Información de seguridad de ShareFile
ShareFile almacena sus archivos en centros de datos seguros y auditados según SSAE 16. Nuestra granja de servidores administrada de forma privada está equipada con los últimos firewalls y actualizaciones de seguridad de Internet para ayudar a mantener sus datos completamente seguros, y las medidas de seguridad física, desde escáneres de huellas dactilares hasta exteriores a prueba de balística, protegen contra robos y desastres naturales.
Cifrado
El cifrado es un método para transformar datos durante la transferencia o el almacenamiento de modo que requieran permiso para acceder a ellos. Los datos se transforman mediante un algoritmo que genera una clave de descifrado que debe utilizarse para abrir los datos. Al transferir archivos confidenciales, es importante utilizar cifrado para garantizar que ninguna fuente externa pueda leer los datos contenidos en los archivos. Todas las transferencias de archivos a través del servicio ShareFile están encriptadas mediante SSL de 256 bits (Secure Sockets Layer). Esta es la misma seguridad que utilizan los bancos y muchos sitios de comercio electrónico como Amazon.com. SSL funciona estableciendo una conexión privada y cada extremo de la conexión se autentica antes de que comience la transferencia.
Los datos que viajan entre estos puntos finales solo pueden ser descifrados por el destinatario previsto mediante claves de descifrado únicas. Los archivos cargados en los servidores de ShareFile se guardan con cifrado AES de 256 bits. Cada archivo guardado en nuestro sistema tiene una clave de cifrado única. Cuando se carga un archivo, se cifra antes de copiarse a su ubicación de almacenamiento permanente. Los archivos descargados se descifran antes de enviar su contenido a su navegador. Las claves de cifrado de archivos no se almacenan en el mismo servidor que los propios archivos, lo que garantiza que alguien con acceso físico a nuestros servidores de almacenamiento no tenga acceso a los archivos contenidos en sus discos duros.
Cargas y descargas seguras
Los archivos se cargan y descargan entre el usuario final y el nivel de almacenamiento directamente a través de un segmento cifrado de capa de sockets seguros (SSL) o seguridad de la capa de transporte (TLS) utilizando cifrado de alto grado. ShareFile admite TLS 1.2. Se trata de los mismos protocolos y algoritmos de cifrado que utilizan los servicios de comercio electrónico y la banca en línea.
En los planes Estándar, Avanzado, Premium y VDR, los archivos se almacenan en reposo utilizando el Estándar de cifrado avanzado (AES) con una clave de 256 bits. Todos los archivos cargados que no estén cifrados previamente en Internet, sino cifrados por el usuario final antes de la carga, se analizan en busca de malware conocido, incluidos virus, troyanos y gusanos. Los archivos que reflejan una firma de malware conocida se marcan con una X roja y los usuarios finales reciben posteriormente una advertencia y un aviso antes de descargar un archivo sospechoso. Los administradores pueden solicitar al Soporte Técnico que habilite preferencias de cuenta adicionales que impidan que los usuarios finales descarguen un archivo sospechoso, así como establecer preferencias que impidan la descarga de un archivo hasta que haya sido escaneado. Sin embargo, tenga en cuenta que estas opciones más estrictas pueden afectar la usabilidad general del servicio ShareFile.
Acceso seguro de usuarios
A cada usuario de una cuenta se le asigna un nombre de usuario y una contraseña únicos para iniciar sesión. Las contraseñas están cifradas de modo que ni siquiera los empleados de ShareFile pueden acceder a esta información. Si un usuario ingresa una contraseña incorrecta cinco veces seguidas, el sistema bloqueará esa cuenta de usuario durante cinco minutos antes de que pueda iniciar sesión nuevamente. Los usuarios de la cuenta ShareFile solo verán las carpetas en las que se les hayan otorgado permisos y estén incluidas en la lista de Acceso a carpetas. Las carpetas para las que no se les hayan otorgado permisos serán invisibles para ellos en la vista de carpetas y en cualquier informe al que puedan acceder. De forma predeterminada, los usuarios del cliente no tienen acceso a la información sobre otros usuarios de la cuenta. Toda la actividad de una cuenta se registra y está disponible para los usuarios empleados que tienen acceso a la sección Informes. Los informes pueden incluir actividades (como inicios de sesión, descargas, eliminaciones, etc.), contenidos de almacenamiento y auditorías de acceso de usuarios. La política de guardar datos con más de 90 días de antigüedad para las cuentas Corporate y Corporate Gold se implementó en el otoño de 2009. Es posible que la actividad anterior a esta hora no esté disponible.
Autenticación de ShareFile Al iniciar sesión en la aplicación web ShareFile, proporciona su dirección de correo electrónico y contraseña en la página de inicio de su cuenta. Después de un período de tiempo, su sesión caducará y se le solicitará que inicie sesión nuevamente. Los clientes de ShareFile Enterprise pueden optar por integrarse con Active Directory y redirigir este proceso de inicio de sesión. Las aplicaciones creadas con la API de ShareFile (aplicaciones de escritorio de ShareFile, aplicaciones móviles de ShareFile y aplicaciones de terceros) no pueden capturar ni almacenar las credenciales del usuario y, por lo general, solo necesitan acceso limitado, por lo que la API de ShareFile aprovecha un protocolo estándar de la industria llamado oAuth 2.0.
Según el sitio de la comunidad oAuth, oAuth es “un protocolo abierto que permite la autorización segura de forma sencilla y segura desde aplicaciones web, móviles y de escritorio”. Para obtener más información sobre oAuth, consulte el sitio de la comunidad y la especificación IETF. ShareFile almacena un token oAuth en lugar de sus credenciales y luego usa ese token para acceder a la API de ShareFile en lugar de sus credenciales. Esto permite que una herramienta como ShareFile Sync se ejecute en segundo plano manteniendo todos sus archivos sincronizados sin necesidad de solicitarle una contraseña cada vez que se realiza un cambio. Este token tiene acceso limitado únicamente a ShareFile, por lo que representa un riesgo de seguridad menor que almacenar sus credenciales. La forma en que funciona la autenticación con tokens oAuth es que ShareFile primero le solicita su dirección de correo electrónico y contraseña mediante un formulario web seguro similar al que se utiliza cuando inicia sesión en la aplicación web.
Si utiliza la integración de AD, lo redirigiremos al IdP configurado para la autenticación inicial. Una vez que se haya autenticado exitosamente, el formulario web seguro proporciona a la aplicación un token oAuth que se almacena de forma segura en la aplicación. Todo acceso posterior se realiza utilizando este token. No se le solicitarán nuevamente sus credenciales hasta que el token expire. Los administradores de ShareFile pueden configurar la fecha de vencimiento de este token en Preferencias avanzadas. Si pierde el acceso al dispositivo donde se instaló la aplicación ShareFile, puede caducar manualmente el token oAuth en la aplicación web ShareFile en Mi configuración. Los administradores también pueden hacer caducar un token oAuth en nombre de un usuario en la página de perfil de ese usuario en Administrar usuarios. Deshabilitar un usuario también hará que caducarán todos los tokens de ese usuario. Dado que estos tokens actúan como reemplazo de su contraseña, no están vinculados a la política de expiración de contraseña (ni dentro de ShareFile ni a la expiración de contraseña de AD). No necesitarás volver a autenticarte con una herramienta cuando cambies tu contraseña, sino solo cuando expire el token oAuth.
Servidores y almacenamiento
Las cuentas de ShareFile se almacenan en servidores mantenidos por Amazon Web Services en varias ubicaciones alrededor del mundo. Los datos de una cuenta generalmente se almacenan en la ubicación del servidor geográficamente más cercana al administrador. Todos los centros de datos que contienen servidores ShareFile cuentan con la certificación SSAE 16, lo que demuestra que cumplen altos estándares de seguridad. El acceso físico está estrictamente controlado y se requiere una doble verificación para proceder a cualquier área que contenga datos. Nuestros servidores están protegidos por firewall y se actualizan periódicamente para garantizar que estén instalados todos los últimos parches y actualizaciones de seguridad.
ShareFile ha establecido procedimientos operativos para mantener la disponibilidad del sistema y de los datos de los usuarios, según corresponda y se haya acordado con los usuarios. Los procedimientos de ShareFile tienen en cuenta las necesidades de capacidad del sistema, las amenazas físicas y ambientales a los recursos del sistema y los plazos de recuperación necesarios para mantener los niveles de servicio. Los servidores en el plano de control están configurados para alta disponibilidad. Las bases de datos conmutan automáticamente a un nodo secundario en el sitio y los datos se replican en un sitio de recuperación ante desastres segregado geográficamente. Se monitorean y abordan los retrasos en la replicación para cumplir con los objetivos del punto de recuperación. Para las StorageZones administradas por ShareFile, la infraestructura de almacenamiento está alojada con AWS y Microsoft Azure y la disponibilidad es monitoreada en tiempo real por el grupo de operaciones de red. Los clientes que administran sus propias StorageZones son responsables de la disponibilidad, la planificación de la capacidad y la recuperación ante desastres de los datos cargados en estas StorageZones.
ShareFile está certificado y admite los siguientes estándares de control de datos:
- SOC2
- ISO 27001
- ISO 27701
- HIPAA
- PCI DSSv3.2.1
Políticas de la empresa ShareFile
Todos los empleados de ShareFile se someten a verificaciones de antecedentes completas y firman nuestro manual antes de comenzar a trabajar en la empresa. El manual incluye un acuerdo para mantener la privacidad y seguridad de la información de la cuenta. La información de la cuenta y las funciones de soporte son accesibles únicamente desde la dirección IP de las oficinas físicas de ShareFile. La política de la empresa prohíbe a los empleados acceder a cuentas o datos de clientes, excepto cuando un administrador de cuenta les haya otorgado permiso expreso para fines de soporte. Cualquier inicio de sesión o actividad del soporte de ShareFile se registrará en los informes de actividad de la cuenta y estará disponible para que lo revisen los administradores de la cuenta.
Servidores de almacenamiento en la nube de ShareFile Para cargar o descargar desde una cuenta de ShareFile, debe acceder a los datos alojados en el almacenamiento en la nube de ShareFile. Si recibe un error al conectarse a ShareFile, comuníquese con el soporte técnico de su empresa.
Conexiones de red utilizadas por ShareFile ShareFile separa el tráfico de la aplicación de las cargas y descargas de archivos. Las aplicaciones cliente de ShareFile requieren acceso a la aplicación SaaS ShareFile.com, así como acceso a la ubicación de almacenamiento de su cuenta. La aplicación SaaS está alojada por ShareFile y se accede a ella mediante una URL específica del cliente, como company.sharefile.com o company.sharefile.eu. La configuración de la cuenta de usuario, la lógica empresarial y los metadatos de los archivos son manejados por la aplicación SaaS; no se almacenan archivos dentro del nivel de la aplicación SaaS.
Los servicios de almacenamiento de datos (conocidos como StorageZones) pueden ser administrados por ShareFile o alojados y administrados por los clientes. Los archivos se almacenan de forma segura dentro del nivel de almacenamiento de datos y solo pueden acceder a ellos los clientes que se hayan autenticado en el nivel de aplicación SaaS. La aplicación ShareFile SaaS autoriza operaciones de archivos entre usuarios autenticados y el servicio de almacenamiento de datos apropiado.
Los usuarios deben autenticarse para poder utilizar ShareFile. La autenticación puede ser realizada por la aplicación ShareFile SaaS o diferida a un proveedor de identidad empresarial de terceros mediante SAML. En este artículo asumimos que SAML se utiliza para la autenticación empresarial. Para respaldar las cuentas que utilizan zonas de almacenamiento administradas por ShareFile, ShareFile administra una variedad de servidores de almacenamiento que se ejecutan en la infraestructura de nube pública de Amazon o Azure. La lista de servidores de nube pública utilizados para StorageZones administrados por ShareFile varía según la ubicación de su cuenta, los requisitos de escalabilidad y otros factores, y está sujeta a cambios. Después de autenticarse exitosamente con la aplicación SaaS, el cliente cargaría y descargaría archivos de uno de los servidores.
Cómo informar sobre una vulnerabilidad de seguridad del producto
Si cree que ha descubierto una posible vulnerabilidad de seguridad relacionada con ShareFile, envíe su informe de vulnerabilidad por correo electrónico a asksecurity@sharefile.com.
Para consultas sobre la privacidad de su información o inquietudes sobre notificaciones por correo electrónico ilegítimas o intentos de estafa/phishing, comuníquese con ShareFile por correo electrónico a privacy@sharefile.com. Para comunicarse con nuestro departamento de Atención al cliente global, puede enviar solicitudes directamente visitando nuestro Centro de ayuda de ShareFile.