La protección de los datos de los clientes es una de las principales prioridades de Delighted. Sabemos que nos confía sus datos y nos tomamos muy en serio la responsabilidad de protegerlos.
Delightedestá diseñada para ser segura y fiable. Utilizamos una arquitectura de n niveles con cortafuegos entre cada nivel y, además, dentro de ciertos niveles entre servicios. A los servicios sólo pueden acceder otros servicios que lo necesiten. Las claves de acceso se rotan periódicamente y se almacenan separadas de nuestro código y nuestros datos.
Delighted está construido con capacidad de tolerancia a fallos. Cada uno de nuestros servicios es totalmente redundante con replicación y conmutación por error. Los servicios se distribuyen en varias zonas de disponibilidad de AWS. Estas zonas están alojadas en centros de datos físicamente separados, lo que protege los servicios frente a fallos de un único centro de datos.
Nuestra aplicación está alojada y gestionada en los centros de datos seguros de Amazon Web Services (AWS). Estos centros de datos han sido acreditados bajo:
Hacemos un amplio uso de las capacidades y los servicios proporcionados por AWS para aumentar la privacidad y controlar el acceso a la red en todo nuestro sistema. Los documentos que proporcionan más detalles sobre la seguridad de AWS están disponibles en AWS Whitepapers.
Delighted utiliza herramientas de seguridad para buscar continuamente vulnerabilidades. Además, se vigilan las vulnerabilidades de bibliotecas y herramientas de terceros y el software se parchea o actualiza rápidamente cuando se informa de nuevos problemas.
El sistema se somete periódicamente a revisiones de seguridad de terceros y a pruebas de penetración para identificar posibles vulnerabilidades y garantizar que se solucionen.
Nuestros servidores están protegidos por cortafuegos y no están expuestos directamente a Internet.
Delighted gestiona una red corporativa de confianza cero. No hay recursos corporativos ni privilegios adicionales por estar en la red corporativa de Delighted.
Delighted sólo pueden acceder a los almacenes de datos los servidores que lo requieran. Las claves de acceso se almacenan separadas de nuestro repositorio de código fuente y sólo están disponibles para los sistemas que las necesitan. Además, los entornos de producción están separados de los entornos de prueba.
Mantenemos copias de seguridad cifradas y seguras de los datos importantes durante un mínimo de 30 días. No eliminamos retroactivamente los datos borrados de las copias de seguridad, ya que podríamos necesitar restaurarlos si se eliminan accidentalmente. Los datos de las copias de seguridad se borran completamente después de 90 días.
Agregamos los registros a un almacenamiento cifrado seguro. Toda la información sensible (incluidas las contraseñas, las claves de API y las preguntas de seguridad) se filtra de los registros de nuestro servidor. Los datos de registro se eliminan por completo después de 90 días.
Nunca almacenamos las contraseñas de forma que puedan ser recuperadas. En su lugar, almacenamos un hash criptográfico irreversible utilizando una función específicamente diseñada para este fin. Las sesiones de autenticación se invalidan cuando los usuarios cambian la información de las claves y las sesiones expiran automáticamente tras un periodo de inactividad.
Proporcionamos autenticación opcional de dos factores (lo que llamamos seguridad de 2 pasos) a todas las cuentas. La seguridad en dos pasos te ofrece una mayor protección en tu cuenta. Una vez activada, se le pedirá un código que le enviaremos a su teléfono móvil además de su nombre de usuario y contraseña cuando inicie sesión en Delighted.
Controlamos y limitamos los intentos de autenticación en todas las cuentas.
Proporcionamos múltiples roles de usuario con diferentes niveles de permisos dentro del producto. Los roles varían desde los propietarios de cuentas hasta los administradores, usuarios y roles que limitan la visibilidad de la información de identificación personal (PII).
Todo el tráfico web de Delighted se sirve a través de HTTPS. Forzamos HTTPS para todos los recursos web, incluidos nuestro REST API, aplicación web y sitio web público. También utilizamos HSTS para garantizar que los navegadores se comunican con nuestros servicios utilizando exclusivamente HTTPS. Además, solo utilizamos conjuntos de cifrado potentes.
Nuestras bases de datos principales, incluidas las copias de seguridad, están totalmente encriptadas en reposo. Además, todos los archivos y registros están totalmente encriptados en reposo. Utilizamos algoritmos de cifrado estándar del sector.
Delighted ha desarrollado un amplio conjunto de políticas de seguridad que abarcan una serie de temas. Estas políticas se actualizan con frecuencia y se comparten con los empleados.
Delighted dispone de un protocolo definido para responder a los incidentes de seguridad.
Todos los empleados reciben formación en materia de seguridad cuando se incorporan a la empresa y se les actualiza continuamente.
Delighted realiza comprobaciones de antecedentes de todos los nuevos empleados de acuerdo con la legislación local. La comprobación de antecedentes incluye la verificación del empleo y los antecedentes penales de los empleados estadounidenses.
Todos los empleados han firmado un acuerdo de confidencialidad con Delighted.
Todos los pagos con tarjeta de crédito efectuados a Delighted se realizan a través de nuestro socio de procesamiento de pagos, Stripe. En la página de seguridad de Stripe encontrará más información sobre su seguridad y el cumplimiento de la normativa PCI.
Si tiene alguna preocupación o descubre un problema de seguridad, por favor comparta los detalles utilizando el formulario de envío. Nuestro equipo de seguridad acusará recibo de cada informe de vulnerabilidad, llevará a cabo una investigación exhaustiva y, a continuación, tomará las medidas adecuadas para su resolución. Le pedimos que no divulgue públicamente ningún problema que haya descubierto hasta que lo hayamos solucionado.