Prácticas de seguridad de la información

Las políticas, los procedimientos y las medidas de seguridad técnicas y físicas que hemos implementado para proteger los datos de los clientes.

I. Seguridad mediante el diseño

a. Desarrollo de código seguro

Todos los desarrolladores de CA deben seguir la Política y Procedimiento de Seguridad de Productos de CA, que incluye normas, estrategias y tácticas de seguridad para cada fase del ciclo de desarrollo de productos fundamentadas y coherentes con las prácticas recomendadas de la industria. Este procedimiento requiere la clasificación de productos basada en categorías de riesgo determinadas por casos de uso, aplicación de herramientas de análisis de código estático y pruebas de penetración.

b. Entrega de código seguro

Antes del lanzamiento de cualquier producto a clientes de CA, se realiza un análisis de antivirus/antimalware, y en función del perfil de riesgo, se realizan pruebas de penetración adicionales. Las vulnerabilidades identificadas se registran en el sistema central de seguimiento de defectos de CA con una calificación de riesgo asociada y no son aprobadas por el Securability Center of Excellence, a menos que se solucionen. Las vulnerabilidades se clasifican usando el sistema CVSS (Common Vulnerability Scoring System) de conformidad con el marco NIST para determinar la gravedad y la respuesta.

II. De qué manera los datos del cliente ingresan a CA y su protección

a. Acceso a datos del cliente

CA puede obtener datos del cliente de diferentes maneras, incluidas mediante un ticket de soporte, un contrato de servicios o el uso de una oferta de SaaS de CA. Todos los archivos enviados por nuestros clientes, independientemente de cómo fueron adquiridos, se categorizan como "Datos altamente confidenciales" y requieren el grado de protección más alto. En caso de que un equipo de servicios profesionales de CA deba estar en las instalaciones del cliente, esas personas tienen prohibido descargar cualquier información del cliente en sus dispositivos y llevarla fuera de las instalaciones del cliente.

b. Seguridad física

CA mantiene y administra los siguientes controles de acceso físico:

  • Los empleados y contratistas están sujetos a controles de antecedentes antes de la contratación o de darles acceso a las instalaciones y los sistemas de CA.
  • En todas las instalaciones, los empleados y los contratistas necesitan una tarjeta de acceso para el ingreso, y existen alarmas de detección de intrusos en los puntos de ingreso y salida. El acceso de visitantes debe registrarse en un registro de acceso físico, y se acompaña a los visitantes cuando transitan por áreas restringidas de las instalaciones.
  • Todos los centros de datos donde se procesan o almacenan datos del cliente cuentan con medidas de protección adicionales, con guardias de seguridad y cámaras de monitoreo (por ejemplo, CCTV) toda la semana, todo el día.

c. Nombres de usuario autorizados de CA, contraseñas y autenticación

CA monitorea los derechos de acceso para garantizar que el acceso cumpla con el principio de menor privilegio acorde a las responsabilidades laborales del usuario de CA, registra todos los accesos y eventos de seguridad, y utiliza software que permite un rápido análisis de las actividades del usuario.

Las contraseñas de CA están administradas de la siguiente manera:

  • Las contraseñas se comunican aparte de las ID de usuario
  • Las contraseñas no se comparten
  • La generación de contraseña inicial es aleatoria
  • El cambio de contraseña inicial es obligatorio
  • Las contraseñas deben tener una longitud y complejidad mínimas, y deben cambiarse periódicamente sin reutilizar contraseñas previas anteriores
  • Las contraseñas de CA están cifradas, no pueden recuperarse y solo pueden restablecerse de manera segura

III. Acceso basado en el rol empresarial

Los procedimientos lógicos de acceso definen los procesos de solicitud, aprobación, suministro de acceso y desaprovisionamiento. Los procedimientos lógicos de acceso restringen el acceso de usuarios (local o remoto) según la función del usuario (acceso apropiado según rol/perfil) en relación con solicitudes, bases de datos y sistemas para garantizar la segregación de tareas, y se revisa, administra y documenta sobre la base de la incorporación, reasignación de recursos o separación. Las revisiones de acceso de usuario se realizan para garantizar que el acceso sea apropiado durante todo el año.

Todos los administradores de sistemas de CA se autentican usando la autenticación multifactor para acceso a sistemas mediante la administración de accesos con privilegios. Además, el uso de la administración de accesos con privilegios permite que se graben todas las sesiones de administrador del sistema y los accesos a la consola, y CA graba todas las sesiones y accesos con fines de auditoría y forenses.

En relación con los datos del cliente que ingresaron mediante una oferta de SaaS de CA, es posible que los administradores de bases de datos de CA (DBA) requieran acceso a los datos del cliente durante diferentes operaciones técnicas. Las cuentas de DBA predeterminadas en la base de datos expiran y se bloquean, excepto cuando se requiera que el DBA la use para completar su trabajo. El acceso a la base de datos se otorga con autorización formal mediante un ticket, y se otorga el acceso solo a personal autorizado en función de las responsabilidades laborales registradas en Active Directory. Cuando no sea posible bloquear la cuenta del DBA, las contraseñas se cambiarán en cada solicitud de acceso. Todos los accesos a la base de datos quedan registrados. Las cuentas de acceso de usuario de empleados se revisan de manera trimestral. Un Analista de seguridad genera informes de cuentas de acceso, que se envían a los gerentes para su revisión y aprobación. Esta revisión y aprobación quedan documentadas en un ticket de soporte de CA cuando existen discrepancias y resoluciones.

IV. ¿Cómo se transmiten los datos? Administración de seguridad de la red

a. Controles de red

CA utiliza firewalls para el control de acceso entre las redes de CA e Internet. El acceso al firewall está restringido a un pequeño grupo de superusuarios/administradores con las aprobaciones adecuadas. Los firewalls se establecen con derechos mínimos necesarios para completar tareas por rol, y el acceso se autoriza según una política de "denegar de manera predeterminada".

Se realizan análisis periódicos de vulnerabilidad de la red, y cualquier vulnerabilidad crítica identificada se resuelve de inmediato. Además, también se realizan pruebas de penetración a cargo de profesionales de seguridad, tanto empleados de CA como terceros.

b. Cifrado/Política de seguridad de red/comunicación

Los administradores de red revisan y aprueban listas de control de acceso (ACL) definidas para restringir el tráfico en routers y/o firewalls. Las direcciones IP en las ACL son específicas, y las conexiones anónimas están prohibidas.

Los datos del cliente están cifrados durante su tránsito a cualquier red pública o red inalámbrica (las redes inalámbricas no se usan en las ofertas de SaaS) mediante el Protocolo de Transferencia Segura de Archivos (SFTP) de CA para transmitir archivos planos.

CA utiliza una solución de protección y control de información diseñada y administrada para minimizar los usos indebidos accidentales, negligentes y maliciosos de datos por correo electrónico y otras comunicaciones dirigidas fuera de los firewalls de CA (por ejemplo, una solución de prevención de pérdida de datos [DLP]).

c. Administración de acceso remoto

Se aplican las siguientes configuraciones de acceso remoto:

  • Las conexiones remotas no autorizadas desde dispositivos (por ejemplo, módems) están deshabilitadas como parte de la configuración estándar.
  • El flujo de datos en la conexión remota está cifrada, y se utiliza autenticación multifactor durante el proceso de registro.
  • Las configuraciones de conexión remota limitan la capacidad de los usuarios remotos de acceder a la red de inicio y a la red remota simultáneamente (no se permite la tunelización dividida).

d. Acceso remoto de terceros

El acceso remoto de proveedores de servicios externos dependientes (es decir, subcontratistas) cumple con los mismos controles o similares, y cualquier acceso remoto de subcontratista tiene una justificación comercial válida.

e. Medios extraíbles

No se utilizan medios extraíbles para la entrega de ofertas de SaaS de CA Technologies. Además, todos los equipos portátiles y demás medios extraíbles en los que se haya almacenado datos del cliente, como cintas de backup, están cifrados.

V. Auditorías de controles y certificaciones

Los controles de auditoría respectivos (por ejemplo, PCI, SSAE 16 SOC 1, TYPE 2) seguidos por auditores externos inspeccionando las prácticas de seguridad de CA en relación con las ofertas de SaaS y los resúmenes de los informes de los auditores se encuentran aquí. Además, los centros de datos internos de CA, aquellos que pueden alojar datos del cliente recibidos mediante interacciones de soporte o servicios, tienen la certificación ISO/IEC 20000 para administración de servicios de TI e ISO/IEC 27001 para controles de seguridad.

VI. Incidentes de seguridad

CA mantiene un Plan de respuestas a incidentes de ciberseguridad altamente confidencial diseñado para identificar, categorizar, eliminar y solucionar incidentes de ciberseguridad. El Plan se revisa bimestralmente con ejercicios de simulación anuales. La misión de las Operaciones de Ciberseguridad de CA Technologies es preparar a la organización para identificar y responder a amenazas e incidentes de seguridad de información, y, al mismo tiempo, contener y restaurar las operaciones de servicio normales de la manera más rápida y eficiente posible.

En el supuesto de que CA descubra un incidente de seguridad, CA tiene los siguientes plazos de respuesta y remediación:

Nivel de seguridad

Descripción

Ejemplos

Respuesta

Resolución/Escalamiento

1

Incidentes que tienen un impacto grave en CA Technologies o en los negocios o servicios de sus clientes

  • Ataques de código malicioso
  • Acceso no autorizado
  • Denegación de servicio (DoS) que afecta a todo el campus
  • Host comprometido con datos sensibles, incluidos Datos personales confidenciales

1 hora

2 horas

2

Incidentes que tienen un impacto significativo o el potencial de tener un impacto grave en CA Technologies o en los negocios o servicios de sus clientes

  • Intentos de obtener acceso no autorizado
  • Ataque de DoS que afecta al edificio o departamento
  • Retransmisión abierta de correo

4 horas

1 día laboral

3

Incidentes que tienen un impacto mínimo con el potencial de tener un impacto significativo o grave en CA Technologies o en los negocios o servicios de sus clientes

  • Pruebas de red o análisis del sistema no autorizados
  • Infecciones de virus aisladas

1 día laboral

2 días laborales

4

Incidentes que tienen un impacto mínimo sin el potencial de tener un impacto significativo o grave en CA Technologies o en los negocios o servicios de sus clientes

  • Uso inadecuado
  • Software no autorizado (no malintencionado)
  • Incumplimientos de políticas

2+ días laborales

2+ días laborales

VII. Cumplimiento de las leyes de privacidad de datos

El Aviso de privacidad de CA Technologies está publicado en nuestro sitio web aquí y en sitios web locales en otros países, y describe cómo CA Technologies usa información de identificación personal que recopila en el sitio web, así como datos recopilados fuera de línea.

CA Technologies implementa procesos diseñados para garantizar que cumplimos con todas las leyes vigentes de seguridad y privacidad de datos en los Estados Unidos y en todos los países en los que operamos, incluidas leyes de notificación de infracciones, legislación estatal y federal relacionada con la privacidad, e HIPAA/HITECH cuando corresponda.

CA Technologies tiene diferentes políticas de privacidad internas, incluidas la Política de Privacidad de RR. HH. y una Política y Procedimiento de Protección de Datos y Privacidad, que responde a la Directiva sobre Privacidad de Datos de la UE.

CA Technologies también mantiene un Plan Escrito de Seguridad de la Información (WISP) en cumplimiento con las regulaciones de seguridad de información de Massachusetts y otras leyes de los Estados Unidos.

Antes de la resolución del Tribunal de Justicia Europeo el 6 de octubre de 2015 en la que se invalidaba el marco de "puerto seguro" (Safe Harbor), CA certificó cumplir con el marco Safe Harbor de la Unión Europea y Estados Unidos, y con el marco Safe Harbor de Suiza y Estados Unidos. El 26 de septiembre de 2016, CA certificó que cumple con el marco del Escudo de la Privacidad. El marco del Escudo de la Privacidad UE-EE. UU. fue diseñado por el Departamento de Comercio de EE. UU. y la Unión Europea para respaldar el comercio transatlántico. La participación de CA en el Escudo de la Privacidad significa que CA y sus subsidiarias de EE. UU. han aceptado cumplir con el marco del Escudo de la Privacidad UE-EE. UU. en relación con la recopilación, el uso y la retención de datos personales europeos que usen como procesador de datos. Para obtener más información sobre el marco del Escudo de la Privacidad y para ver la página de certificación de CA, visite https://www.privacyshield.gov/. CA todavía cumple con el marco de "puerto seguro" (Safe Harbor) de Suiza y Estados Unidos.

CA Technologies también tiene Normas Corporativas Vinculantes para Controladores, y este es nuestro método para transferir datos globalmente como controlador de datos: http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm.

Además, CA Technologies ha preparado un acuerdo de procesamiento de datos (DPA) que puede descargarse, donde describe el compromiso de CA con la privacidad y la protección de datos al procesar datos del cliente en relación con el suministro de productos y servicios a nuestros clientes y partners. Este DPA también abarca la transferencia de datos personales fuera del Área Económica Europea y Suiza en relación con el suministro de tales productos y servicios. Este DPA se encuentra en nuestra página de transferencias de datos. Si tiene alguna pregunta, puede enviar un correo electrónico a datatransfers@ca.com.

Contacto
Contáctenos 1-800-225-5224
Contáctenos

Chat with CA

Just give us some brief information and we'll connect you to the right CA ExpertCA sales representative.

Our hours of availability are 8AM - 5PM CST.

All Fields Required

connecting

We're matching your request.

Unfortunately, we can't connect you to an agent. If you are not automatically redirected please click here.

  • {{message.agentProfile.name}} will be helping you today.

    View Profile


  • Transfered to {{message.agentProfile.name}}

    {{message.agentProfile.name}} joined the conversation

    {{message.agentProfile.name}} left the conversation

  • Your chat with {{$storage.chatSession.messages[$index - 1].agentProfile.name}} has ended.
    Thank you for your interest in CA.


    Rate Your Chat Experience.

    {{chat.statusMsg}}

agent is typing