seguridad y privacidad de hp techpulse · seguridad y privacidad de hp techpulse documento tÉcnico...

Seguridad y privacidad de HP TechPulse DOCUMENTO TÉCNICO

1


Contenidos Introducción .................................................................................................................................................................................................... 3

Liderazgo intelectual en torno a la seguridad ....................................................................................................................................... 3

Seguridad de HP TechPulse ..................................................................................................................................................................... 3

Arquitectura de HP TechPulse ...................................................................................................................................................................... 5

Usuarios y roles ......................................................................................................................................................................................... 5

Administrador principal regional ..................................................................................................................................................................................... 5

Revendedores .......................................................................................................................................................................................................................... 5

Proveedor de servicios gestionados (MSP) .................................................................................................................................................................. 6

Propietario de empresa ....................................................................................................................................................................................................... 6

Usuario de empresa .............................................................................................................................................................................................................. 6

Administrador de TI ............................................................................................................................................................................................................... 7

Administrador de informes ................................................................................................................................................................................................ 7

Administrador de ServiceNow™ ....................................................................................................................................................................................... 7

Dispositivos con el servicio de Gestión proactiva de HP ...................................................................................................................... 8

Portal de HP DaaS ..................................................................................................................................................................................... 8

Gestión de identidades ......................................................................................................................................................................................................... 8

Gestión de sesiones ............................................................................................................................................................................................................... 8

Autorización ............................................................................................................................................................................................................................. 9

Multiinquilino ........................................................................................................................................................................................................................... 9

Datos en reposo ...................................................................................................................................................................................................................... 9

Datos en tránsito .................................................................................................................................................................................................................... 9

Integración de terceros ........................................................................................................................................................................................................ 9

Validación de la interfaz de usuario (IU) ....................................................................................................................................................................... 9

Plataforma de análisis de HP TechPulse................................................................................................................................................ 9

Recopilación de datos........................................................................................................................................................................................................ 10

Datos en reposo ................................................................................................................................................................................................................... 10

Seguridad funcional de HP TechPulse ....................................................................................................................................................... 11

Centro de datos ...................................................................................................................................................................................... 11

Red ........................................................................................................................................................................................................... 12

Puntos de acceso con seguridad mejorada .............................................................................................................................................................. 12

2


Seguridad de aplicaciones, host y administradores .......................................................................................................................... 13

Seguridad de los datos .......................................................................................................................................................................... 13

Verificación independiente .......................................................................................................................................................................... 13

Marcos de cumplimiento y seguridad de HP ...................................................................................................................................... 15

Escala de tiempo .................................................................................................................................................................................... 15

Certificación ISO 27001:2013 ............................................................................................................................................................... 16

Certificación ISO 27071:2015 (otoño de 2020) ................................................................................................................................. 17

Certificación ISO 27701:2019 (otoño de 2020) ................................................................................................................................. 17

SOC2 (2020/2021) ................................................................................................................................................................................. 17

Ciclo de vida de desarrollo seguro de software de HP (SSDL) ............................................................................................................... 18

Recopilación de datos ............................................................................................................................................................................ 20

Agrupaciones de datos ...................................................................................................................................................................................................... 22

Privacidad de datos ................................................................................................................................................................................ 23

Retención de datos ................................................................................................................................................................................ 24

Almacenamiento de datos .............................................................................................................................................................................................. 25

Supervisión de servicios y presentación de informes ............................................................................................................................. 25

Supervisión de servicios ........................................................................................................................................................................ 26

Conclusión ..................................................................................................................................................................................................... 27

3


Introducción Para los profesionales de TI que trabajan en un entorno basado en los datos, HP TechPulse es una plataforma de telemetría y análisis que proporciona datos críticos de dispositivos y aplicaciones, poniendo el aprendizaje profundo al alcance del personal de TI con el fin de que ofrezcan a los empleados el software de PC y servicios adecuados para tener éxito. HP TechPulse identifica problemas de forma proactiva, permite la recuperación a gran escala y minimiza las amenazas supervisando activamente la posición de seguridad de la organización. La plataforma HP TechPulse está formada por el portal de HP DaaS basado en la nube y las aplicaciones de software de HP TechPulse (en los sistemas operativos de Microsoft Windows, Android, Google Chrome, Apple iOS y Apple MAC), y está disponible mediante las ofertas de servicios de Gestión proactiva de HP y Seguridad proactiva de HP. HP cuenta con varios centros de excelencia técnica para desarrollar tecnologías que abarcan desde puntos de control integrados en los dispositivos hasta modelos de alto nivel de gestión transfronteriza automatizada. Estos proporcionan una sólida cadena de confianza de arriba abajo. Además, HP investiga constantemente nuevos mecanismos para la detección y mitigación de modernos ataques a escala masiva.

Liderazgo intelectual en torno a la seguridad

El compromiso de HP con la seguridad no finaliza con sus productos. La empresa juega un rol importante en abogar por las mejores prácticas de seguridad dentro de su ecosistema de socios y en proporcionar formación y recursos a cientos de miles de revendedores de TI independientes y a proveedores de servicios por todo el mundo. De hecho, HP fue el primer socio de formación maestra seleccionado por Cloud Security Alliance (CSA), que es la organización líder a nivel mundial dedicada a definir y promover la conciencia de las mejores prácticas que ayuden a garantizar un entorno informático seguro en la nube. CSA utiliza el programa más famoso de certificación para proveedores de seguridad en la nube, el Registro de seguridad, confianza y garantía (STAR), un programa de garantía para proveedores de tres niveles de gestión automática, auditoría de terceros y supervisión continua.

Como proveedor mundial bien consolidado de tecnología de seguridad en informática en la nube y seguridad de la información, HP está perfectamente situada para ofrecer una formación en seguridad neutral para proveedores, centrándose en procesos de seguridad reales y su implementación. Con centros de aprendizaje por todo el mundo, varias instalaciones asociadas y ubicaciones del cliente in situ, HP ofrece cursos basados en más de 35 años de un cumplimiento de complejos requisitos de capacitación tecnológica.

Seguridad de HP TechPulse

En los años 50, W. Edwards Deming y otros introdujeron conceptos de calidad como la Gestión de la calidad total (TQM) en fabricación. Estos conceptos se establecieron por primera vez en Japón, dando como resultado una calidad de automoción japonesa que superaba considerablemente a la estadounidense. La transformación de la calidad llegó a Estados Unidos en los años 70, al ámbito del software informático en los años 80 y a HP con la iniciativa de calidad 10X del director general John Young. Su objetivo era mejorar la calidad del software mediante una orden de magnitud dentro de una década. Estas iniciativas de calidad se centraban en la repetición, el desarrollo de la calidad, la gestión de la calidad y en ir más allá de las pruebas.

Con un rápido avance tras casi cuarenta años, este enfoque integral de la calidad ha dado lugar a un desarrollo de importantes capacidades para incorporar la resiliencia de ciberseguridad en el hardware, aplicaciones y productos de software, además de la colaboración de HP con los mejores proveedores de tecnología de terceros.

La seguridad se mantiene mediante la implementación de controles de seguridad en todas las capas. En caso de que se produzca un fallo en una capa, hay controles en otras áreas para minimizar las brechas y mantener la seguridad en todo momento. HP TechPulse aplica una seguridad probada en el sector y de nivel de servicio en su arquitectura, así como en sus procesos de desarrollo.

https://cloudsecurityalliance.org/

4


5


Arquitectura de HP TechPulse Como solución única basada en la nube para gestionar los dispositivos, datos y usuarios de una organización, HP TechPulse aplica una seguridad probada en el sector y de nivel de servicio en su arquitectura, así como en sus procesos de desarrollo. El servicio de Gestión proactiva de HP con HP TechPulse ofrece una gran variedad de servicios para clientes comerciales. Estos servicios son principalmente los siguientes:

• Proporcionar una solución de recopilación de telemetría y análisis en diversos sistemas operativos

• Proporcionar un proveedor de servicios gestionados y la capacidad del cliente comercial para generar informes e incidentes para la gestión proactiva

• Proporcionar varios servicios de terceros a través de la oferta del servicio de Gestión proactiva de HP

Usuarios y roles

El portal de HP DaaS ofrece diversos tipos de usuarios y roles, tal y como se representa en el siguiente diagrama.

Administrador principal regional Esta cuenta la utiliza un administrador de operaciones comerciales de HP para crear una nueva empresa, revendedor o proveedor de servicios gestionados (MSP). Las cuentas de administrador principal regional son controladas y tienen acceso para navegar y administrar MSP, revendedores e inquilinos comerciales. Habitualmente, las cuentas de administrador principal existen en diferentes regiones. En la actualidad, HP TechPulse trabaja en los dos siguientes centros de datos regionales de AWS:

1. US West-2 (Oregón)

2. UE (Frankfurt)

Revendedores Las cuentas de revendedor pueden disponer de una cuenta de especialista en ventas y administrador de ventas. Un administrador de ventas puede realizar todas las tareas de un especialista en ventas y, además, puede invitar a más personas a que participen en la organización como administrador de ventas o especialista en ventas.

Una cuenta de revendedor puede ver ciertos informes sobre un cliente asignado.

6


Proveedor de servicios gestionados (MSP) Una cuenta de MSP puede acceder a varias empresas a la vez y gestionar dispositivos, usuarios y operaciones diarias en representación de los clientes. Una cuenta de MSP puede ser gestionada por el Equipo de operaciones comerciales de HP o por un socio tercero.

Los MSP disponen de dos tipos de usuarios que realizan acciones administrativas: los administradores de soporte y los especialistas en soporte. Los administradores de soporte pueden crear cuentas adicionales de administradores de soporte o de especialistas en soporte.

Propietario de empresa Al crear una empresa, los administradores principales habitualmente crean un propietario de forma predeterminada. Estos usuarios administrativos, en función de los roles asignados, podrán acceder a informes y desempeñar otras tareas de administración.

Los propietarios de la empresa no podrán crear o gestionar otros usuarios de una empresa. Los MSP tendrán esa responsabilidad; sin embargo, con roles especiales que les haya asignado un MSP, los propietarios de la empresa podrán realizar la gestión de usuarios.

Usuario de empresa Habitualmente, un usuario hace referencia a alguien dentro del inquilino comercial de la empresa que desempeña un cierto rol que le permite adoptar o no medidas. Un usuario de empresa puede tener o no acceso al portal de HP DaaS. Por ejemplo, un usuario creado durante el registro del dispositivo es un empleado de una empresa que no tiene acceso al portal de HP DaaS; sin embargo, los roles de los usuarios de empresa pueden cambiar para que puedan acceder al portal de HP DaaS.

Los usuarios se pueden crear en función de los siguientes ejemplos:

• Un MSP o un usuario de empresa con un rol especial puede crear un nuevo usuario y dar acceso a los usuarios al portal.

• Un usuario se crea automáticamente durante el registro de dispositivos (por ejemplo, equipos informáticos o dispositivos móviles) mediante un PIN empresarial. Un usuario se registra en el portal cuando los dispositivos están registrados.

Se pueden asignar varios roles a los usuarios de empresa para ampliar el acceso del usuario al portal de HP DaaS.

7


Administrador de TI El rol de administrador de TI permite a los usuarios de empresa realizar la mayoría de las tareas que pueden desempeñar los MSP. Este rol se les asigna a las empresas autogestionadas.

Administrador de informes De forma predeterminada, los propietarios de empresa tienen acceso a los informes. Además, cualquier usuario de empresa podrá tener acceso a los informes. El rol de administrador de informes permite a las personas hacer uso del contenido de los informes del servicio de Gestión proactiva de HP.

Administrador de ServiceNow™ El rol de administrador de ServiceNow permite a los clientes y socios configurar el Servicio de integración de incidentes de HP TechPulse. El Servicio de integración de incidentes de HP TechPulse se debe adquirir por separado. El Servicio de integración de incidentes de HP TechPulse proporciona lo siguiente:

• Gestión de incidentes generada por el servicio de Gestión proactiva de HP en ServiceNow.

• Replicación de incidentes entre el servicio de Gestión proactiva de HP y ServiceNow.

• Actualización de incidentes del portal de HP DaaS y ServiceNow.

El siguiente diagrama ofrece un resumen de alto nivel de la funcionalidad y capacidades del servicio de Gestión proactiva de HP.

8


Dispositivos con el servicio de Gestión proactiva de HP

Desde un punto de vista estructural, el servicio de Gestión proactiva de HP está diseñado para ayudar a evitar que los atacantes tomen el control de los dispositivos de los usuarios. Dependiendo del hardware y sistemas operativos, el software del dispositivo debe instalarse durante el proceso de aprovisionamiento.

En cuanto a los dispositivos que añadirá el administrador de TI de su empresa o un MSP, deberán estar registrados de forma segura en el servicio de Gestión proactiva de HP mediante un PIN empresarial asignado. Durante el registro, se produce una transferencia de clave asimétrica entre el servidor y el dispositivo. Cada dispositivo genera un único par de claves una vez identificados los dispositivos y, a continuación, estos recibirán un token de acceso válido por 24 horas. Tras 24 horas, los dispositivos deben enviar firmas al servidor facilitando su identidad para nuevos tokens de acceso.

Los dispositivos, con consentimiento empresarial, cargan todos los días datos de telemetría al proceso de análisis de HP TechPulse. Durante el día, los dispositivos reciben comandos y bits de control del portal de HP DaaS. La comunicación también está protegida por el token de acceso anteriormente descrito.

El software de dispositivo del servicio de Gestión proactiva de HP para Microsoft Windows® utiliza el protocolo HTTPS/TLS1.2 para todas las comunicaciones. HTTPS utiliza el puerto 443 para todas las comunicaciones. HP DaaS no instala ningún certificado ni manipula el almacén de certificados del sistema operativo Windows.

Portal de HP DaaS

El portal de HP DaaS se aloja en Amazon Web Services (AWS) en dos regiones diferentes. Una en Estados Unidos (Oregón) y otra en la Unión Europea (Frankfurt). Dependiendo del país en el que escoja registrarse, su inquilino comercial se creará en su región asignada. Los administradores se conectan al portal de HP DaaS a través de un navegador web. El portal de HP DaaS también proporciona interfaces para el registro, autenticación y comunicación entre dispositivos y el portal.

Las siguientes secciones comprenden decisiones de diseño en materia de seguridad.

Gestión de identidades La identidad se gestiona a través del Sistema de identidades comunes de HP. La calidad de las contraseñas no es configurable y la política de las contraseñas la establece la Página de registro de id. de HP. Las contraseñas deben contener al menos ocho caracteres e incluir dos o más de los siguientes requisitos:

• Una letra mayúscula y una letra minúscula

• Números

• Símbolos o caracteres especiales

Gestión de sesiones Los usuarios no tienen limitación en el número de sesiones simultáneas; sin embargo, las sesiones de usuario expirarán tras 30 minutos de inactividad. Las sesiones de dispositivo expirarán tras 24 horas y se renovarán automáticamente.

La autenticación y autorización se implementan mediante el protocolo Oauth2 y la gestión de sesiones. La capacidad se implementa mediante Json Web Token (JWT). Cada microservicio del portal de HP DaaS obliga a una verificación del token de JWT para firma y expiración.

9


Autorización Junto a la verificación del token de JWT, se producen controles de inquilinos para todas las API. Esto asegura que los datos correctos del inquilino pasen al visitante. Además, las verificaciones de roles se producen para todas las operaciones críticas.

Para obtener más información, consulte la sección Usuarios, roles y permisos.

Multiinquilino HP TechPulse es una solución multiinquilino basada en la nube. Los diseños heredados precisan que la información del inquilino cliente se almacene en servidores separados. HP TechPulse separa de forma lógica los datos de inquilino utilizando bases de datos relacionales y controles de derechos de inquilinos. Los datos se conectan de forma lógica con un inquilino mediante un identificador único universal (UUID), exclusivo de cada inquilino.

Datos en reposo La información empresarial como dispositivos, usuarios y datos relacionados se almacena en una base de datos MySQL del Servicio de bases de datos relacionales de AWS (RDS). La base de datos MySQL RDS está cifrada. Los campos confidenciales como claves y tokens también están cifrados mediante el Servicio de administración de claves de AWS (KMS). La clave maestra va modificándose siguiendo las Directrices de ciberseguridad de HP.

Datos en tránsito Toda comunicación externa con y desde el portal de HP DaaS utiliza el protocolo HTTPS/TLS1.2. Los servicios en la Nube privada virtual de AWS (VPC) se comunican mediante texto no cifrado. Para obtener más información, consulte la sección Seguridad funcional.

Integración de terceros HP TechPulse integra varios servicios de terceros como Vmware Airwatch, Microsoft Intune y ServiceNow.

La comunicación entre servidores se produce a través de HTTPS utilizando métodos de autenticación proporcionados por los sistemas de nuestros socios. Para obtener más información sobre la integración de terceros, póngase en contacto con un experto de servicio de HP.

Validación de la interfaz de usuario (IU) La validación del campo de la interfaz de usuario protege los campos de formulario de entrada de la aplicación cliente de HP TechPulse. La validación se proporciona en función del tipo de datos (cadena, fecha/hora, moneda, etc.) y las reglas de negocio (exigidas o recomendadas). Los campos también pueden protegerse a través de roles y operaciones empresariales (lectura/escritura). La validación adicional puede aplicarse mediante funciones de scripting.

Plataforma de análisis de HP TechPulse

La plataforma de análisis de HP TechPulse se aloja en AWS. La plataforma de análisis es la base del procesamiento de datos para el servicio de Gestión proactiva de HP. La mayoría de las partes de la plataforma de análisis no están expuestas al exterior.

10


Recopilación de datos La plataforma de análisis proporciona varias interfaces para cargar datos desde dispositivos. La plataforma de análisis utiliza Cognito Identity Pool (CIP) para cargar datos. Con CIP, las conexiones, comandos y políticas nunca se envían o recopilan desde dispositivos.

Datos en reposo Los datos en reposo no estructurados se almacenan en S3; sin embargo, los datos estructurados se almacenan en RedShift. Ambos datos estructurados y no estructurados están cifrados en la plataforma de análisis.

11


Seguridad funcional de HP TechPulse Esta sección describe cómo aplica HP TechPulse la seguridad de nivel de servicio para garantizar la seguridad en varios niveles de comunicaciones.

Centro de datos

La aplicación HP TechPulse se aloja en Amazon Web Services (AWS), más concretamente, Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 ofrece una capacidad computacional ampliable en la nube de AWS. HP TechPulse dispone de centros de datos en Oregón, Estados Unidos (AWS-OR) y Frankfurt, Alemania (AWS-DE). Los datos para clientes ubicados en países europeos pueden alojarse en el centro de datos de Alemania. Los datos para clientes del resto de países pueden alojarse en el centro de datos de EE. UU. Todos los datos con un solo «inquilino» de cliente se alojan en un único centro de datos, aunque los clientes que deseen disponer de inquilinos separados en diferentes centros de datos para alojar datos para distintas unidades de negocio pueden solicitar esta opción. Al utilizar AWS, HP TechPulse puede utilizar de forma segura y fiable la infraestructura global de distribución a gran escala de más de quince años de experiencia de Amazon. Para obtener más información, consulte el portal de información de AWS: http://aws.amazon.com/ec2/.

En la capa física, es importante abordar los controles utilizados para la protección de la red y los servicios. Los datos de clientes y dispositivos se almacenan en los centros de datos de AWS, geográficamente distribuidos para ofrecer redundancia. AWS es un reconocido líder en el alojamiento en la nube. Al asociarse con AWS, HP TechPulse hereda una infraestructura en la nube diseñada para ser uno de los entornos informáticos en la nube más seguros y flexibles disponibles hoy en día. Algunas de sus características principales de seguridad incluyen:

• Diseñada para la seguridad: la infraestructura en la nube de AWS está alojada en los centros de datos de AWS diseñados para satisfacer las necesidades de la mayoría de los clientes confidenciales. La infraestructura de AWS ha sido diseñada para ofrecer una alta disponibilidad, además de sólidas medidas de seguridad para la privacidad del cliente y la segregación de datos. Los datos de dispositivos, aplicaciones y de ubicación están anonimizados y no pueden estar vinculados con un individuo antes de que se transmitan y almacenen en el centro de datos de gestión de U.S. Analytics. Las bases de datos que contienen datos personales están cifradas.

− Altamente automatizada: AWS crea a propósito la mayoría de sus herramientas de seguridad con el fin de adaptarlas las necesidades únicas de entorno y escala de AWS. Estas herramientas de seguridad están diseñadas para ofrecer la máxima protección para datos y aplicaciones. Esto significa que los expertos en seguridad de AWS dedican menos tiempo a las tareas rutinarias, permitiendo centrarse más en medidas proactivas que puedan aumentar la seguridad del entorno en la nube de AWS.

− Altamente disponible: AWS diseña sus centros de datos en varias regiones geográficas, así como a largo de diversas Zonas de disponibilidad dentro de cada región para ofrecer la máxima resiliencia contra las interrupciones del sistema. AWS diseña sus centros de datos con conexiones de ancho de banda de significativo exceso con el fin de que, en caso de que se produzca una interrupción importante, haya suficiente capacidad que permita que el tráfico disponga de equilibrio de carga en los lugares restantes.

− Altamente acreditada: certificación significa que los auditores han verificado que los controles específicos de seguridad existen y funcionan según lo previsto. Podrá ver los informes de cumplimiento aplicables poniéndose en contacto con un representante de cuentas de AWS para que le ayude a cumplir con los estándares y regulaciones de seguridad específicos del gobierno, sector y empresa. AWS proporciona informes de certificación que describen cómo la infraestructura en la nube

http://aws.amazon.com/ec2/

12


de AWS cumple con los requisitos de una exhaustiva lista de estándares globales de seguridad, entre otros: ISO 27001, SOC, el Estándar de Seguridad de los Datos para el Sector de las Tarjetas de Pago (PCI DSS), FedRAMP, el manual de seguridad de la información del Directorio de Señales de Australia (ASD) y el Estándar de Seguridad en la Nube Multinivel para Singapur (MTCS SS 584). Para obtener más información sobre las regulaciones y estándares de seguridad que cumple AWS, consulte la página web sobre el Cumplimiento de AWS.

Para obtener información detallada sobre la seguridad física y del entorno, el acceso de AWS y la seguridad de redes, lea el documento técnico Informacion general de AWS acerca de los procesos de seguridad.

Red

Los dispositivos de redes, incluyendo firewall y otros dispositivos de límite, se utilizan para supervisar y controlar las comunicaciones en el límite externo de la red y en los límites clave internos dentro de la red. Estos dispositivos de límite emplean conjuntos de reglas, listas de control de acceso (ACL) y configuraciones para aplicar el flujo de información a los servicios específicos de sistemas de información.

Las ACL o políticas de flujo de tráfico están establecidas en cada interfaz gestionada, lo cual refuerza el flujo de tráfico. Las políticas de ACL están aprobadas por Amazon Information Security. Estas políticas están impulsadas de forma automática mediante la herramienta de gestión de ACL de AWS para garantizar que estas interfaces gestionadas apliquen las ACL más actuales.

Puntos de acceso con seguridad mejorada AWS ha colocado de forma estratégica un número limitado de puntos de acceso a la nube para permitir una supervisión más exhaustiva de las comunicaciones de entrada y salida y del tráfico de red. Estos puntos de acceso del cliente se denominan puntos de conexión de la API y permiten el acceso HTTP (HTTPS), que protege las sesiones de comunicación con las instancias de almacenamiento o de proceso dentro de AWS. Además, AWS ha implementado dispositivos de red dedicados a la gestión de comunicaciones de interfaz con Proveedores de servicios de Internet (ISP). AWS utiliza una conexión redundante con más de un servicio de comunicaciones en cada extremo con conexión a Internet de la red de AWS. Todas las conexiones disponen de sus dispositivos de red dedicados.

https://aws.amazon.com/compliance/

http://d0.awsstatic.com/whitepapers/Security/AWS%20Security%20Whitepaper.pdf

13


Seguridad de aplicaciones, host y administradores

En la capa lógica, se utilizan varios controles para proteger los sistemas host, las aplicaciones ejecutadas en dichos sistemas y los administradores que gestionan los sistemas host y aplicaciones asociadas.

El administrador accede a HP TechPulse y los datos del cliente son limitados y estrictamente gestionados. Solo aquellos individuos necesarios para realizar una tarea tendrán permitido el acceso, siempre que cumplan con las verificaciones de antecedentes y los requisitos de gestión de cuentas adecuados.

Seguridad de los datos

Los datos intercambiados con HP TechPulse utilizan la implementación de AWS de la Seguridad de la capa de transporte (TLS) v1.2, la forma más nueva del protocolo de Capa de sockets seguros (SSL) estándar del sector. TLS ayuda a proteger los datos en varios niveles, proporcionando autenticación del servidor, cifrado de datos e integridad de datos. Como TLS está implementado bajo la capa de aplicación, se trata de un mecanismo pasivo de seguridad que no se basa en pasos o procedimientos adicionales por parte del usuario. Las aplicaciones están mejor protegidas contra los atacantes aunque los usuarios tengan poco o ningún conocimiento sobre comunicaciones seguras. Estas características ayudan a proteger los datos ante la corrupción accidental y los ataques maliciosos, y tienen como objetivo evitar amenazas comunes basadas en la web. Además del cifrado SSL para la comunicación de red entre clientes y servidores, HP cifra registros y datos en reposo que se almacenan en nuestras bases de datos del servidor. La ubicación de dispositivos es un ejemplo de datos cifrados usando este algoritmo.

Los dispositivos de HP TechPulse deben indicar los sistemas operativos y el software del dispositivo en los requisitos del sistema. Mientras que los expertos de servicio de HP pueden ayudar a reforzar las políticas de seguridad en dispositivos específicos tal y como definen las políticas administrativas (cuando proceda), no existe ningún otro requisito de seguridad para la implementación del usuario final aparte de su correo electrónico y contraseña de inicio de sesión. La dirección de correo electrónico de los empleados se utiliza como su id. de inicio de sesión. Tanto el correo electrónico como la contraseña de inicio de sesión están cifrados con un cifrado AES de 128 bits mediante el protocolo TLS tras iniciar sesión.

Verificación independiente En HP TechPulse se realizan dos técnicas diferentes de modelado de inteligencia sobre amenazas:

• Estándar de ejecución de pruebas de penetración

• Proyecto abierto de seguridad de aplicaciones web (OWASP)

El software de HP TechPulse realiza el modelado de inteligencia sobre amenazas para las nuevas funcionalidades que se lanzan y periódicamente para todas las pequeñas mejoras de las funcionalidades existentes. Antes de empezar con el desarrollo de software de nuevas características, HP TechPulse también revisa la estructura de seguridad mediante la Ciberseguridad de HP.

http://www.pentest-standard.org/index.php/Main_Page

https://www.owasp.org/index.php/Top_10-2017_Top_10

14


Las categorías de las pruebas de modelado de inteligencia sobre amenazas realizadas en HP TechPulse incluyen:

• En el portal de HP DaaS. Lo siguiente es una muestra de pruebas realizadas:

− filtro de scripts de sitios − ataques de phishing − robo de token de autenticación − fuzzing de entrada − suplantación de identidad de correo electrónico − inyección de código SQL − falsificación de solicitud entre sitios, etc.

• En los servicios en la nube de HP TechPulse (es decir, microservicios de HP TechPulse y la infraestructura asociada, y la infraestructura de análisis). Lo siguiente es una muestra de pruebas realizadas:

− pruebas de interfaz para autenticación y autorización − cambio de id. de inquilino para garantizar que los datos adecuados se envíen únicamente a los usuarios

autorizados − inyección de código SQL − inyección de código remoto − ataques DOS − fuzzing de entrada

• En el software de HP TechPulse para dispositivos en varias plataformas de sistemas operativos (Windows, Android, Google Chrome, Apple iOS y MAC). Lo siguiente es una muestra de pruebas realizadas:

− origen de la instalación e integridad de la aplicación, − elevación de privilegios − ataques MITM − fuzzing de entrada − verificación de comandos con comprobaciones de integridad de datos − envenenamiento de almacén de certificados − autenticación rota − configuración de seguridad, etc.

• En interfaces externas con HP TechPulse. Lo siguiente es una muestra de pruebas realizadas: conexión a servicios de terceros como Dell VMWareOne, terminales SSH, etc.

15


Las siguientes herramientas son algunas de las que se utilizaron para el modelado de amenazas.

• Accunetix

• Burp suite

• Nmap

• Metasploit

• Editthiscookie

El equipo de desarrollo del software de HP TechPulse sigue un proceso seguro de desarrollo de software. Incluye revisiones de seguridad junto con revisiones habituales de estructura y códigos que se centran en la seguridad, modelado de amenazas y análisis. Además, el equipo de HP TechPulse también realiza habitualmente análisis y mitigación de infraestructura mediante herramientas como Nessus Agent. Todos ellos están auditados de forma independiente por KPMG, además de otorgar al software de HP TechPulse la certificación ISO27001.

El modelado de amenazas se realiza habitualmente en la versión más reciente en un entorno separado no expuesto a los clientes u otro proceso de desarrollo. El modelado de amenazas en HP TechPulse lo realizan los equipos separados de Ciberseguridad y Seguridad en la nube de HP, que se encuentran fuera del equipo de desarrollo de software de HP TechPulse. Asimismo, el equipo de desarrollo de software de HP TechPulse también cuenta internamente con miembros del equipo de modelado de amenazas como parte de su equipo de garantía de la calidad y seguridad para revisar de forma regular los componentes de software existentes.

Marcos de cumplimiento y seguridad de HP

HP TechPulse demuestra un compromiso con nuestros clientes mediante la implementación de una sólida y acreditada operación de gestión de riesgos y seguridad de la información. La importancia de todos los marcos de cumplimiento de la seguridad son los datos que los clientes confían a HP. Por esta razón, nuestra dirección estratégica es garantizar que HP TechPulse disponga de los procedimientos y herramientas de seguridad adecuados para proteger los datos de los clientes. Mediante acreditaciones del sector globalmente reconocidas, los datos del cliente (incluida la información de propiedad, general y operacional) y los datos de privacidad se examinan para garantizar que HP TechPulse tenga controles de seguridad que respondan a los marcos conocidos de cumplimiento de la seguridad.

Escala de tiempo

16


Certificación ISO 27001:2013

• La seguridad de los sistemas de información y la información empresarial crítica requieren una medición y gestión constantes. La certificación ISO 27001:2013, expedida por el auditor independiente KPMG, es verificación del compromiso de HP para ofrecer una continuidad operativa y protección de datos.

• La Organización internacional de normalización (ISO) es responsable del desarrollo de varios estándares internacionalmente reconocidos para productos servicios y sistemas. La certificación ISO 27001:2013 es adjudicada tras la conclusión de una auditoría externa por un organismo de certificación acreditado y está basada en activos (información, procesos, personas y tecnología). HP ha logrado la certificación ISO en el entorno de Servicios de supervisión remota y de gestión para los Servicios de impresión gestionada y de sistemas personales.

• ISO 27001 especifica los requisitos para el establecimiento, implementación, mantenimiento y mejora continua del Sistema de gestión de la seguridad de la información (ISMS) dentro del contexto de una organización. Un ISMS es un enfoque sistemático para gestionar la información empresarial confidencial con el fin de que dicha información permanezca protegida de acuerdo con los principios de confidencialidad, integridad y disponibilidad. El enfoque abarca personas, procesos y sistemas de TI, y consta de varios documentos y guías complementarios que definen la implementación y la ruta de certificación.

La certificación ISO 27001:2013 del servicio de Gestión proactiva de HP trata los siguientes aspectos:

• Políticas de seguridad de la información • Seguridad de las operaciones • Organización de la seguridad de la información • Seguridad de las comunicaciones • Seguridad de recursos humanos • Adquisición, desarrollo y mantenimiento del sistema • Gestión de activos • Relaciones con proveedores • Control de acceso • Gestión de incidentes de seguridad de la información • Criptografía • Aspectos de seguridad de la información de la gestión de la continuidad del negocio • Seguridad física y del entorno • Cumplimiento

En 2020, HP está ampliando la certificación ISO para incluir:

• ISO 27701:2019 (Sistemas de Gestión de la Información de Privacidad, PIMS) • ISO 27017:2015 (Controles de Seguridad de la Información de los Servicios en la Nube)

17


Certificación ISO 27071:2015 (otoño de 2020)

La labor de certificación de HP traslada a los clientes y socios que la solución TechPulse cumple con los estándares acreditados del sector para la protección, implementación, mantenimiento y mejora continua de la gestión de la privacidad.

Certificación ISO 27701:2019 (otoño de 2020)

Los clientes y socios que utilizan la plataforma de supervisión continua de HP TechPulse desean garantías que demuestren que sus datos estén protegidos gracias al uso de un proveedor de servicios en la nube. ISO 27071: 2015 proporciona estándares reconocidos por el sector de los controles de seguridad de la información a clientes y proveedores de los servicios en la nube.

SOC2 (2020/2021)

Una certificación SOC2 proporciona a los clientes la garantía de que HP TechPulse cumple con unos estándares globalmente reconocidos para la seguridad, confidencialidad, privacidad y más. SOC 2 verifica a clientes y socios que HP retiene, almacena y procesa los datos privados del cliente de forma repetible y continua. Los clientes exigen marcos adicionales que apoyen su tolerancia al riesgo. HP intentó conseguir la certificación SOC2 en la primavera de 2020 con el fin de continuar mejorando en un futuro para satisfacer la demanda de los clientes.

18


Ciclo de vida de desarrollo seguro de software de HP (SSDL) Habitualmente, los enfoques del sector para la seguridad de las aplicaciones han sido reactivos y no han aplicado correctamente las lecciones del campo de la calidad. Los dos enfoques prevalentes son:

• Esconder la cabeza bajo tierra: caracterizado por una revisión reactiva de la seguridad. Este enfoque se basa en Vulnerabilidades y exposiciones comunes (CVE) con poco trabajo para evitar o minimizar la introducción de la vulnerabilidad. Esto se ve más a menudo en los segmentos del sector con una mínima carga reguladora en relación con la seguridad.

• Probar la seguridad durante el proceso: perceptible debido a la falta de resiliencia diseñada en las aplicaciones. En su lugar, se aplican esfuerzos para buscar y solucionar vulnerabilidades durante las pruebas, en combinación con la revisión de seguridad. Este enfoque aparece con más frecuencia en el sector público, los sectores regulados de seguridad y la asistencia médica. Estos segmentos deben cumplir con las regulaciones, entre otras, la Ley de Gestión de la Información de Seguridad Federal de Estados Unidos (FISMA), el Estándar de Seguridad de los Datos para el Sector de las Tarjetas de Pago (PCI-DSS), la Ley de Transferencia y Responsabilidad de Seguros de Salud (HIPAA) y la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH).

Sin embargo, la seguridad como atributo de calidad necesita ser aplicada en todas las etapas del ciclo de vida tal como lo describió hace medio siglo el campo de la calidad. Los inquilinos principales incluyen lo siguiente:

• La calidad no puede probarse; debe ser diseñada e integrada y, a continuación, probada.

• Relacionado con los costes, los defectos y vulnerabilidades de seguridad deben ser localizados cuando antes en el ciclo de vida.

HP se toma muy en serio la seguridad de software y por ello ha adoptado un Ciclo de vida de desarrollo seguro de software (SSDL). Existen varios objetivos vinculados al proceso SSDL, entre otros:

• Reducir la superficie de ciberataques mediante la arquitectura de software seguro

• Minimizar las vulnerabilidades provocadas por códigos

• Proteger la privacidad y seguridad de los datos e identidades del cliente

HP incluye procedimientos específicos relacionados con la seguridad en sus procesos SSDL, realiza revisiones de hitos para garantizar que se completan correctamente los procesos de seguridad y ofrece formación continua en seguridad a sus arquitectos de software, desarrolladores, ingenieros de pruebas, gestores de programas y sus equipos de liderazgo.

19


A continuación se definen las siete etapas del proceso SSDL:

• Formación (etapa 1): cursos formales sobre el proceso SSDL, diseño con seguridad mejorada, modelado de amenazas y codificación segura.

• Requisitos (etapa 2): planificación de la seguridad al iniciar los proyectos de software, incluidas las evaluaciones de riesgos de seguridad característica por característica.

• Diseño (etapa 3): definición y documentación de la arquitectura de seguridad; identificación de los componentes críticos de seguridad.

• Implementación (etapa 4): ejecución del esquema de protección diseñado y el enfoque de mitigación, junto con las revisiones y validaciones de códigos del mismo nivel.

• Verificación (etapa 5): realización de análisis dinámicos de código, pruebas de fuzz (fuzzing) y revisiones de superficies de ataque.

• Liberación (etapa 6): se han verificado los requisitos de SSDL, no existiendo vulnerabilidades conocidas.

• Respuesta (etapa 7): ejecución de tareas de respuesta descritas durante la etapa de Liberación.

20


Recopilación de datos

Los tipos de datos recopilados por HP TechPulse son proporcionados directamente por los clientes o se recopilan automáticamente desde el portal de HP DaaS basado en la nube. Los datos de los dispositivos se recopilan mediante las aplicaciones de software de HP TechPulse instaladas en los dispositivos.

HP TechPulse recopila los siguientes datos para ejecutar servicios contractuales:

Propósito de la recopilación de datos

Datos recopilados Descripción de los datos recopilados

Gestión de la cuenta Datos de la cuenta Información acerca de cómo compra o se registra un cliente en los servicios de HP TechPulse, del historial de soporte en lo que respecta a los incidentes generados por HP TechPulse, del número D-U-N-S de cliente y de cualquier otro aspecto relacionado con la cuenta de HP TechPulse para ejecutar servicios de transacción como la gestión de cuentas.

Garantizar que el software y los servicios de HP TechPulse funcionen correctamente

Datos de la aplicación Versión de software y estado de instalación de las aplicaciones de software de HP TechPulse. Opciones y preferencias del uso compartido de datos de los clientes de HP TechPulse.

Configuración de la cuenta, gestión de la identidad y verificación de los derechos

Datos de contacto Datos de contacto personales y de negocio, incluyendo nombre, apellido, dirección postal, número de teléfono, número de fax, dirección de correo electrónico y otra información de contacto similar para la configuración y validación de la cuenta del cliente de HP TechPulse, el derecho a utilizar los servicios y las notificaciones de correo electrónico sobre incidentes y servicios.

Proporcionar una gestión y un mantenimiento proactivo del servicio de los dispositivos mediante la identificación de la ubicación del dispositivo perdido

Datos de ubicación Datos de geolocalización para habilitar los servicios basados en la ubicación. Esta característica se desactiva de forma predeterminada para todos los clientes y hay una opción disponible para que los clientes habiliten o deshabiliten los servicios basados en la ubicación en TechPulse.

Proporcionar una gestión y mantenimiento proactivo del servicio informático e informes/paneles centrados en el cliente

Datos del dispositivo Información básica de hardware relacionada con el dispositivo: equipo informático, sistema operativo, cantidad de memoria, región, idioma, zona horaria, número de modelo, fecha de arranque inicial, antigüedad del dispositivo, fecha de fabricación del dispositivo, versión del navegador, fabricante del equipo, estado de garantía, identificadores únicos del dispositivo e información técnica adicional que varía por producto.

Componentes de hardware, tales como batería, disco, BIOS, HP SureStart, pantalla y gráficos, dispositivos y controladores Plug and Play, errores y bloqueos de controladores, memoria, reloj en tiempo real, procesador, ranuras de sistema, variables de entorno, térmicos, sistema operativo, interfaz de red, revisiones del sistema operativo y de terceros, estado y aplicaciones de antivirus y firewall, perfil de seguridad de dispositivo Windows y perfiles de gestión de dispositivos y su estado,

21


Propósito de la recopilación de datos

Datos recopilados Descripción de los datos recopilados

Continuación

Amenazas detectadas por HP Sure Click Advanced y HP Sure Sense Advanced, configuración y actividades de HP Sure Recover.

Aplicaciones de software instaladas en los dispositivos. Nota: HP TechPulse no examina o recopila el contenido de ningún archivo o información que pueda mostrar una aplicación.

Datos de rendimiento. Batería, disco, CPU, memoria y uso térmico.

El uso de aplicaciones de software con respecto a la frecuencia y tiempo de uso y el impacto del uso de software en los datos de rendimiento del hardware (batería, disco, CPU, memoria y uso térmico).

Uso de red: velocidades de transmisión de red desde el dispositivo.

Identificadores de red. Direcciones IPv4/IPv6 y MAC, BSSID. La recopilación de datos se desactiva de forma predeterminada para todos los clientes y el portal de HP DaaS basado en la nube de HP TechPulseofrece una opción para que los clientes habiliten o deshabiliten la recopilación de datos de identificadores de red.

Uso de aplicaciones web. La recopilación de datos se desactiva de forma predeterminada para todos los clientes y el portal de HP DaaS basado en la nube de HP TechPulse ofrece una opción para que los clientes habiliten o deshabiliten la recopilación de datos de aplicaciones web.

Archivos de errores de pantalla azul en el sistema operativo Microsoft Windows. La recopilación de datos se desactiva de forma predeterminada para todos los clientes y el portal de HP DaaS basado en la nube de HP TechPulse ofrece una opción para que los clientes habiliten o deshabiliten la recopilación de datos de archivos de errores de pantalla azul.

Información de usuario de los usuarios del cliente que registran sus dispositivos en HP TechPulse. Información del último usuario registrado de los usuarios del cliente conectados en los dispositivos registrados en HP TechPulse. La recopilación de datos se activa de forma predeterminada para todos los clientes y el portal de HP DaaS basado en la nube de HP TechPulse ofrece una opción para que los clientes habiliten o deshabiliten la recopilación de datos de esta información.

Autenticación y autorización del acceso del usuario a las cuentas y servicios de Gestión proactiva de HP y Seguridad proactiva de HP

Credenciales de seguridad

Contraseñas de usuario, sugerencias de contraseña e información de seguridad similar necesaria para la autenticación con el fin de autorizar a los usuarios a acceder a las cuentas y servicios del portal de HP DaaS basado en la nube de HP TechPulse.

22


Agrupaciones de datos Los datos del dispositivo recopilados por HP TechPulse1 pueden incluir las siguientes agrupaciones:

Grupo de datos Descripción

Hardware Entre otros, batería, BIOS disco, pantalla/monitor, gráficos, inventario, memoria, interfaz de red, Plug and Play (PnP), procesador, reloj del sistema, ranuras del sistema, térmicos y datos de rendimiento del sistema.

Aplicaciones de software Entre otros, cumplimiento, errores, inventario, rendimiento, utilización y datos de uso de aplicaciones web.

Seguridad Entre otros, dispositivos que no presentan informes, detección/gestión de revisiones del sistema operativo, ubicación del dispositivo, alarma del dispositivo, bloqueo y borrado, configuración de políticas de seguridad, cumplimiento de políticas de seguridad, amenazas de seguridad, cifrado de almacenamiento, configuración de seguridad de usuarios, aprovisionamiento Wi-Fi y datos de violaciones de Windows Information Protection

Registros de eventos de Windows

Los registros de eventos de Windows proporcionan un registro detallado de las notificaciones del sistema, seguridad y aplicaciones almacenadas por el sistema operativo Windows, que utilizan los administradores para diagnosticar problemas del sistema y predecir futuros problemas.

Garantía y servicios Care Pack de HP

HP Care Packs son garantías extendidas para su equipo informático o impresora de HP que cubren los productos una vez que la garantía estándar haya expirado.

Los datos del usuario recopilados por HP TechPulse incluyen:

• Dirección de correo electrónico del usuario

• Última cuenta de usuario conectada

• Número de intentos fallidos de inicio de sesión consecutivos (se restablece a cero cuando un usuario inicia sesión)

1 Tenga en cuenta que los datos recopilados pueden variar en función del sistema operativo y el plan de

Gestión proactiva.

https://searchwindowsserver.techtarget.com/definition/Microsoft-Windows-Server-OS-operating-system

23


HP TechPulse no recopila los siguientes tipos de datos: • Información demográfica (excepto preferencias de idioma o país)

• Información financiera de cuentas, números de tarjeta de crédito o débito, historial de crédito o datos de pago

• Redes sociales

• Identificador emitido por el gobierno, como el número de la seguridad social o de seguro social o id. gubernamental

• Información de salud

• Datos confidenciales como el origen étnico, creencias políticas, afiliación sindical, datos de salud, orientación sexual y datos genéticos

Privacidad de datos

HP tiene un largo historial de liderazgo en el sector en materia de privacidad y protección de datos. Gracias a nuestra sólida cartera de productos y servicios, apoyamos los esfuerzos de nuestros clientes y socios protegiendo sus datos personales. Con respecto a Análisis de HP TechPulse, HP actúa como un Procesador de datos. Consulte la sección Procesador de datos en la Oficina central de privacidad de HP. Como empresa global, es posible que cualquier información que usted proporcione pueda ser transferida o accesible por parte de entidades de HP de todo el mundo de acuerdo con la Declaración de privacidad de HP y en función de los programas internacionales de privacidad recogidos en la sección Transferencias de datos internacionales.

La privacidad de datos está regida por la Política de privacidad de HP para países de todo el mundo. Esta política se actualiza de forma periódica y cubre los siguientes temas:

• Nuestros principios de privacidad • Transferencias internacionales de datos (incluida la información del Escudo de la privacidad UE-EE. UU).

• Cómo usamos los datos

• Qué datos recopilamos

• Privacidad infantil

• Cómo conservamos y mantenemos protegidos sus datos

• Cómo compartimos los datos

• Comunicaciones de HP

• Ejercer sus derechos y ponerse en contacto con nosotros

http://www8.hp.com/us/en/privacy/privacy.html?jumpid=in_R11928_/us/en/corp/privacy/privacy-statements#!&pd2=1

24


Los cambios en nuestra Declaración de privacidad de HP representan intensos esfuerzos para adherirse al Reglamento General de Protección de Datos (RGPD). RGPD es una regulación a nivel europeo para la protección de los datos de los ciudadanos europeos que establece normas relativas a la protección de personas naturales con respecto al procesamiento de los datos personales y normas relacionadas con la libre circulación de datos personales (ref.: https://gdpr-info.eu/art-1-gdpr/). En la actualidad no existe certificación o licencia necesaria o disponible para RGPD; sin embargo, la Organización internacional de normalización (ISO) ofrece un marco que permite a HP y otros cumplir con el RGPD. En 2018, el servicio de Gestión proactiva de HP DaaS fue certificado por un tercero para el cumplimiento de ISO 27001:13.

Otra categorización de datos es la Información médica protegida (PHI). PHI se define bajo la legislación estadounidense como cualquier información sobre el estado de salud, prestación de asistencia médica o pago por asistencia médica creada o recopilada por una Entidad cubierta (o Socio comercial de una Entidad cubierta) y puede vincularse a un individuo específico. Una Entidad cubierta es una de las siguientes: 1) profesional de salud (incluidas farmacias); 2) seguro médico; o 3) centro de intercambio de información sobre servicios médicos. Un Socio comercial es una persona o entidad que desempeña ciertas funciones o actividades que implican el uso o divulgación de PHI en representación de, u ofrece servicios a una Entidad cubierta.

La aplicación de HP TechPulse no recopila, almacena ni transmite información alguna sobre el estado de salud, prestación de asistencia médica o pago por asistencia médica; sin embargo, en ciertas situaciones, los expertos de servicio de HP pueden entrar en contacto con dicha información mientras prestan servicios para clientes del plan Enhanced y Premium del servicio de Gestión proactiva de HP (por ejemplo, asistencia remota, eliminación de datos del dispositivo, etc.).

Retención de datos

La retención de datos es una parte importante de cualquier programa de cumplimiento, además de necesaria para cumplir con la administración adecuada de los datos. La política de retención de datos de HP incorpora las siguientes mejores prácticas de retención de datos:

• El mantenimiento de datos durante un periodo inferior al preciso puede violar los requisitos contractuales o legales o afectar la seguridad.

• El mantenimiento de datos durante un periodo superior al preciso puede violar las regulaciones de privacidad, suponiendo una preocupación principal para el cliente y consulta de ventas.

• Una vez eliminados los datos, no hay ninguna obligación de proporcionárselos al cliente o autoridad judicial.

Todos los datos de los centros regionales de datos de EE. UU. y Alemania se eliminarán de forma permanente dentro de los treinta días siguientes a la desactivación de los servicios de Gestión proactiva de HP y/o Seguridad proactiva de HP del cliente.

https://gdpr-info.eu/art-1-gdpr

25


Los datos del centro de datos de U.S. Analytics se eliminarán de forma permanente tras dos años a partir de la fecha de creación de los datos o dentro de los treinta días siguientes a la desactivación de HP TechPulse del cliente para el almacenamiento estructurado y no estructurado. Como el paquete de análisis de la aplicación de software de HP TechPulse es un paquete particular compartido entre muchas aplicaciones de HP (no está únicamente limitado a los servicios de Gestión proactiva de HP y Seguridad proactiva de HP), los datos del centro de datos de U.S. Analytics no se eliminarán de forma permanente si el cliente se desactiva de HP TechPulse, ya que el mismo cliente puede estar registrado en otras aplicaciones de HP; y solo se eliminarán tras tres años de la fecha de creación de los datos.

Nota: A efectos de la protección de datos, todos los datos personales se anonimizan antes de transmitirlos y almacenarlos en el centro de datos de U.S. Analytics.

Almacenamiento de datos El almacenamiento de datos de HP TechPulse se limita a la información del usuario y dispositivo de los suscriptores de pago.

• Todas las bases de datos de los centros de datos regionales de EE. UU. y Alemania que almacenan datos personales están cifradas.

• Todas las bases de datos de los centros de datos de gestión de identidades de EE. UU. que almacenan datos personales están cifradas.

• Todas las bases de datos y el almacenamiento no estructurado del centro de datos de U.S. Analytics están cifrados.

En los diferentes centros de datos se transmiten y almacenan los siguientes tipos de datos:

Datos Categoría

Regional de EE.UU. Centro de datos1

Regional de Alemania

Centro de datos2

U.S. Analytics Centro de datos3

Gestión de identidades de EE. UU.

Centro de datos3

Datos de la cuenta

Sí Sí No No

Datos de la aplicación

Sí Sí Sí No

Datos de contacto

Sí Sí No Sí

Datos del dispositivo

Sí Sí Sí No

Datos de ubicación

Sí Sí Sí No

Datos de credenciales

de seguridad

No No No Sí

1 Para clientes no europeos 2 Para clientes europeos 3 Para todos los clientes

Supervisión de servicios y presentación de informes HP TechPulse ofrece habitualmente actualizaciones de servicios para proporcionar a los clientes las últimas características y actualizaciones. Además, HP TechPulse informa a los clientes mediante varios métodos de actualizaciones y cambios del servicio programados y no programados. En cuanto a los eventos planificados de

26


interrupción de servicios como por ejemplo el mantenimiento de servicio, los clientes recibirán una notificación con ocho horas de antelación.

Para prestar un óptimo servicio, HP realiza una continua supervisión de los servicios y presentación de informes.

Supervisión de servicios

La aplicación y el portal de HP TechPulse están supervisados según el esquema de 24x7x365 para asegurar fiabilidad y rendimiento. Además, el rendimiento de redes y la supervisión de la disponibilidad se producen continuamente. Todas las herramientas de supervisión envían directamente cualquier asunto, advertencia y problema a los ingenieros de servicio. Las excepciones se presentan automáticamente al sistema de tickets interno como elementos de trabajo de alta prioridad que requieren reconocimiento.

Si se excede un umbral, se produce el siguiente proceso de escalamiento automático:

• Se envía una alerta por correo electrónico al ingeniero de soporte disponible correspondiente

• Se envía una notificación push al dispositivo móvil del ingeniero disponible

• Se envía un correo electrónico a la lista de distribución del Equipo de operación

La plataforma HP TechPulse utiliza diferentes herramientas de supervisión, entre otras:

• New Relic: supervisa varios componentes del sistema y, aún más importante, ayuda a identificar y eliminar cuellos de botella cuando se produzcan. La mayoría de las aplicaciones/servicios han sido instrumentados para New Relic, proporcionando así una continua recopilación de datos y métricas de rendimiento casi en tiempo real.

• Amazon CloudWatch: supervisa eventos relacionados con el aprovisionamiento, fallos de servicios y consecución de umbrales (como el consumo de memoria). Los incidentes se revisan y categorizan para identificar los problemas más importantes. En función de la prioridad, se adoptan medidas de inmediato o se programan para el posterior desarrollo. Se lleva a cabo una reunión de calidad del servicio post mortem (QoS) para revisar conclusiones, identificar las causas principales e implementar cambios para su mejora. A pesar de que HP TechPulse no proporciona a los clientes registros de incidentes internos o datos históricos, HP demuestra su compromiso con la calidad del servicio poniendo como objetivo un tiempo de actividad de un 99,9 %.

27


Conclusión HP reconoce que el panorama de amenazas cambia con rapidez. La evolución de los ciberataques comenzó con la eliminación de archivos y desfiguración de sitios web a finales de los años 90 y, a continuación, pasó a la etapa de monetización con el robo de credenciales y ransomware. Los ataques más recientes son protagonizados por estados nación muy bien financiados que tratan de desconectar las redes eléctricas, haciendo que dejen de funcionar decenas de miles de equipos informáticos y dispositivos móviles.

Hacer frente a estos riesgos es una misión en la que se embarcó HP desde hace más de cuarenta años. El legado de HP para la innovación en detección y protección ante amenazas de seguridad y las actuales inversiones centradas en la seguridad sirven de base para la creación de aplicaciones como HP TechPulse. Los resultados son la entrega de una solución segura de gestión de TI basada en la nube, desarrollada en una plataforma de seguridad integrada que comprende la aplicación, el centro de datos físicos y el acceso del usuario final. Con características de seguridad integradas, HP TechPulse, disponible a través de los servicios de Gestión proactiva de HP y Seguridad proactiva de HP, ofrece a las organizaciones una herramienta en la que pueden confiar para simplificar la gestión diaria de sus dispositivos, datos y usuarios gracias a varios sólidos niveles de seguridad.

© Copyright 2020, 2019, 2018 HP Development Company, L.P. Información confidencial y protegida de HP. La información contenida en el presente documento está sujeta a cambios sin previo aviso. Puede ser compartida con socios y clientes de HP total o parcialmente, a reserva de un acuerdo de confidencialidad vigente entre las partes. HP renuncia a toda responsabilidad relativa a la información contenida en este documento. El presente documento solo podrá utilizarse con fines informativos.

Microsoft y Windows son marcas comerciales o marcas de Microsoft Corporation en los Estados Unidos de América y/o en otros países.

4AA7-1182ESE v5 - 28 de mayo de 2020

seguridad y privacidad de hp techpulse · seguridad y privacidad de hp techpulse documento tÉcnico...

Documents