Ir al contenido principal

Seguridad en Fin

Aprende cómo protegemos los datos de los clientes con prácticas de seguridad sólidas.

Escrito por Beth-Ann Sher

Mantener seguros los datos de nuestros clientes es lo más importante que hace Fin. Nos esforzamos considerablemente para garantizar que todos los datos enviados a Fin se manejen de forma segura; mantener Fin seguro es fundamental para la naturaleza de nuestro negocio.

Queremos compartir algunos detalles de lo que hacemos para mantener la seguridad y parte del trabajo que realizamos para mejorar continuamente la seguridad de tus datos. Este documento está vivo y lo actualizaremos de vez en cuando.

También puede interesarte revisar nuestros Términos de Uso y Política de Privacidad. Para cualquier pregunta o para acceder a la documentación de cumplimiento, visita nuestro Trust Center. También puedes contactarnos en security@intercom.io si es necesario.

Nuestro equipo tiene experiencia relevante

Nuestro equipo incluye personas que han desempeñado roles principales en el diseño, construcción y operación de sistemas altamente seguros orientados a Internet, como plataformas de procesamiento de pagos, servicios en la nube y redes de distribución de contenido en empresas como Amazon y Facebook. También contamos con personas que han creado exitosamente varias startups desde cero y otras que han trabajado en negocios de Internet más pequeños y bien establecidos.

Hospedamos en instalaciones de clase mundial

La gran mayoría de nuestros servicios y datos se alojan en las instalaciones de Amazon Web Services en EE. UU. Más detalles sobre las considerables medidas que Amazon toma para asegurar sus instalaciones y servicios se pueden encontrar aquí.

Seguimos las mejores prácticas

En Fin seguimos varias mejores prácticas que mejoran nuestra postura de seguridad.

Aquí algunos ejemplos:

  • Contamos con automatización confiable y frecuentemente usada para implementar cambios de forma segura y confiable tanto en nuestra aplicación como en la plataforma operativa en minutos. Normalmente desplegamos docenas de veces al día, por lo que tenemos alta confianza en poder lanzar una solución de seguridad rápidamente cuando sea necesario.

  • Todos los datos enviados a nosotros están cifrados en tránsito. Nuestros endpoints de API y aplicación son solo TLS/SSL y obtienen una calificación "A+" en las pruebas de SSL Labs, lo que significa que solo usamos suites de cifrado fuertes y tenemos características como HSTS y Perfect Forward Secrecy completamente habilitadas. También ciframos los datos en reposo.

  • Regularmente trabajamos con auditores externos reconocidos para auditar nuestro código e infraestructura, y colaboramos con ellos para resolver posibles problemas.

  • Nuestra infraestructura se gestiona como código con Terraform. Usamos tecnologías como Elasticsearch, AWS CloudTrail y PantherLabs para proporcionar una pista de auditoría sobre nuestra infraestructura y el producto Intercom. La auditoría nos permite hacer análisis de seguridad ad-hoc, rastrear cambios en nuestra configuración y auditar el acceso a cada capa de nuestra pila.

  • Usamos autenticación de dos factores siempre que es posible. Pedimos a los proveedores que exijan autenticación de dos factores en todas nuestras cuentas. Desalentamos el uso de cuentas compartidas en cualquier sistema; cuando no tenemos opción, usamos 1Password para compartir inicios de sesión de forma segura. Revisamos regularmente qué cuentas pueden acceder a nuestros sistemas y los permisos que tienen.

  • No confiamos en nuestra red corporativa; no tiene puertas traseras hacia nuestros sistemas de producción.

  • Contamos con un plan documentado de respuesta a incidentes y educamos a todo el personal sobre procedimientos y políticas de seguridad.

  • Pruebas de penetración externas dos veces al año realizadas por socios externos dedicados a la seguridad.

  • Realizamos escaneos continuos en nuestras principales propiedades web usando Detectify.

  • Cualquier cambio en el código ha sido revisado por pares y se prueba automáticamente como parte de nuestro proceso CI/CD para identificar regresiones o fallas de seguridad mediante análisis estático.

  • Ejecutamos un programa público de recompensas por bugs con Bugcrowd.

  • Más detalles están disponibles en nuestra página de Seguridad y en nuestro Trust Center.

Seguridad del producto: cómo asegurar tu espacio de trabajo

La seguridad es una responsabilidad compartida. Debes habilitar las siguientes funciones de seguridad del producto para mejorar la seguridad de tu espacio de trabajo.

Asegura tu espacio de trabajo

Estas funciones te ayudan a asegurar tu espacio de trabajo y proteger tus datos.

  1. ⭐ Usa 2FA, Google Sign-On o SAML SSO para proteger tu cuenta y deshabilitar inicios de sesión con nombre de usuario/contraseña, para reducir el riesgo de ataques de phishing. Esto es muy recomendable.

  2. Controles de acceso basados en roles: establece roles y permisos para restringir el acceso a datos y funciones sensibles.

  3. Lista blanca de IP: restringe el acceso al espacio de trabajo a direcciones IP específicas.

  4. Duración personalizada de sesión: controla cuánto tiempo los compañeros permanecen autenticados estableciendo duraciones personalizadas de sesión.

  5. Registros de actividad de compañeros: monitorea y audita acciones importantes realizadas por compañeros en tu espacio de trabajo.

  6. Seguridad de enlaces: protege a los compañeros de acceder a enlaces maliciosos habilitando advertencias de enlaces y creando políticas para gestionar enlaces y dominios en tu espacio de trabajo.

  7. Redacción de PAN: detecta y redacta automáticamente números de tarjetas de pago (PAN) en las conversaciones.

  8. Seguridad de archivos adjuntos: controla cómo se usan los archivos adjuntos en tu espacio de trabajo.

Asegura tu Messenger

Estas funciones protegen tu instalación de Messenger y ayudan a asegurar las comunicaciones con tus clientes.

  1. Asegura tu Messenger con JWTs: evita que actores malintencionados se hagan pasar por tus usuarios finales, lean sus conversaciones o accedan sin autorización a los datos. Además, usar JWTs te permite verificar la identidad del usuario y proteger todos los atributos de datos que envías sobre ellos. Esto es muy recomendable.

  2. Agrega una lista de dominios confiables para asegurar que Messenger solo se cargue en dominios que posees y te importan.

  3. Deshabilita la creación de atributos vía Messenger para evitar que actores malintencionados inserten sus propios datos a través del navegador.

  4. Usa el método de cierre de sesión de JavaScript para finalizar una sesión de usuario cuando cierre sesión en tu aplicación.

Puedes aprender más sobre estas funciones en las secciones de Seguridad y Privacidad y Seguridad de Messenger de nuestro Help Center.

No almacenamos detalles de pago

Fin no se dedica a almacenar o procesar pagos. Todos los pagos realizados a Fin se hacen a través de nuestro socio, Stripe. Los detalles sobre su configuración de seguridad y cumplimiento PCI se pueden encontrar en la página de seguridad de Stripe.

¡He encontrado un bug de seguridad!

Si has encontrado una vulnerabilidad de seguridad que deseas reportar, puedes hacerlo a través de nuestro programa público de recompensas por bugs en Bugcrowd. Si está dentro del alcance, podrías ser elegible para una recompensa. No aceptamos envíos de bugs por correo electrónico; por favor, solo envíalos a través de Bugcrowd.

Si eres un cliente preocupado por la seguridad de tu propio espacio de trabajo, contacta a security@intercom.io o comunícate con el equipo de CS en Messenger.

Artículos relacionados
Proporcione un contacto de seguridad para su espacio de trabajo
Migrar de la Verificación de Identidad a la Seguridad de Messenger con JWTs
Asegurando los datos que envías a través del Messenger
Visibilidad del historial de conversación de usuarios
¿Ha quedado contestada tu pregunta?