La Unión Europea (UE) ha actualizado su normativa en materia de protección de datos. Esta nueva norma recibe el nombre de Reglamento General de Protección de Datos (RGPD, en adelante), y se aplica de forma general a todo tipo de entidades, desde a autoridades públicas a pequeñas y medianas empresas, sin diferenciar si el tratamiento tiene lugar dentro de la UE o fuera, siempre que afecte a ciudadanos europeos. Para Acumbamail la seguridad de tus datos es lo más importantes y para ello ponemos toda nuestra experiencia en la protección contra amenazas y en la protección de la privacidad
Nuestras políticas de infraestructura y segurdidad han pasado evaluaciones continuas para el cumplimiento de la normativa. La infraestructura y políticas de seguridad de Acumbamail pasan regularmente auditorias y examenes que verifican que cumplen las normas de protección de datos.
Centro de datos ubicado en Europa
Toda nuestra infraestructura está alojada en España, por lo que se garantiza que no hay transferencias internacionales de datos. Además tenemos las medidas de seguridad necesarias para el nivel de seguridad que corresponde a los datos que manejamos, conforme con las directrices de la Agencia Española de Protección de Datos y la GDPR
Prevención de pérdida de datos (DLP)
Data Loss Prevention (DLP), en una traducción literal, prevención de la pérdida de datos. En Acumbamail las políticas de prevención de pérdida de datos son fundamentales y aseguran que no se pueda compartir sin permiso los datos y la información más sensible.
Los datos deben ser accesibles para nuestro clientes de manera rápida y eficiente para que puedan consultarlos pero al mismo tiempo estos datos deben estar protegidos para que no puedan ser compartidos con personas no autorizadas.
Para ello Acumbamail ha implementado una serie de medidas técnicas y organizativas para evitar el acceso no autorizado a los datos de nuestros clientes y ofrecer la seguridad adecuada.
Certificaciones
Nuestro centro de datos cuenta con las siguientes certificaciones: ISO 9001, ISO 27001 e ISO 22301.
Seguridad física en el centro de procesamiento de datos (CPD)
Nuestro centro de procesamiento de datos (CPD) cuenta con las siguientes medidas de seguridad física:
Grabación de las áreas de acceso y áreas de servidores mediante circuito CCTV.
Registro de todos los visitantes con datos personales.
Acceso mediante huella digital a las instalaciones.
Seguridad de red
Nuestra red cuenta con las siguientes medidas de seguridad:
Aislamiento de recursos críticos en redes privadas, sin acceso público y control de acceso mediante pasarelas dedicadas en redes perimetrales.
Todos los servicios de gestión de la infraestructura están ubicados en redes privadas accesibles por el equipo de soporte y administración a través de VPN.
Uso de 2FA para la autenticación de usuarios de gestión y administración del sistema.
Control de tiempo de sesión y monitorización de horario de actividad.
Sistema de prevención de intrusiones (IPS). Controla el acceso al sistema a través de una red perimetral que incluye reglas de exclusión automáticas.
Sistema de detección de intrusiones (IDS). Establece chequeos de integridad y monitorización de procesos activos.
Mitigación del impacto de ataques mediante vulnerabilidades no conocidas (Zero-Day) estableciendo políticas de mínimo privilegio para usuarios, procesos y servicios en ejecución.
Cifrado de comunicaciones entrantes y salientes mediante TLS.
Monitorización continua
Nuestros sistemas cuentan con monitorización continua:
Registro y almacenamiento externo, centralizado y aislado del uso de recursos de las máquinas, estado de los procesos y sesiones activas.
Sistema de análisis automático y diagnóstico de los registros almacenados relacionados con el uso de recursos de las máquinas, estado de los procesos y sesiones activas.
Alta disponibilidad
La disponibilidad media anual (SLA) de nuestrso sistemas es de 99%
Redundancia de red. Todas las máquinas están conectadas a dos enlaces de 10G cada uno (2x10G).
Almacenamiento en red tolerante a fallos con mantenimiento y actualizaciones no disruptivas. Cada grupo de discos está configurado en RAID de doble redundancia. Una pérdida de datos solamente podría ocurrir en caso de existir un fallo concurrente de 3 discos en un tiempo inferior al necesario para realizar su reemplazo (alrededor de 5 horas).
Aunque la probabilidad de pérdida de datos es absolutamente remota dada la redundancia de almacenamiento, se establecen copias en espejo de cada volúmen físico sincronizadas cada hora en un almacenamiento externo al principal, de modo que es posible restaurar el funcionamiento en producción en un tiempo muy bajo. Además, se realizan snapshots de todos los volúmenes virtuales cada 6 horas con una retención de 4 días.
El contenido multimedia se distribuye a través de CDN (Content Delivery Network), lo que permite reducir al máximo la latencia.
Ciclo de vida de los soportes de almacenamiento
Sustitución de los soportes físicos mediante borrado seguro de los mismos. En caso de sustitución por fallo del soporte se realiza una destrucción física del mismo a través de un proveedor autorizado, emitiendo tras el proceso un certificado de destrucción.
Ciclo de vida de los soportes de almacenamiento
Alerta temprana de incidencias a través de las herramientas de monitorización y diagnóstico en tiempo real.