Generalidades acerca de la seguridad

Estamos orgullosos de nuestros estándares de seguridad ya que los datos se convirtieron en el activo más importante del siglo XXI.

Introducción

Agradecemos que confíes en User.com con la recopilación y el almacenamiento de todos los datos valiosos que necesitas. Queremos asegurarte que todos los datos se mantengan privados y seguros. En esta sección, nuestro objetivo es proporcionarte transparencia sobre las formas en que guardamos y protegemos toda la información recopilada. Nos comprometemos a seguir actualizando la página a medida que añadimos nuevas medidas de seguridad y mejoras a User.com; todo para garantizar que tus datos estén a salvo.

Programa de seguridad

La seguridad es una prioridad para User.com porque somos conscientes de la importancia de los datos que guardamos en nuestro servicio. Tenemos un programa de seguridad dedicado a la seguridad del producto, controles de infraestructura físicos y lógicos, políticas, sensibilización de los empleados, detección de intrusiones y actividades de evaluación.

Todos nuestros empleados están familiarizados con el programa de Respuesta a incidentes para descubrir actividades sospechosas en el servicio. El programa permite actuar inmediata en respuesta a problemas de seguridad y ayuda a desarrollar nuevas formas de detectar posibles ataques contra cualquier activo (tangible e intangible) que te proporcionamos.

Tenemos un calendario fijo para evaluar nuestra infraestructura, así como aplicaciones para cualquier vulnerabilidad. El equipo de seguridad de User.com trabaja constantemente en la mejora de las herramientas que tenemos y en la evaluación de las nuevas para aumentar la cobertura.

Seguridad de la red

Los equilibradores de carga, los cortafuegos y las VPN se utilizan para definir los límites de la red de User.com. La combinación de estas herramientas nos permite controlar qué servicios están expuestos en línea y separar nuestra red de producción de nuestra infraestructura informática en general. El acceso a la infraestructura de producción se concede solo si uno cumple con los requisitos comerciales y de autenticación.

User.com está protegido por un servicio de mitigación a pedido contra la denegación de servicio distribuida (DDoS).

Seguridad de la cuenta

Tu contraseña nunca se guarda en texto plano. En el caso de almacenar tu cuenta, nos aseguramos de que sea seguro mediante el uso de PBKDF2 (función de derivación de clave basada en contraseña 2) donde cada credencial recibe un sal único. Seleccionamos el número de iteraciones de hashing de tal manera que podamos manejar la experiencia del usuario y la complejidad de descifrado de contraseñas.

Nunca te pediremos que establezcas una contraseña compleja, ni el medidor de seguridad de la contraseña te hará crear una. Los ataques de adivinación de contraseñas se manejan mediante el uso limitando de los intentos de inicio de sesión fallidos tanto por cuenta como por dirección IP.

La verificación en dos pasos (2SV) se ofrece para todas las cuentas, junto con un algoritmo de contraseña de un solo uso (TOTP) basado en el tiempo. Los usuarios que tienen una cuenta premium pueden generar códigos a nivel local al usar una aplicación en un dispositivo móvil a través de un mensaje de texto.

Seguridad de correo electrónico

Para proteger a nuestros usuarios de contenido malicioso, garantizamos el escaneo de todos los correos electrónicos recibidos mediante el uso de un motor comercial de análisis antivirus.

Al recibir un correo electrónico de User.com, queremos asegurar de que el remitente sea siempre User.com. Siempre es legítimo, ya que publicamos una política de DMARC para permitirte dormir bien y no preocuparte por los problemas de seguridad del correo electrónico. Todos los correos electrónicos se envían con @user.com, lo que nos permite hacer que se firmen criptográficamente con DKIM, originados en una dirección IP que se publica en nuestro registro SPF.

Seguridad de producto

Proteger tus datos es nuestra máxima prioridad, por lo que consideramos que la protección de nuestro servicio web es crucial. El equipo de seguridad en User.com mejora la seguridad del código y mejora la seguridad al monitorear los problemas, incluidos: CSRF, ataques de inyección (XSS, SQLi), administración de sesiones, redirección de URL y clickjacking.

Cada uno de los clientes terceros se autentica a través de OAuth, lo que le proprciona la capacidad permanente de conectar una aplicación de terceros a su cuenta sin compartir sus credenciales de inicio de sesión. Cuando la autenticación en User.com es exitosa, el token se devuelve al cliente para autenticar su acceso a partir de ese momento. Permite deshacerse de la necesidad de una aplicación de terceros para obtener el acceso a su nombre de usuario y contraseña en el dispositivo que utiliza.

Segmentación de clientes

Sus datos nunca se segmentan a partir de los datos de otros usuarios, lo que significa que pueden almacenarse en los mismos servidores que los datos de otro usuario. Nadie más que usted tiene acceso a los datos, a menos que lo comparta explícitamente. Consulte la sección Seguridad del producto para conocer las formas en que usamos el modelo de autorización para acceder a contenido privado y compartido.

Disposición y destrucción de medios

User.com garantiza que los datos almacenados en el servicio nunca serán reutilizados para uso fuera de la plataforma. Proporcionamos todos los procedimientos necesarios para destruir todos los medios de almacenamiento mediante la desmagnetización y la destrucción física antes de su eliminación.

Acceso a la cuenta de cliente

Debido a ser un servicio en la nube, User.com proporciona una herramienta administrativa que le permite a nuestro servicio de asistencia al cliente resolver todos los problemas relacionados con nuestros clientes. Sin embargo, limitamos el número de empleados que tienen acceso a los datos dentro de esta herramienta de administración.

Registro de actividades

Se realiza el registro del lado del servidor de las interacciones del cliente con User.com. Implica el acceso al servidor web y el registro de actividades (para las acciones tomadas a través de nuestra API). Los eventos de inicio de sesión exitosos y no exitosos se incluyen en estos registros.

Cifrado de transporte

Sus datos en tránsito están protegidos con el uso de encriptación estándar de la industria, conocida como seguridad de la capa de transporte (TLS), tecnología de capa de conexión de seguridad (SSL). User.com es compatible con HTTP Strict Transport Security (HSTS) para el servicio (www.user.com). Se admite una combinación de suites cifradas junto con los protocolos TLS para garantizar un cifrado sólido para los navegadores y clientes, y la compatibilidad con versiones anteriores para los clientes legados que lo necesitan.

User.com es compatible con STARTTLS para los canales de correo electrónico entrante y saliente. Si TLS es compatible con su proveedor de servicios de correo electrónico, su correo electrónico debe cifrarse en tránsito (hacia y desde User.com).

Resiliencia/Disponibilidad

Nuestro principal objetivo es proporcionarle todo lo mejor que tenemos, para permitirle involucrar a sus usuarios 24/7. Como resultado, operamos un sistema tolerante a fallas al figurar:

- Conexiones a internet diversificadas con múltiples caminos.
- Conmutadores, enrutadores, equilibradores de carga y cortafuegos (infraestructura de red redundante).
- Fragmentos independientes que dan servicio a una pequeña parte de la base de usuarios de User.com (sistema escalable).
- Servidores redundantes, en espera si falla un servidor único (fragmentos diseñados en pares).
- Energía redundante para los servidores, hardware de red redundante, configuración RAID para almacenamiento.

Nuestro proveedor de colocación proporciona servicios de instalación tolerante a fallas, que incluyen: alimentación, climatización y supresión de incendios.

Garantizamos que hacemos una copia de seguridad de todo el contenido del cliente al menos una vez al día y usamos un enlace de red privada para replicar esas copias de seguridad. Si se produce una falla en el sitio en nuestro centro de datos principal, podemos recuperarnos rápidamente.

Seguridad física

Cada uno de los centros de datos se sometieron a una auditoría SOC-1 Tipo 2, que demuestra su capacidad para garantizar físicamente la seguridad de nuestro servicio. Sólo User.com & amp y el personal designado por el proveedor del centro de datos tiene acceso físico a esta infraestructura. Todos los datos de User.com se almacenan en 4 países: EE. UU., Canadá, Francia y Singapur.