Confíe en nosotros para proteger y asegurar sus datos
Las organizaciones más grandes del mundo confían en nosotros para proteger sus datos. Con nuestra detección de amenazas con tecnología de IA integrada, los principios de confianza cero y las integraciones con socios de seguridad líderes, también puede confiarnos sus datos.
Nuestra plataforma de seguridad de datos impulsada por IA le ayuda a fortalecer su resiliencia cibernética y desbloquear información de sus datos.
Cohesity mantiene rigurosos estándares de seguridad del producto e inspecciona la adopción en cada fase del ciclo de vida del producto. Cohesity sigue las mejores prácticas del sector y, a través de estas prácticas de seguridad, así como la integración de características y funcionalidades de seguridad, Cohesity ofrece productos y servicios seguros y altamente funcionales a sus clientes.
Seguro por diseño
Cohesity sigue principios de seguridad fundamentales, incluidos, entre otros: seguridad por defecto, fallo seguro e implementaciones seguras de algoritmos criptográficos. Para garantizar la postura de seguridad, el cumplimiento y la certificación de sus productos a medida que se desarrollan nuevas características, Cohesity alinea el diseño del producto con las mejores prácticas de seguridad actuales.
Desarrollo seguro
Los equipos de desarrollo de Cohesity interactúan con un equipo de seguridad de productos dedicado durante las etapas de diseño y planificación del ciclo de vida del desarrollo. El equipo de Seguridad de Productos de Cohesity hace recomendaciones para la adopción de patrones de diseño seguros, realiza modelos de amenazas, define estándares de seguridad aplicables y establece requisitos de seguridad.
Modelado de amenazas
Cohesity ha adoptado el marco STRIDE en sus prácticas de diseño para cumplir con los objetivos de seguridad en el diseño y reducir el riesgo, incluida la identificación de amenazas, ataques, vulnerabilidades y contramedidas que podrían afectar a una aplicación o sistema. Cohesity actualiza regularmente el modelo de amenazas del producto basándose en nuevas características y cambios en las amenazas.
Identificación y establecimiento de requisitos de seguridad
Los equipos de seguridad de productos, seguridad de la información y gestión de productos de Cohesity definen los estándares de seguridad aplicables y exigen requisitos de seguridad en toda la cartera de productos y servicios de Cohesity.
Garantía de seguridad
La plataforma y la infraestructura de Cohesity se someten periódicamente a pruebas y refuerzos de seguridad para mejorar la seguridad. El sistema operativo y los componentes están configurados específicamente para cumplir con los requisitos de refuerzo de la seguridad, incluidos los índices de referencia del Centro de Seguridad de Internet (Center for Internet Security, CIS) y los estándares de configuración de la Guía de Implementación Técnica de Seguridad (ecurity Technical Implementation Guide, STIG) del Departamento de Defensa de EE. UU.
Pruebas estáticas de seguridad de aplicaciones
Cohesity realiza análisis de código fuente estático y binario para garantizar la higiene de seguridad en la aplicación.
Pruebas dinámicas de seguridad de aplicaciones
Los escáneres dinámicos de pruebas de seguridad de aplicaciones se integran en la canalización de desarrollo de Cohesity para escanear todas las ramas de desarrollo significativas. Cualquier vulnerabilidad detectada se mitiga según la política de gestión de vulnerabilidades.
Escaneado de seguridad de software de código abierto
Cohesity realiza análisis periódicos del código y los binarios desarrollados por Cohesity y por terceros en sus repositorios para identificar el uso de software de código abierto (open source software, OSS). Tanto las vulnerabilidades de seguridad identificadas como el uso incorrecto del OSS se corrigen según las políticas de Cohesity.
Pruebas de penetración
Cohesity lleva a cabo pruebas de penetración internas de forma continua utilizando diversas técnicas automatizadas integradas en el ciclo de liberación. Cohesity también lleva a cabo pruebas de penetración de terceros externos regulares. Las vulnerabilidades detectadas en las pruebas de penetración se mitigan según la política de gestión de vulnerabilidades de Cohesity.
Cohesity REDLab
Cohesity valida rigurosamente la resiliencia real de nuestros productos utilizando malware activo, exploits avanzados y técnicas de ataque modernas en un entorno aislado diseñado para permitir la realización de pruebas de amenazas al tiempo que se protege la infraestructura de Cohesity. Obtenga más información sobre Cohesity REDLab.
Gestión de vulnerabilidades
Cohesity realiza evaluaciones periódicas de vulnerabilidad en sus productos y entornos de operaciones internas. La detección de vulnerabilidades se lleva a cabo de forma regular y los resultados se incorporan al desarrollo y la implementación para remediar los riesgos Cohesity corrige las vulnerabilidades según su política de gestión de vulnerabilidades.
Validación de la cadena de suministro del software
Todos los componentes de terceros integrados en el código base de Cohesity, incluidos (entre otros) paquetes de código abierto y con licencia comercial, código fuente, binarios, bibliotecas y firmware OEM, se someten a pruebas periódicas para detectar vulnerabilidades y otros riesgos de seguridad. Las prácticas de mitigación de riesgos y la aplicación de parches de vulnerabilidad de terceros siguen la política de gestión de vulnerabilidades de Cohesity.
Las herramientas de infraestructura de ingeniería se mantienen actualizadas con las protecciones de seguridad configuradas. Se aplican controles de seguridad y opciones para los compiladores y enlazadores.
Ecosistema de aplicaciones y seguridad del mercado
Cohesity emplea múltiples controles y prácticas para garantizar la integridad de los datos de los clientes y la seguridad de las aplicaciones dentro de Cohesity Marketplace. Estos controles incluyen:
- Antes de incorporarse, todos los desarrolladores y proveedores independientes de software (ISV) que deseen desarrollar aplicaciones para Cohesity Marketplace deben pasar primero por un proceso de selección de Cohesity.
- Cohesity califica todas las aplicaciones antes de que se publiquen en Cohesity Marketplace, incluido el diseño y el escaneo de vulnerabilidades.
- Cohesity firma digitalmente todas las aplicaciones de Marketplace destinadas a su uso en la plataforma Cohesity. La plataforma Cohesity no ejecutará aplicaciones sin firmar o con una firma incorrecta. Cohesity no distribuye aplicaciones de Marketplace firmadas digitalmente a través de canales distintos de su Marketplace.
- El uso de aplicaciones en la plataforma Cohesity está desactivado de forma predeterminada. Se requiere una aceptación explícita.
- Las aplicaciones siempre se ejecutan con múltiples grados de aislamiento en los niveles de red, almacenamiento y microservicios en la plataforma Cohesity.
- Las distintas aplicaciones que se ejecutan en la plataforma Cohesity no pueden comunicarse ni interactuar entre sí de forma predeterminada.
- Las aplicaciones se ejecutan dentro del marco de control de acceso basado en roles en la plataforma Cohesity.
Estándares y programas de seguridad
Cohesity se alinea con los marcos estándar de la industria para la gestión de vulnerabilidades, la gestión del ciclo de vida del desarrollo de productos seguros y la respuesta a incidentes.
Sistema de puntuación de vulnerabilidades comunes y vulnerabilidades y exposiciones comunes
Cohesity califica y prioriza las vulnerabilidades confirmadas utilizando la versión 3 del sistema de puntuación de vulnerabilidades comunes (Common Vulnerability Scoring System, CVSS). Cohesity asignará un identificador de Vulnerabilidades y Exposiciones Comunes (Common Vulnerabilities and Exposures, CVE) a las vulnerabilidades de seguridad confirmadas.
Ciclo de vida de desarrollo seguro de productos multipráctica
Cohesity sigue un ciclo de vida de desarrollo de productos seguro para ofrecer y mantener la seguridad a lo largo del ciclo de vida de cada producto. Cohesity sigue las seis prácticas siguientes:
- Formación en seguridad
- Seguridad en el diseño
- Modelo de amenazas
- Gestión de vulnerabilidades
- Versión segura del software
- Respuesta de seguridad del producto
Marco de servicios de respuesta ante incidentes de seguridad
Cohesity implementa un programa de respuesta ante incidentes de seguridad diseñado para detectar, responder y recuperarse de forma rápida y eficaz de incidentes y eventos de seguridad. Los eventos de seguridad se notifican a la oficina de Seguridad de la Información, donde se realiza un seguimiento de los problemas y se supervisan hasta su resolución. Los equipos de respuesta de guardia gestionan los incidentes de seguridad y disponibilidad mediante procedimientos y guías de respuesta que se prueban periódicamente.
Respuesta ante incidentes de productos
Cohesity emplea un plan de respuesta a incidentes de productos que respalda el análisis, la mitigación y la corrección de vulnerabilidades en sus productos. El plan también cubre la divulgación responsable de investigadores y clientes externos.
Formación en seguridad
Cohesity proporciona a sus desarrolladores, arquitectos, gerentes de desarrollo, gerentes de lanzamiento, ingenieros de control de calidad y gerentes de producto formación y recursos de seguridad para incorporar prácticas de seguridad a lo largo del ciclo de vida del desarrollo del producto. Cohesity lleva a cabo una formación trimestral de codificación segura que cubre las mejores prácticas de seguridad en el desarrollo de productos que son obligatorias para todos los ingenieros.
Normas de divulgación responsable
Cohesity sigue las mejores prácticas del sector para descubrir, investigar y abordar vulnerabilidades a través del ciclo de vida del producto utilizando un enfoque basado en el riesgo. El equipo de seguridad de productos dedicado de Cohesity investiga y responde rápidamente a todos los informes de posibles vulnerabilidades de seguridad, y el plan de respuesta ante incidentes de productos de Cohesity admite el análisis, la mitigación y la corrección de vulnerabilidades en sus productos. El plan también cubre los procesos de divulgación responsable cuando los investigadores, clientes o socios externos informan de problemas.
Clasificación y priorización de vulnerabilidades confirmadas
Cohesity califica y prioriza las vulnerabilidades confirmadas mediante la versión 3 del Sistema de puntuación de vulnerabilidades comunes (CVSS) y mantiene acuerdos de nivel de servicio (Service Level Agreement, SLA) de respuesta para cada clase de gravedad.
Resolución de vulnerabilidades de seguridad
La corrección de Cohesity de las vulnerabilidades identificadas se resuelve en un plazo que varía en función de su criticidad e impacto (según la política de gestión de vulnerabilidades de Cohesity).
Identificación de vulnerabilidades confirmadas
Cohesity asignará un identificador de Vulnerabilidades y Exposiciones Comunes (Common Vulnerabilities and Exposures, CVE) a las vulnerabilidades de seguridad confirmadas.
Resolución de vulnerabilidades en versiones de productos compatibles
Las vulnerabilidades identificadas en todas las versiones de productos compatibles se resolverán según la política de gestión de vulnerabilidades de Cohesity.
Correcciones de vulnerabilidades acumulativas
Como mínimo, las versiones principales, secundarias y de soporte a largo plazo (long-term support, LTS) de los productos Cohesity incorporarán las correcciones de vulnerabilidades acumulativas de versiones anteriores.
Lanzamientos de mantenimiento acelerados para vulnerabilidades críticas de alto impacto
Cohesity puede acelerar periódicamente las versiones de mantenimiento o los parches de las versiones compatibles de sus productos más rápido que lo establecido en el SLA de la política de gestión de vulnerabilidades de Cohesity para vulnerabilidades de riesgo crítico y alto impacto.
Notificación de vulnerabilidades a los clientes
Cohesity informará de forma proactiva a los clientes sobre las vulnerabilidades a través de alertas en el portal de asistencia, correos electrónicos o avisos de campo. Los artículos de la base de conocimientos se publican para documentar el impacto de vulnerabilidades específicas y describir las acciones necesarias.
Notificación de problemas
Los clientes, socios e investigadores externos pueden informar de vulnerabilidades en productos y servicios de Cohesity contactando con Cohesity Security.
Cohesity mantiene rigurosos estándares de seguridad, privacidad y resiliencia para sus servicios en la nube gestionados por Cohesity y ofertas de software como servicio (software as a service, SaaS). Conozca las prácticas clave que Cohesity sigue para mantener la plataforma Helios, los servicios y los datos de los clientes protegidos y disponibles en todo momento.
Administración de Helios
Los clientes pueden administrar la plataforma Helios basada en la nube que proporciona gestión y análisis centralizados para los productos y servicios autogestionados de los clientes (servicio de gestión Helios).
Dependiendo del producto o servicio de Cohesity implementado, el uso del servicio de gestión Helios será obligatorio u opcional para el cliente.
Servicio de gestión
El servicio de gestión Helios, operado por Cohesity, proporciona a los clientes una gestión y un análisis centralizados de sus productos Cohesity autogestionados y de los servicios de gestión de datos gestionados por Cohesity. No es obligatorio que los clientes registren productos autogestionados con el servicio de gestión Helios
Si los clientes optan por registrarse, los productos del cliente se comunicarán con el servicio de gestión Helios para proporcionar la telemetría de productos necesaria para proporcionar el servicio, así como para proporcionar la gestión y el análisis centralizados basados en la nube. Para obtener más detalles sobre el servicio de gestión Helios, consulte el Informe de seguridad de Helios SaaS que puede encontrar en el portal de documentación Cohesity.
Servicios de gestión de datos
Los servicios de gestión de datos gestionados por Cohesity son una familia de ofertas SaaS que permite a los clientes almacenar, gestionar y proteger sus datos en la infraestructura basada en la nube de Cohesity. Los clientes deben gestionar estos servicios a través del servicio de gestión Helios. Los servicios de gestión de datos de Cohesity están disponibles para los clientes mediante suscripción.
Conector SaaS
Como parte de algunos servicios de gestión de datos de Cohesity, Cohesity puede requerir que los clientes implementen el conector Helios SaaS. Este conector SaaS es una VM local implementada en el centro de datos del cliente y establece un canal seguro para conectar fuentes de datos locales con los servicios de gestión de datos de Cohesity.
Arquitectura de seguridad y aislamiento de inquilinos
Los entornos de gestión de datos de Helios se separan lógicamente entre sí con los servicios de gestión y datos.
Los servicios Helios administrados por Cohesity son multiinquilino de forma nativa, donde cada inquilino se implementa como una organización única. Las organizaciones están segregadas lógicamente y los recursos de organización, como datos, políticas, administradores, etc., están restringidos a la organización a la que pertenecen.
Los repositorios de datos de inquilinos dedicados garantizan que los datos de los clientes estén aislados de los de otros clientes.
Infraestructura en la nube
Cohesity garantiza la seguridad lógica implementando un control de acceso basado en los principios de Confianza Cero para evitar el acceso no autorizado o la vulneración de su infraestructura en la nube, incluido el servicio de gestión Helios y los servicios de gestión de datos administrados por Cohesity.
Autenticación del cliente y control de acceso
El servicio de gestión Helios proporciona a los clientes un amplio conjunto de controles para gestionar las cuentas de usuario y su acceso asignado de acuerdo con estándares de seguridad sólidos y su propia política de seguridad. En cada organización de inquilinos, un usuario administrador gestiona los otros usuarios de esa organización. Los administradores de la organización pueden añadir y administrar usuarios a través de controles de acceso basados en roles (role-based access controls, RBAC). La aplicación de principios de privilegios mínimos y la separación de tareas se puede lograr con un control detallado sobre roles estándar y personalizados definidos. Los administradores de inquilinos también pueden integrar el servicio de gestión Helios con los proveedores de identidad existentes. Esto permite a cada organización aplicar sus controles de autenticación específicos para la política de contraseñas, autenticación multifactor (multifactor authentication, MFA) y más.
Autenticación de empleados y control de acceso
Cohesity mantiene un enfoque altamente restrictivo para el acceso interno a los servicios de gestión de Helios. El acceso se basa en una estricta necesidad de conocimiento relacionada con la responsabilidad laboral de gestionar y mantener el sistema. Cohesity se adhiere a los principios de privilegios mínimos y separación de tareas, y aplica controles internos de acceso y autorización. Antes de que un usuario pueda iniciar sesión en un rol en particular, debe cumplir con los criterios de cualificación establecidos y obtener la aprobación documentada de la dirección de antemano en cada caso. Se requiere un ID de usuario único y autenticación multifactor para todos los usuarios de Cohesity.
Aislamiento de datos
Para el servicio de gestión Helios, los datos y metadatos de cada inquilino se separan lógicamente y se aíslan de los que pertenecen a otros inquilinos. Para los servicios de gestión de datos gestionados por Cohesity, se asignan repositorios de almacenamiento únicos a cada inquilino, lo que garantiza que el contenido de un inquilino nunca se pueda compartir con otros inquilinos ni sea accesible para ellos.
Resiliencia y disponibilidad de datos
El servicio de gestión Helios mantiene una tasa de disponibilidad del 99,9 % (tres nueves), sin incluir los periodos de mantenimiento programados o de emergencia. Los servicios de gestión de datos de Helios se basan en el servicio S3 de Amazon Web Services (AWS) en regiones definidas por el cliente que abarcan un mínimo de tres zonas de disponibilidad, cada una separada por muchos kilómetros dentro de la misma región de AWS. El servicio AWS S3 garantiza el 99,999999999 % (once nueves) de durabilidad de los datos. En caso de desastre, el servicio de gestión Helios puede recrear los datos almacenados en el servicio de gestión de datos utilizando solo los datos almacenados en S3.
Cifrado de datos
Todos los datos de los clientes, tanto los metadatos del servicio de gestión Helios como los datos de los propios servicios de gestión de datos, se cifran en reposo y en tránsito utilizando algoritmos de cifrado y protocolos sólidos y estándar del sector.
En tránsito
Todos los datos de clientes que fluyen hacia y desde el servicio de gestión de Helios y los servicios de gestión de datos se cifran en tránsito para garantizar la máxima confidencialidad, así como para evitar la divulgación o modificación no autorizada. Cohesity utiliza los protocolos TLS 1.2 y mTLS para la seguridad de la capa de transporte, únicamente con conjuntos de cifrado aprobados por FIPS con protección Perfect Forward Secrecy (PFS).
En reposo
Todos los datos de los clientes en el servicio de gestión de Helios y los servicios de gestión de datos se cifran en reposo utilizando el cifrado AES-256. Todas las claves de cifrado se almacenan de forma segura en un sistema de gestión de claves externo (KMS). Además, los clientes que utilizan un servicio de gestión de datos administrado por Cohesity tienen múltiples opciones para gestionar de forma segura sus claves de cifrado, ya sea confiando en el servicio de gestión de claves (KMS) administrado por Cohesity o gestionando sus propias claves a través de Amazon Web Services KMS.
Defensas contra ataques de infraestructura
Cohesity cuenta con varias medidas para abordar ataques de denegación de servicio distribuida (distributed denial of service, DDOS), intrusiones y malware. Estas protecciones están integradas en la infraestructura de supervisión que hemos implementado para gestionar el entorno Helios. Cohesity utiliza cortafuegos para supervisar las conexiones constantemente y detectar anomalías. A medida que se detectan anomalías, Cohesity bloquea y evalúa la conexión en el entorno del plano de control Helios. Los servidores, contenedores e infraestructura dentro del entorno del plano de control de Helios se monitorizan para detectar vulnerabilidades y las correcciones se ejecutan de forma regular.
Seguridad del centro de datos
El servicio de gestión Helios y los servicios de gestión de datos de Cohesity se alojan en Amazon Web Services (AWS). Para obtener más información sobre los controles de seguridad del centro de datos de AWS, visite https://aws.amazon.com/compliance/data-center/controls/.
Continuidad del negocio y recuperación ante desastres
Cohesity mantiene un plan de continuidad del negocio que cubre las operaciones comerciales y la respuesta de recuperación ante desastres. Evaluamos regularmente los riesgos para el negocio y aplicamos planes de tratamiento adecuados para mantener los riesgos dentro de niveles aceptables. El plan identifica los procesos comerciales críticos, documenta las amenazas que podrían causar interrupción del negocio y aborda la recuperación de la conectividad y los sistemas de apoyo para garantizar que se puedan cumplir las obligaciones de Cohesity con sus clientes.
Gestión de vulnerabilidades
Cohesity cuenta con un programa de gestión de amenazas y vulnerabilidades para monitorizar continuamente las vulnerabilidades reconocidas por los proveedores, notificadas por investigadores o descubiertas internamente a través de análisis de vulnerabilidades, pruebas de penetración o identificación por parte del personal de Cohesity. Las amenazas se clasifican según el nivel de gravedad y se asignan para su corrección según sea necesario.
Supervisión y alertas
Helios implementa una monitorización continua tanto para la seguridad como para la disponibilidad del servicio.
La monitorización es una función de todos los servicios, con indicadores de rendimiento clave y métricas integradas desde el principio. Los equipos de monitorización y respuesta hacen un seguimiento de los paneles y las métricas. Las alertas se diseñan durante el proceso de desarrollo, y son revisadas por el equipo de operaciones en la nube y por los equipos de desarrollo para garantizar que se establezcan y monitoricen los umbrales durante la implementación en producción.
Las prácticas de seguridad corporativa de Cohesity demuestran nuestro compromiso con garantizar la seguridad, la protección y el cumplimiento de los activos de Cohesity y los clientes. Cohesity se toma muy en serio la seguridad de la información de nuestros clientes y la ejecución de los controles descritos aquí demuestra cómo nos ganamos la confianza de nuestros clientes, socios y otros.
Organización de seguridad de la información
Dirigido por el CISO de Cohesity y supervisado por el Consejo de Seguridad de Cohesity, Cohesity Information Security es un equipo dedicado de profesionales con la misión de garantizar la seguridad, protección y cumplimiento de los sistemas, procesos, datos y personal de Cohesity, así como de los activos que nos confían nuestros clientes.
Políticas de seguridad de la información
El paquete de políticas de seguridad de la información de Cohesity cubre a la organización, su personal y los activos de información. Las políticas están alineadas con los estándares del sector e incluyen dominios como la organización de seguridad, el uso aceptable de activos, los controles de acceso y la clasificación y manipulación de la información. Las políticas son revisadas regularmente por Cohesity Information Security y actualizadas según corresponda.
Formación de concienciación sobre seguridad
Cohesity Information Security es responsable de establecer los requisitos de formación en seguridad de la información y de garantizar que todo el personal complete la formación y entienda sus responsabilidades. La formación en seguridad de la información está integrada en nuestra experiencia de incorporación de nuevos empleados y se realiza una nueva formación anual obligatoria. La formación se amplía con presentaciones regulares, comunicaciones y sesiones de aprendizaje sobre temas específicos. Cuando corresponda, las unidades de negocio recibirán formación especializada para sus funciones y responsabilidades laborales, como los miembros del equipo de ingeniería, que reciben formación periódica sobre principios de seguridad y prácticas de desarrollo seguras.
Gestión de riesgos cibernéticos
Cohesity aprovecha un programa de gestión de riesgos cibernéticos para identificar, priorizar y gestionar los riesgos para sus activos de TI, incluida la infraestructura del sistema, las redes, los terminales, los datos y la propiedad intelectual. A través de su programa de gestión de riesgos cibernéticos, Cohesity identifica los riesgos cibernéticos internos y externos, la probabilidad de que ocurran y su impacto potencial. Cohesity colabora con los responsables de riesgos para mitigar y corregir los riesgos, de acuerdo con el apetito de riesgo de Cohesity.
Gestión de riesgos de proveedores
El programa de gestión de riesgos de proveedores de Cohesity revisa y valida la postura de seguridad de sus proveedores externos antes de la incorporación y realiza evaluaciones de seguimiento de acuerdo con el nivel de proveedor establecido. Cohesity gestiona y supervisa los riesgos de seguridad de los proveedores a través de su programa de gestión de riesgos en consonancia con la postura de seguridad de Cohesity, los compromisos del cliente y los requisitos normativos aplicables.
Inteligencia de amenazas y gestión de vulnerabilidades
Cohesity Information Security mantiene un programa de gestión de vulnerabilidades que identifica y coopera con los propietarios de control para corregir las vulnerabilidades y ayudar a reducir las amenazas a los productos y la infraestructura de Cohesity. Además, las pruebas de penetración se llevan a cabo contra los activos de Cohesity aplicables y se prioriza la corrección para optimizar la postura de seguridad de Cohesity.
Respuesta ante incidentes
Cohesity Information Security mantiene una política de gestión de incidentes con procedimientos que proporcionan la estructura y orientación para nuestras operaciones de respuesta. Los procedimientos de respuesta a incidentes de esta política proporcionan los pasos que debe seguir el personal de Cohesity para garantizar la detección rápida de eventos y vulnerabilidades de seguridad, así como para promover una respuesta rápida a incidentes de seguridad, incluida la identificación, evaluación, contención, mitigación y recuperación de incidentes.
Seguridad del personal
En el momento de la contratación, se realizan verificaciones de sus antecedentes. El personal también recibe y se compromete a seguir el Código de conducta, las políticas y los acuerdos de confidencialidad de la empresa.
Seguridad física
Las ubicaciones de las oficinas de Cohesity están físicamente protegidas con guardias o personal de vestíbulo. Los controles de acceso con credenciales se gestionan y mantienen de forma centralizada. El acceso a áreas seguras requiere privilegios de mayor rango. Hay sistemas de videovigilancia instalados. Todas las ubicaciones tienen entrada vigilada las 24 horas, los 7 días de la semana y los 365 días del año, emplean sistemas de cámaras e iluminación y requieren acceso con credencial para personas designadas. Cohesity cuenta con la certificación SOC 2 y esta se puede proporcionar previa solicitud.
Cohesity sigue las directrices de confidencialidad de los datos personales y trata estos datos de acuerdo con las leyes y normativas de protección de datos aplicables. Todos los datos personales siguen siendo propiedad del cliente. Puede encontrar información sobre el cumplimiento y las certificaciones de seguridad de Cohesity aquí. Además, nuestro Anexo de tratamiento de datos (disponible en www.cohesity.com/agreements) especifica numerosas protecciones legales, técnicas y organizativas que se aplican a nuestros clientes cuando procede.
Política de privacidad
Nuestra política de privacidad está disponible en www.cohesity.com/agreements.
Ubicaciones de procesamiento
Cohesity puede tratar datos personales fuera del Espacio Económico Europeo (EEE). Un ejemplo de este tratamiento puede ser la prestación de servicios de asistencia las 24 horas del día, los 7 días de la semana, si el cliente decide compartir datos personales con Cohesity. Los mecanismos legales utilizados para permitir dichas transferencias de datos son las cláusulas contractuales tipo (CCT), como se detalla con más detalle en el Anexo de tratamiento de datos de Cohesity disponible en www.cohesity.com/agreements.
Ubicaciones de soporte
Cohesity cuenta actualmente con centros de asistencia en EE. UU., Irlanda, India, Canadá y Japón.
Transferencia de datos transfronteriza
Las transferencias de datos transfronterizas se abordan en detalle en nuestro Anexo de tratamiento de datos disponible en www.cohesity.com/agreements.
Cumplimiento de las normativas internacionales
Cohesity procesa datos personales de acuerdo con todas las leyes y regulaciones de protección de datos aplicables, incluidas las leyes y regulaciones de la Unión Europea (RGPD), el Espacio Económico Europeo y sus estados miembros, Suiza y el Reino Unido, la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Protección de Información Personal y Documentos Electrónicos (Canadá) en cada caso y en la medida en que sea aplicable a Cohesity como cuestión de derecho con respecto al tratamiento de datos personales. Puede encontrar más información en nuestro Anexo de tratamiento de datos, disponible en www.cohesity.com/agreements.
RGPD
En virtud de las leyes y normativas de protección de datos aplicables, como el RGPD, cuando un cliente utiliza los productos y servicios de Cohesity y comparte datos personales con Cohesity, el cliente se considera generalmente el responsable del tratamiento de datos y designa a Cohesity para que actúe como encargado del tratamiento de datos.
CCPA
El cumplimiento de la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act, CCPA) se aborda en detalle en nuestro Anexo de Tratamiento de Datos disponible en www.cohesity.com/agreements.
Acuerdo de tratamiento de datos
El Anexo de tratamiento de datos de Cohesity está disponible en www.cohesity.com/agreements. Este se aplica automáticamente a todos los clientes que utilicen Helios SaaS y se incorpora a los Términos de servicio de Helios SaaS de Cohesity (también disponibles en www.cohesity.com/agreements). Si, como cliente, cree que el Anexo de tratamiento de datos debe aplicarse a otras actividades, póngase en contacto con Cohesity Legal.
Cohesity mantiene un programa integral de certificación de seguridad diseñado para proteger la confidencialidad, integridad y disponibilidad de los datos de nuestros clientes de acuerdo con la industria, el gobierno de EE. UU. y las normas internacionales. Los productos y servicios de Cohesity también han sido certificados por auditores externos independientes para cumplir con diversos estándares de seguridad. Acceda al Centro de seguridad y diligencia debida de Cohesity aquí.
Informe SOC 2 Tipo II
La plataforma Cohesity Helios SaaS se somete a auditorías anuales de Service Organization Controls 2 (SOC 2) Tipo II para evaluar sus controles del sistema de seguridad de la información en relación con la seguridad, disponibilidad y confidencialidad de los Criterios de Servicios de Confianza.
ISO27001
El sistema de gestión de seguridad de la información (ISMS) que admite los servicios en la nube de Cohesity cuenta con la certificación ISO/IEC 27001:2022.
HIPAA
Los productos y servicios de Cohesity se adhieren a los índices de referencia y requisitos de seguridad que están alineados con las directrices de la Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA).
Cumplimiento de la Ley de Acuerdos Comerciales
Cohesity cumple con la Ley de Acuerdos Comerciales (Trade Agreements Act, TAA) de EE. UU. y el hardware se envía desde San José, California. Los sistemas de marca blanca Cohesity se fabrican y ensamblan en países designados que cumplen con la TAA.
Ley Nacional de Autorización de Defensa de 2019
Cohesity cumple con la Sección 889 de la Ley Nacional de Autorización de Defensa de 2019 de EE. UU.
Lista de productos aprobados por la Red de Información del Departamento de Defensa de EE. UU.
La plataforma Cohesity ha sido certificada por la Agencia de Sistemas de Información de Defensa (Defense Information Systems Agency, DISA), una agencia del Departamento de Defensa (Department of Defense, DoD) de los EE. UU., para su inclusión en la Lista de Productos Aprobados (Approved Products List, APL) de la Red de Información del DoD (DoD Information Network, DoDIN). La APL de la DoDIN es una lista única y consolidada de productos que han cumplido los estrictos requisitos de certificación de ciberseguridad e interoperación para la implementación en redes del DoD.
FedRAMP
FedRAMP es un programa para todo el gobierno estadounidense que promueve la adopción de servicios en la nube seguros en todo el gobierno federal al proporcionar un enfoque estandarizado de seguridad y evaluación de riesgos para tecnologías en la nube y agencias federales.
Cohesity cuenta con una autorización moderada de FedRAMP.
GovRAMP
GovRAMP es una organización de miembros sin ánimo de lucro 501(c)(6) registrada compuesta por proveedores de servicios que ofrecen soluciones IaaS, PaaS y/o SaaS, organizaciones de evaluación de terceros y funcionarios gubernamentales. Fundada en 2020, StateRAMP (dba GovRAMP) nació de la clara necesidad de un enfoque estandarizado de los estándares de ciberseguridad requeridos por los proveedores de servicios que ofrecen soluciones a gobiernos estatales y locales.
Cohesity está autorizado por GovRAMP.
Autorización para operar
Cohesity mantiene autorizaciones operativas (Authority to Operate, ATO) para que sus productos funcionen dentro de redes de agencias del Departamento de Defensa (DoD) de EE. UU. altamente clasificadas, redes del Departamento de Energía (DoE) de EE. UU. y redes comunitarias de inteligencia de EE. UU. Las guías de información técnica de seguridad (STIG) están disponibles para los productos de Cohesity para su implementación en redes de alto secreto del DoD.
Criterios comunes EAL2+
La plataforma Cohesity cuenta con la certificación Common Criteria (Criterios Comunes) en EAL2+ ALC_FLR.1. Los Criterios Comunes para la Evaluación de la Seguridad de las Tecnologías de la Información (en adelante, Criterios Comunes) son un estándar internacional (ISO/IEC 15408) para la certificación de seguridad informática.
Puede encontrar más detalles aquí.
Validación del módulo criptográfico NIST FIPS 140-2
El módulo criptográfico empleado en los productos de Cohesity ha sido validado por el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) de los Estados Unidos según la norma 140-2 Nivel 1 de las Normas Federales de Procesamiento de Información (FIPS). El FIPS 140-2 es un estándar gubernamental de EE. UU. para módulos criptográficos que proporciona garantías de que el diseño del módulo y la implementación de algoritmos criptográficos son seguros y correctos.
Puede encontrar más detalles aquí.
IPv6
La plataforma Cohesity ha sido certificada por el Laboratorio de Interoperabilidad de la Universidad de Nuevo Hampshire (UNH-IOL) como compatible con USGv6 como parte del programa de pruebas USGv6.
Puede encontrar más detalles en https://www.iol.unh.edu/registry/usgv6-2008?name=cohesity.
SEC 17a‐4(f), Norma FINRA 4511(c) y Reglamento CFTC 1.31(c)-(d)
La plataforma Cohesity cuenta con soporte incorporado para la funcionalidad ”escribir una vez, leer muchas” (write-once, read-many, WORM). Cohasset Associates ha evaluado que su implementación de WORM cumple con la Norma SEC 17a‐4(f), la Norma FINRA 4511(c) y el Reglamento CFTC 1.31(c)-(d).
Puede encontrar más detalles aquí.
Los siguientes recursos proporcionan a los clientes y socios de Cohesity más detalles sobre las prácticas de seguridad y privacidad de Cohesity en sus productos y servicios.
Anexo de protección de datos
Cohesity ofrece un Anexo de tratamiento de datos (DPA) para las necesidades de cumplimiento del RGPD o CCPA del cliente.
Lista de subencargados del tratamiento
Cohesity puede utilizar a terceros como (sub)encargados del tratamiento de datos personales para prestar sus servicios.
Documentación de productos y servicios
Se puede acceder al portal de documentación de Cohesity desde MyCohesity.
Informe de seguridad de Helios SaaS
El Informe de seguridad de Helios SaaS se puede encontrar en el portal de documentación de Cohesity.
Documento técnico de seguridad de la plataforma de datos
El Informe de seguridad de DataPlatform se puede encontrar en el portal de documentación de Cohesity.
Guía de refuerzo de seguridad de la plataforma de datos
La Guía de refuerzo de la seguridad de DataPlatform se puede encontrar en el portal de documentación de Cohesity.
Protección contra el ransomware Cohesity – Preparar y recuperar
El documento técnico Protección contra ransomware de Cohesity – Preparación y recuperación se puede encontrar en el portal de documentación de Cohesity.
Guía de seguridad
Información de seguridad para nodos hiperconvergentes de Cohesity.