La seguridad es una de las principales preocupaciones de todas las organizaciones. En eLabNext, la seguridad de nuestra plataforma y de sus datos es un objetivo diario. Lea esta página para obtener más información sobre la seguridad en eLabNext.
eLabNext es una marca de Bio-ITech BV, parte del grupo Eppendorf. Desde 2016, Bio-ITech cuenta con la certificación formal ISO/IEC 27001, la norma mundialmente aceptada para la gestión de la seguridad de la información. Esta página identifica las medidas que tomamos para salvaguardar sus datos.
Seguridad física | |
---|---|
Instalaciones | Los servidores de Bio-ITech están alojados en instalaciones que cumplen la norma ISEA 3402 o ISO 27001 en al menos dos centros de datos separados geográficamente. Para los clientes norteamericanos, la nube se aloja en Estados Unidos. Para los clientes del resto del mundo, la nube se aloja en Europa. Las instalaciones de la nube privada se alojan en el centro de datos de la nube de Amazon Web Services (AWS) en la región que prefiera el cliente. |
Seguridad in situ | Todos los servidores se alojan en instalaciones que cumplen las normas ISO 27001, SOCII o ISEA 3201. Las instalaciones de nuestros centros de datos cuentan con un perímetro protegido con seguridad 24/7, videovigilancia, cerraduras físicas y alarmas de seguridad. |
Supervisión | Bio-ITech supervisa continuamente la disponibilidad de la red. Además, el rendimiento del servidor y el tiempo de actividad se supervisan en tiempo real y cuando se superan los umbrales establecidos, debido a eventos anormales, se notifica a Bio-ITech. |
Ubicación | Bio-ITech utiliza centros de datos en Estados Unidos para los clientes de Norteamérica y centros de datos en Europa para los clientes del resto del mundo. |
Eliminación de datos | Bio-ITech maneja la información con sumo cuidado y elimina todos sus dispositivos de almacenamiento de acuerdo con un protocolo de destrucción de datos ISO 27002. |
Seguridad de las redes | |
Equipo de seguridad especializado | Bio-ITech cuenta con un equipo de respuesta de seguridad distribuido por todo el mundo para responder a alertas y eventos de seguridad. |
Protección | Nuestro sistema está protegido por múltiples cortafuegos, transporte seguro de datos mediante cifrado HTTPS, auditorías de seguridad periódicas y medidas preventivas para evitar ataques malintencionados a la red. |
Arquitectura | Bio-ITech cuenta con múltiples zonas de seguridad de acceso restringido. Los sistemas sensibles están protegidos con varios niveles de seguridad y sólo pueden acceder a ellos las personas necesarias para su mantenimiento. |
Exploración de vulnerabilidades de la red | Bio-ITech evalúa periódicamente la seguridad de los componentes de las aplicaciones durante las auditorías internas de seguridad del software. |
Pruebas de penetración de terceros | Nuestras aplicaciones se someten a pruebas exhaustivas para detectar vulnerabilidades en Pruebas de Penetración periódicas. |
Acceso lógico | El acceso a la Nube y a la red de Nube Privada está restringido en función de la necesidad de conocimiento. El acceso requiere múltiples factores de autenticación |
Cifrado | |
Cifrado en tránsito | Todas las comunicaciones con los usuarios finales, tanto desde como hacia nuestro centro de datos, se cifran mediante una conexión SSL (HTTPS). Los productos eLabNext utilizan un certificado SSL clase III con Extended Validation (EV) que ha sido emitido por COMODO CA Limited, una Autoridad de Certificación (CA) registrada. Los certificados de validación ampliada sólo se emiten a los proveedores de servicios de mayor confianza (incluidos institutos gubernamentales y bancos) y se indican mediante una barra de confianza verde. |
Cifrado en reposo | Todos los datos de las copias de seguridad se cifran y almacenan de forma segura. |
Disponibilidad y continuidad | |
Tiempo de actividad | El tiempo de actividad de todos los servidores en nube y en nube privada se supervisa en tiempo real. En caso de incidencia, nuestro personal recibirá una alerta y está capacitado para resolver los problemas. |
Redundancia y copias de seguridad | La nube está alojada en una infraestructura totalmente redundante para eliminar cualquier punto único de fallo. Todos los datos se replican en tiempo real y se archivan en una tercera base de datos para garantizar una recuperación inmediata. Además, cada 24 horas se almacena una copia de seguridad completa de todos los datos en nuestra bóveda cifrada en caso de recuperación ante desastres. |
Recuperación en caso de catástrofe | Bio-ITech dispone de un procedimiento de recuperación de desastres en caso de fallo completo del sistema. |
Acuerdo de custodia | Para asegurar la continuidad del negocio Bio-ITech proporciona un servicio de Escrow. El código fuente de la aplicación se almacenará de forma segura en un tercero independiente y se liberará en caso de que Bio-ITech no preste el servicio requerido. |
Desarrollo seguro | |
---|---|
Formación en seguridad | Bio-ITech organiza cursos anuales de formación en seguridad para todo su personal con el fin de mantener al día la concienciación en materia de seguridad. |
Garantía de calidad | Probadores especializados revisan y comprueban el código desarrollado en busca de vulnerabilidades. |
Entornos separados | El desarrollo, las pruebas y la puesta en escena se realizan en entornos separados, lo que garantiza la seguridad de nuestras aplicaciones. |
Seguridad de autenticación | |
---|---|
Opciones de autenticación | En la Nube, ofrecemos el inicio de sesión en eLab. En la nube privada, ofrecemos la posibilidad de utilizar el inicio de sesión único (SSO) con Active Directory (AD/LDAP/AD FS). |
Inicio de sesión único (SSO) | eLabJournal y eLabInventory permiten la autenticación mediante Single sign-on (SSO). Esto es posible a través de AD, ADFS, SAML LDAP y SURFconext dependiendo de la opción de alojamiento. |
Autenticación de dos factores (2FA) | Con la verificación en dos pasos, se puede obligar a los usuarios a iniciar sesión con un código de verificación en dos pasos además de su contraseña. El código de verificación en dos pasos es generado por su dispositivo móvil. La verificación en dos pasos proporciona una segunda capa de seguridad a su cuenta, lo que hace más difícil que otra persona inicie sesión como usted. |
Almacenamiento seguro de credenciales | Bio-ITech se adhiere a todas las mejores prácticas para almacenar las contraseñas de los usuarios. Las contraseñas nunca se almacenan en un formato legible por humanos y sólo se almacenan como un hash seguro, salado y unidireccional. |
Seguridad y autenticación de API | La eLabAPI es sólo SSL y usted debe ser un usuario verificado para realizar solicitudes a la API. Siempre debe autorizarse con su nombre de usuario y contraseña o con un token de API para acceder a los datos a través de la API. |
Elementos de seguridad adicionales | |
Privilegios de acceso y funciones | Los productos eLabNext admiten diferentes roles de sistema para permitir el control total del sistema por parte de un administrador de sistemas informáticos y usuarios clave de organización. Además de su papel como usuario, su nivel de acceso puede ser promovido para permitir el control total del sistema en todo el sistema, o por organización dentro del sistema, dependiendo de la solución de alojamiento. |
Funciones y permisos de los usuarios | eLabJournal y eLabInventory admiten una lista completa de permisos que pueden activarse o desactivarse por usuario. El acceso a los datos dentro de eLabJournal puede ser estrictamente controlado. Los permisos pueden configurarse para definir privilegios de acceso granulares y pueden ser establecidos por el administrador del grupo. |
Restricciones IP | En la Nube Privada, puede optar por activar la restricción de IP para que la aplicación sólo sea accesible en rangos específicos de direcciones IP. Estas restricciones son aplicables a todos los usuarios y datos almacenados en la aplicación. |
Cumplimiento de las normas de seguridad | |
---|---|
ISO 27001:2013 | Bio-ITech cuenta con la certificación ISO 27001 desde 2016. |
Conformidad con el GDPR | Bio-ITech cumple los requisitos del Reglamento General de Protección de Datos de la UE. En las instalaciones de sistemas dedicados, puede aplicarse una política de privacidad del sistema que bloquee al usuario final para que no pueda añadir datos personales a su perfil. |
Conformidad con 21 CFR 11 | eLabJournal y eLabInventory cumplen con el Título 21 CFR Parte 11 del Código de Regulaciones Federales, regulaciones sobre registros y firmas electrónicas establecidas por la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA). |
FedRAMP | Bio-ITech cumple la normativa, pero aún no certificadocon el Programa Federal de Gestión de Riesgos y Autorizaciones, un programa de cumplimiento para todo el gobierno de los Estados Unidos que establece un enfoque normalizado para los productos y servicios en la nube en cuanto a su planteamiento de la autorización, la evaluación de la seguridad y la supervisión continua. |
Concienciación sobre seguridad | |
---|---|
Políticas | Bio-ITech maneja estrictas políticas de seguridad que cubren una serie de temas. Estas políticas se ponen a disposición de todo el personal y contratistas que tienen acceso a información de Bio-ITech o de sus clientes. |
Formación | Todos los empleados siguen una exhaustiva formación de concienciación sobre seguridad después de su contratación para maximizar la alerta en materia de seguridad. Además, todos los ingenieros de software reciben una formación anual sobre Buenas Prácticas de Codificación en la que la seguridad es uno de los temas principales. |
Investigación de empleados | |
Verificación de antecedentes | Durante el proceso de contratación, se realiza un examen exhaustivo de los antecedentes educativos y profesionales de todos los empleados potenciales. Todos los nuevos empleados se someten a un procedimiento formal de selección gubernamental que incluye una comprobación de antecedentes penales durante su periodo de prueba. |
Acuerdos de confidencialidad | Todos los contratos de los empleados contienen un acuerdo de confidencialidad y no divulgación. |
Para cualquier pregunta sobre nuestras medidas de seguridad o si está interesado en una declaración de terceros sobre nuestra gestión de la seguridad de la información