Servicios de seguridad prestados
-
Actualización de Log4j / Log4Shell
Nuestro equipo es consciente de la reciente vulnerabilidad en el sistema de registro Java Log4j. NutshellLa infraestructura de la empresa está mínimamente expuesta a Java y, tras conocer la vulnerabilidad, realizamos una revisión de nuestros sistemas. No hemos identificado ningún sistema que ejecute una versión afectada de Log4j, incluidas nuestras infraestructuras Solr y Jenkins.
Seguimos revisando nuestros sistemas para garantizar la seguridad de sus datos, y seguiremos vigilando las listas de seguridad del sector para detectar problemas como éste.
-
Siempre encriptado
Utilizamos cifrado TLS 1.2 de 256 bits de calidad bancaria cada vez que accedes a tu cuenta de Nutshell , ya sea a través de la web o de nuestras aplicaciones móviles. Tus datos están cifrados en reposo en nuestras bases de datos.
-
Copias de seguridad continuas
Todos los datos se replican inmediatamente en varios servidores. También tomamos instantáneas dos veces al día, semanalmente y mensualmente. Los servicios de supervisión de terceros avisan inmediatamente a nuestro equipo de cualquier problema. Consulte las actualizaciones de disponibilidad en tiempo real en status.nutshell.com.
-
Datos financieros protegidos
Utilizamos un proveedor que cumple la normativa PCI para almacenar de forma segura sus datos de facturación. La información de las tarjetas de crédito no se almacena en nuestros servidores.
-
Contraseñas seguras
Las contraseñas se cifran en un solo sentido y el personal de Nutshell no puede acceder a ellas.
-
Evaluación CASA satisfactoria
Hemos completado con éxito una evaluación de seguridad de aplicaciones en la nube (CASA) para nuestra aplicación web, validando que cumplimos los requisitos de seguridad establecidos por la App Defense Alliance (ADA).
Los requisitos incluyen la alineación con los marcos de seguridad líderes del sector y la ausencia de hallazgos vinculados a enumeraciones de debilidades comunes (CWE) con riesgo alto o medio de explotación.
Y aquí están los detalles para los profesionales de la seguridad:
Seguridad de las redes
Nuestro equipo de ingenieros tiene experiencia en la gestión segura y duradera de petabytes de datos. Tomamos las siguientes medidas para mantener sus datos seguros en reposo y mientras transitan por las redes.
- Cortafuegos, VPN, sistemas operativos Linux modernos, configuración conservadora de redes y grupos de seguridad.
- Cifrado en reposo
- VPN para proteger el acceso de los empleados y cifrar todos los datos que transitan por los enlaces de Internet.
- Nutshell Las contraseñas tienen sal y hash unidireccional. Nuestro personal no puede acceder ni ver su contraseña
- Las páginas de inicio de sesión están protegidas contra los ataques de fuerza bruta
- Seguimos las listas de seguridad del sector y parcheamos rápidamente los problemas críticos (parcheamos Heartbleed en cuestión de horas)
- Utilizamos una arquitectura de almacenamiento de datos multiusuario. Los datos de los clientes se almacenan en silos discretos por cuenta, para aislar y proteger sus datos
Seguridad operativa
Nuestro equipo de asistencia técnica trabaja internamente con nuestro equipo de ingenieros de Ann Arbor. Sólo accederemos a su cuenta con su permiso para solucionar problemas de soporte. El personal nunca le pedirá su contraseña de Nutshell .
- Todos los ordenadores del personal funcionan con cifrado de disco completo y contraseñas seguras.
- Limitamos la exposición de nuestra red interna a Windows
- Cada empleado de Nutshell recibe una copia de 1Password en su primer día
- Las oficinas están protegidas con acceso individual mediante tarjeta de acceso
Seguridad financiera
La información de su tarjeta de crédito y de facturación se almacena de forma segura. Nuestro proveedor de facturación cumple la normativa PCI y se gestiona por separado de los sistemas de la aplicación Nutshell .
Contraseñas
Nutshell utiliza hash unidireccional para almacenar de forma segura una representación de su contraseña. No podemos recuperar una contraseña: debe utilizar nuestra herramienta de contraseñas olvidadas junto con su dirección de correo electrónico para recuperar su contraseña. Es su responsabilidad mantener actualizada su dirección de correo electrónico Nutshell .
Es su responsabilidad elegir contraseñas seguras y mantenerlas a salvo. Nutshell no se hace responsable de los datos que se vean comprometidos debido a una contraseña de usuario insegura o robada. Si se está autenticando con Nutshell a través de un tercero (por ejemplo, Google Apps), esas contraseñas también deben ser seguras.
Divulgación responsable
Si eres un investigador de seguridad o crees que has encontrado un problema en la seguridad de Nutshell, por favor revisa las siguientes notas.
Nutshell no ofrece un programa de recompensas por fallos para pagar por los informes.
Por favor, notifique cualquier problema de seguridad a security@nutshell.com. Si necesita enviar un mensaje cifrado, puede encontrarlo en Keybase.
Le pedimos que nos dé un plazo razonable para responder a las denuncias antes de hacer pública la información.
Por favor, no lleve a cabo ninguna investigación de seguridad que pueda provocar la destrucción de datos, la interrupción o la degradación del servicio. Esto incluye el uso de herramientas automatizadas o escáneres: es probable que provoquen la prohibición de su dirección IP.
No aceptamos informes de divulgación responsable en torno a los siguientes temas:
- Problemas de corrección de Iframe/UI relacionados con las cabeceras X-Frame-Options
- Aplicación del HSTS
- Seguridad de la contraseña proporcionada por el usuario
- Problemas de configuración de SPF, DKIM y DMARC
- Problemas de enumeración de usuarios (utilizamos la limitación de velocidad para proteger a nuestros usuarios).
- Presencia de banner o información sobre la versión
Agradecimientos
Hemos recibido información de muchas personas y organizaciones para hacer de Nutshell un lugar más seguro. Puedes leer sobre ellos aquí.