomainKeys Identified Mail (DKIM) para garantizar que los correos electrónicos que enviamos estén autenticados como procedentes de Sprout Social, lo que ayudará a evitar la suplantación de identidad y garantizará nuestra autenticidad.

Permisos de acceso

Los propietarios y administradores de cuenta pueden restringir el acceso a los perfiles, funciones, acciones (como leer y escribir), entre otros datos, al aplicar los controles granulares a los usuarios de su cuenta.

Pausa de publicación global

En momentos de crisis, tu equipo tiene acceso a un botón que desactiva temporalmente cualquier mensaje programado y en línea automatizado para que no se envíe desde Sprout Social. Esta función está disponible en nuestras aplicaciones web y móviles.

Cumplimiento y certificaciones

SOC 2 Tipo II

Sprout Social recibió una certificación independiente SOC 2 tipo I y buscará una auditoria de tipo II en 2019.

Escudo de privacidad de la UE y EE. UU., así como de Suiza y EE. UU.

Sprout Social cuenta con la certificación de Escudo de privacidad bajo estos marcos establecidos por el Departamento de comercio de Estados Unidos con respecto a la transferencia de datos personales desde el EEE y Suiza a Estados Unidos.

CSA STAR Nivel 1

Sprout Social es miembro de Cloud Security Alliance (CSA), la organización independiente líder en el mundo para definir las buenas prácticas de los proveedores de servicios en la nube. Con la intención de brindar transparencia, Sprout proporciona respuestas a las preguntas comunes que los clientes pueden tener acerca de su proveedor de nube aquí.

RGPD

Sprout Social cumple con el RGPD como controlador y procesador de datos personales según el Reglamento General de Protección de Datos.

Cumplimiento del PCI

Sprout Social is PCI SAQ-A compliant. Payment transactions are outsourced to third-party payment processors compliant to PCI-DSS
Level 1.

Asociaciones con social media oficiales

Sprout Social es reconocido como socio oficial de Twitter, Facebook, Instagram, LinkedIn y Pinterest.

SOC para Organizaciones de Servicio (aicpa.org/soc4so)