Seguridad de Sprout Social
La aplicación Sprout Social es una plataforma de gestión de redes sociales para empresas, que ofrece a las marcas y agencias la capacidad de gestionar la publicación, la participación, las estadísticas, la promoción y el servicio al cliente en múltiples redes y perfiles. Puedes encontrar más información, incluido un recorrido por el producto, en nuestro sitio web aquí.
Los controles y las medidas de seguridad que se documentan más abajo son específicos para la aplicación de Sprout. Además, se aplican todas las medidas enumeradas en la página Seguridad.
Control de acceso
Autenticación
De forma predeterminada, los usuarios inician sesión en la aplicación Sprout utilizando un nombre de usuario y una contraseña designados, con verificación en dos pasos a través de correo electrónico habilitada de manera obligatoria. Los clientes pueden configurar diferentes ajustes de contraseña para su cuenta, lo que incluye configuraciones de seguridad, historial y límite de intentos. Las contraseñas de cuentas se cifran y verifican con los algoritmos y métodos más recientes, que se auditan periódicamente. Ningún humano, incluido nuestro personal, puede verlos. Si olvidas tu contraseña, no podrás recuperarla y deberás restablecer tu cuenta.
El inicio de sesión único (SSO) mediante SAML 2.0 permite a los clientes ofrecer a sus usuarios un conjunto de credenciales de inicio de sesión para acceder a varias aplicaciones. El aprovisionamiento justo a tiempo (JIT) y la configuración de roles predeterminados para nuevos usuarios también están disponibles. Puedes encontrar las instrucciones para configurar SSO aquí.
Además, los clientes pueden reemplazar la verificación en dos pasos basada en correo electrónico por una autenticación multifactor que utilice un algoritmo de contraseñas de un solo uso basadas en el tiempo (TOTP) o un algoritmo de contraseñas de un solo uso basadas en HMAC (HOTP), para generar códigos de acceso mediante aplicaciones como Google Authenticator. Puedes encontrar las instrucciones para configurar la verificación en dos pasos mediante TOTP u HOTP aquí.
Autorización
Sprout ofrece un modelo de permisos flexible y completo en que los propietarios de la cuenta y administradores pueden restringir el acceso a perfiles, funciones, acciones (incluidas la lectura y escritura), y otros datos aplicando controles granulares a los usuarios en su cuenta. Los grupos pueden configurarse para organizar los perfiles de redes sociales dentro de una cuenta de Sprout. Los clientes pueden entonces conceder a los miembros del equipo acceso a grupos individuales según el funcionamiento de su empresa. Puedes encontrar información sobre la creación de grupos aquí.
Además de los grupos, los clientes pueden establecer permisos específicos para cada usuario. Los permisos de la empresa comprenden cualquier permiso administrativo para un usuario, mientras que los permisos de función se centran en el acceso a pestañas/funciones particulares en Sprout. Puedes encontrar más detalles sobre la configuración de permisos de usuario aquí.
Los propietarios y administradores de cuentas pueden restringir ciertas actividades detrás de los flujos de trabajo de aprobación. Estos flujos de trabajo permiten que las tareas se dividan entre el equipo con la tranquilidad de que quienes toman las decisiones centrales pueden revisar y controlar las acciones que se muestran al público.
Seguridad de aplicaciones
Restricciones de IP
Sprout Social puede estar configurado para limitar el acceso a las aplicaciones y a la API desde rangos de IP específicos.
Pausa de publicación global
En momentos de crisis, tu equipo tiene acceso a un botón que desactiva temporalmente cualquier mensaje programado y en línea automatizado para que no se envíe desde Sprout Social. Esta función está disponible en nuestras aplicaciones web y móviles.
Prácticas recomendadas de seguridad
Sprout Social quiere ayudarte a protegerte de las amenazas de seguridad en línea. Hemos publicado recursos, incluidos los artículos Prácticas recomendadas de seguridad y Protección de información confidencial, para guiar a los clientes en el cumplimiento de sus responsabilidades de seguridad compartidas.
Firma de correo electrónico
Sprout Social implementa el Convenio de remitentes (SPF, por sus siglas en inglés) y el DomainKeys Identified Mail (DKIM, por sus siglas en inglés) para garantizar que los correos electrónicos que enviamos estén autenticados como procedentes de Sprout Social, lo que ayudará a evitar la suplantación de identidad y garantizará nuestra autenticidad.
Registros de auditoría
La aplicación Sprout incluye registros de auditoría orientados al cliente que proporcionan información sobre la actividad del usuario dentro de una cuenta. Más de cincuenta eventos y acciones se registran en el registro de auditoría, lo que documenta la actividad y el usuario que la realizó. Puedes encontrar información sobre los registros de auditoría aquí.
Protecciones contra ataques de fuerza bruta
Además de la verificación, que supone un reto computacional, nuestros servicios de autenticación implementan protecciones adicionales que limitan la velocidad y ReCAPTCHA.
Alojamiento en la nube
Centros de datos
La aplicación Sprout Social y la infraestructura asociada están alojadas por Amazon Web Services (AWS). AWS brinda instalaciones de alojamiento de primera clase que son seguras, de alta disponibilidad y redundantes, y cumplen con Cloud Security Alliance STAR Nivel 2, ISO/IEC 9001, 27001, 27017, 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Para obtener más información sobre las certificaciones y los programas de cumplimiento, visita https://aws.amazon.com/compliance/programs.
Para lograr una redundancia óptima, Sprout Social también usa Google Cloud Platform (GCP) como proveedor de alojamiento para recuperación ante desastres y de respaldo. Para obtener más información sobre las certificaciones y los programas de cumplimiento de GCP, visita https://cloud.google.com/trust-center.
Localización de datos
Al comprender la importancia de la residencia de los datos, Sprout Social se esfuerza por ofrecer información precisa y completa sobre dónde se procesan y almacenan los datos de los clientes. Actualmente, todos los componentes de la aplicación Sprout Social, incluida la infraestructura, el software de la aplicación y los datos de los clientes, están alojados en varias zonas de disponibilidad dentro de los Estados Unidos.
Las ubicaciones específicas se encuentran a continuación:
- Principal: AWS us-east-1 (norte de Virginia)
- Secundario: AWS us-west-2 (Oregón)
- Recuperación ante desastres/respaldo: GCP us-central1 (Iowa)
Seguridad de infraestructura
Criptografía
Todas las comunicaciones en redes públicas con la aplicación y la API de Sprout utilizan HTTPS con TLS 1.2 o superior. Todos los datos, incluidas las copias de seguridad, se almacenan cifrados en reposo con AES-256 o superior.
Todas las claves de la aplicación se gestionan de forma nativa mediante un sistema de gestión de secretos. Las claves se rotan regularmente según la política y los estándares de la industria.
Seguridad en la nube
La aplicación Sprout está diseñada de manera nativa para AWS y utiliza de manera segura docenas de servicios de AWS. Las guías prescriptivas y los puntos de referencia garantizan que todos los servicios estén configurados según las mejores prácticas de seguridad del fabricante y de la industria. El escaneo regular confirma que estas mejores prácticas siguen vigentes en todo momento.
Al operar en un entorno de nube multiusuario, Sprout Social garantiza que los datos de cada cliente estén separados lógicamente, de modo que cada uno pueda acceder únicamente a su propia información. Diferentes medidas de verificación de front-end y back-end operan continuamente para garantizar esta separación.
Seguridad de la red
La infraestructura de Sprout está configurada en una nube privada virtual (VPC), con segmentación en múltiples zonas de seguridad. Estas zonas ofrecen mayores niveles de control cerca de los datos del cliente.
Los servidores se segmentan lógicamente según las listas de control de acceso a la red, los grupos de seguridad y las reglas de firewall. Cada servidor está dedicado y diseñado para una única función. Los puertos y servicios innecesarios están desactivados.
Cloudflare, en conjunto con el firewall de aplicaciones web (WAF) de AWS, protege la infraestructura contra ataques automáticos y manuales. Los Sistemas de detección de intrusos (IDS, por sus siglas en inglés) basados en host se implementan en todos los sistemas de producción.
Mantenimiento
La infraestructura se construye y mantiene siguiendo el enfoque de arquitectura de confianza cero. Al personal se le concede acceso a los sistemas estrictamente según el acceso necesario para su rol siguiendo el principio de mínimos privilegios. Las personas que realizan el mantenimiento del sistema deben conectarse a la infraestructura mediante una VPN, y se aplican múltiples capas de verificación y autenticación.
Las actividades de mantenimiento se llevan a cabo sin afectar ni causar tiempo de inactividad a los clientes.