Seguridad de datos y privacidad

Seguridad

Aplicamos un enfoque multicapa de mejores prácticas para proteger nuestra plataforma y la información de su negocio

Infraestructura de la nube

Nuestra selección de Google Cloud Platform (GCP) como nuestro proveedor de nube ofrece varios beneficios de seguridad para los datos de nuestros clientes:

Seguridad física: Los centros de datos de Google implementan medidas de seguridad física líderes en la industria, que incluyen acceso restringido, videovigilancia y sistemas avanzados de detección de intrusos. Estas medidas están rigurosamente auditadas y cumplen con estándares reconocidos internacionalmente como ISO 27001 para seguridad física.

Recopilación de datos: Google Cloud utiliza cifrado transparente de forma predeterminada, cifrando datos en reposo y en tránsito con algoritmos estándar de la industria como AES-256. Además, Google Key Management Service (KMS) proporciona control centralizado sobre las claves de cifrado, siguiendo las mejores prácticas para la rotación de claves y el control de acceso.

Cumplimiento: Google Cloud se somete a rigurosas auditorías independientes para garantizar el cumplimiento de diversos estándares y regulaciones de la industria, incluidos ISO 27001, SOC 2, HIPAA y PCI DSS. Esta verificación independiente brinda garantía adicional a nuestros clientes con respecto a la postura de seguridad de la infraestructura en la nube de Google.

Gestión de acceso e identidad del cliente (IAM): Google Cloud IAM proporciona controles de acceso granulares a los recursos, lo que garantiza el cumplimiento del principio de privilegio mínimo. Los clientes pueden definir roles y permisos según sus necesidades específicas, alineándose con la Política de administración de acceso e identidad de Google.

Seguridad de la red: La red privada de Google ofrece una ruta segura para sus datos, protegida por las medidas de seguridad físicas y operativas de Google.

Cifrado de archivos y bases de datos

Todos los datos de los clientes, incluidos archivos y bases de datos, se cifran en reposo y en tránsito mediante sólidos algoritmos de cifrado.

Gestión de pruebas. Para garantizar el máximo control y soberanía de los datos, aprovechamos la gestión de claves externas (EKM). Esto significa que las claves de cifrado utilizadas para proteger sus datos residen en un sistema seguro e independiente que usted controla, no dentro de la infraestructura de nuestro proveedor de nube. Este enfoque protege contra el acceso no autorizado, incluso por mandatos legales de determinadas jurisdicciones.

Beneficios:

  • Seguridad de datos mejorada: El cifrado hace que sus datos sean ilegibles sin las claves de descifrado, lo que refuerza significativamente su protección contra accesos no autorizados o infracciones.
  • Soberanía de datos: Dado que usted controla las claves de cifrado, sus datos permanecen sujetos a sus requisitos regulatorios y de control, incluso si se encuentran en centros de datos geográficamente distintos.
  • Política de privacidad: La gestión de claves externa protege sus datos contra una posible divulgación forzada, garantizando que permanezcan bajo su control.

Copias de seguridad

Priorizamos la seguridad de los datos y el tiempo de actividad a través de una sólida estrategia de respaldo y recuperación ante desastres.

  • Almacenamiento de archivos en la nube: Aprovechamos el almacenamiento en la nube redundante y distribuido geográficamente para garantizar que sus datos se repliquen automáticamente en múltiples centros de datos. Esto minimiza el riesgo de pérdida de datos debido a fallas de hardware o interrupciones regionales.
  • Copias de seguridad continuas de bases de datos: Empleamos un proceso continuo de copia de seguridad de la base de datos, capturando cambios en tiempo real. Esto garantiza una pérdida mínima de datos en caso de una falla del sistema y nos permite restaurar rápidamente sus datos al estado más reciente.
  • Almacenamiento de copia de seguridad seguro: Almacenamos copias de seguridad de forma segura en centros de datos geográficamente separados, mitigando aún más el impacto de eventos imprevistos como desastres naturales o interrupciones localizadas.
  • Plan de recuperación en un desastre: Mantenemos un plan integral de recuperación ante desastres que describe los procedimientos para una rápida restauración de nuestra plataforma y sus datos en caso de un incidente importante.

Pila de software

Priorizamos un ciclo de vida de desarrollo seguro mediante el uso de pilas de software de código abierto. Este enfoque nos permite:

  • Manténgase por delante de las amenazas: El software de código abierto se beneficia de la experiencia colectiva de una amplia comunidad de desarrolladores. El escrutinio constante por parte de los desarrolladores ayuda a identificar y abordar las vulnerabilidades rápidamente, manteniendo nuestra plataforma protegida contra amenazas emergentes.
  • La transparencia es clave: La naturaleza abierta del código permite verificaciones y auditorías de seguridad independientes. Esta transparencia fomenta la confianza en la postura de seguridad de nuestra plataforma.
  • Integrate Best Practices: Las bibliotecas y marcos de seguridad de código abierto abordan fácilmente problemas de seguridad comunes, como secuencias de comandos entre sitios (XSS), falsificación de solicitudes entre sitios (CSRF), inyección SQL, clickjacking, validación de encabezados de host y seguridad de sesión. Estas soluciones integradas agilizan el desarrollo y al mismo tiempo refuerzan una postura de seguridad sólida.

Pruebas de seguridad

Para demostrar un alto nivel de seguridad, nos comprometemos a realizar una prueba de penetración externa de terceros al menos una vez al año.

Estas pruebas las realizan expertos independientes en piratería ética que simulan escenarios de ataques del mundo real. Este enfoque proactivo nos ayuda a identificar y abordar las vulnerabilidades antes de que puedan ser explotadas por actores maliciosos.

Privado

Residencia de datos

Control de datos mejorado y cumplimiento normativo para clientes europeos.

  • Residencia de datos en Francia: Priorizamos la seguridad y la soberanía de sus datos almacenándolos exclusivamente en centros de datos ubicados dentro de Francia. Esta restricción geográfica se alinea con las estrictas regulaciones europeas de privacidad de datos, como el GDPR, lo que garantiza que sus datos permanezcan sujetos a su control y requisitos regulatorios.
  • Cifrado de clave externa: Para obtener una capa adicional de seguridad y control, aprovechamos la administración de claves externas (EKM). Esto significa que las claves de cifrado utilizadas para proteger sus datos residen en un sistema seguro e independiente que usted controla, no dentro de nuestros centros de datos. Incluso con los datos almacenados en Francia, EKM le permite mantener un control completo de sus datos.

Cumplimiento del RGPD

INGREEN AI está firmemente comprometido a proteger la privacidad de sus datos y cumplir con el Reglamento General de Protección de Datos (GDPR). Entendemos que usted tiene control sobre su información personal y le facultamos para ejercer sus derechos según el RGPD.

Más detalles en https://fingreen.ai/privacy

Puede ponerse en contacto con nuestro Delegado de Protección de Datos (DPO) en privacidad@fingreen.ai, para ejercer estos derechos.

Control de acceso y gobernancia

Nuestra plataforma le permite gestionar el acceso a los datos con una granularidad excepcional. Puede definir distintos derechos de acceso para usuarios individuales dentro del portal, asegurando que solo el personal autorizado tenga acceso a conjuntos de datos específicos. Este control granular minimiza el riesgo de acceso no autorizado y filtraciones de datos, fomentando un entorno más seguro para su valiosa información.

IA y LLM

FINGREEN AI utiliza servicios LLM proporcionados en la nube. Para garantizar la privacidad de los datos de nuestros clientes, durante el uso de LLM de terceros, estas son nuestras prácticas.

Controles de acceso de usuarios:

  • Nuestros proveedores de nube tienen sólidas prácticas de privacidad de LLM. No utilizamos proveedores que entrenan sus modelos utilizando datos proporcionados por el cliente. Esto garantiza que los datos de los clientes no se "filtren" en las respuestas públicas de LLM.
  • Implementamos controles de acceso para restringir quién puede ver los resultados generados por el LLM. Esto garantiza que solo el personal autorizado vea información potencialmente confidencial.

Monitoreo y Auditoría:

  • Realizamos un seguimiento de cómo se utilizan sus datos dentro del LLM. Esto ayuda a identificar posibles riesgos de privacidad o uso indebido de sus datos.
  • Realizamos auditorías periódicas de las prácticas de seguridad LLM de su proveedor de nube para garantizar que cumplan con sus requisitos de privacidad de datos.