Seguridad de la cuenta
Confirm utiliza Auth0 para la autenticación. Auth0 es una plataforma de gestión de identidades que permite a los usuarios autenticarse rápidamente utilizando sus cuentas de Google, LinkedIn, Facebook u otras. Auth0 cuenta con las certificaciones ISO27001, ISO27018, SOC 2 Tipo II, HIPAA BAA, EU-US Privacy Shield Framework, Gold CSA STAR y PCI DSS. Puede leer más sobre la seguridad de Auth0 en su resumen de seguridad.
Dado que Confirm utiliza Auth0 para la autenticación, no recibimos ni almacenamos su contraseña cuando crea una cuenta en nuestra plataforma.
Seguridad operativa
Todos los empleados de Confirm pasan una rigurosa verificación de antecedentes como condición de empleo. Todas las cuentas del personal de Confirm están protegidas por autenticación de dos factores. Todos los ordenadores del personal tienen activado el cifrado de disco completo. Todas las cuentas de correo electrónico del personal están protegidas con autenticación de dos factores.
Seguridad técnica y de datos
Confirm mantiene una seguridad digital de nivel bancario mediante cifrado SSL de 256 bits. Esto incluye grapado OCSP y seguridad de transporte HTTP estricta.
Utilizamos Amazon Web Services (AWS) para alojar nuestros servidores y datos. AWS dispone de un conjunto de certificados de conformidad para sus centros de datos, entre los que se incluye la plena conformidad con SSAE 16 (SOC 1, SOC 2 y SOC 3). Nuestras instancias de servidor se alojan en una nube privada virtual, utilizando únicamente centros de datos ubicados en Estados Unidos. Todos los accesos directos a nuestros sistemas de producción están protegidos mediante cifrado de clave pública y autenticación de dos factores.
Nuestros archivos, incluidos los que usted sube, están alojados en el servicio de almacenamiento de AWS. Los archivos se cifran con AES-256 y se realizan copias de seguridad en Estados Unidos. Todas las bases de datos se almacenan en sistemas de archivos cifrados en reposo mediante cifrado AES-256 con claves privadas que se rotan al menos una vez al año. Todas las consultas y el tráfico de la base de datos se realizan únicamente a través de conexiones seguras SSL.
El sitio web de Confirm sólo se sirve a través de SSL para mantener el tráfico del sitio web seguro, y los protocolos inseguros como SSL 2 y SSL 3 no están habilitados. Confirm utiliza CloudFlare para protegerse contra la denegación de servicio y otros vectores de ataque comunes.
Seguridad financiera
Confirm utiliza Stripe para las transacciones con tarjeta de crédito. Cuando realizas una compra en el sitio web de Confirm, Stripe almacena la información real de la tarjeta de crédito; Confirm no tiene acceso a los números de las tarjetas de crédito. Puedes obtener más información sobre la seguridad de Stripe y el cumplimiento de la normativa PCI en su resumen de seguridad.
Experiencia técnica
Confirm cuenta con ingenieros que han trabajado en otros ámbitos en los que la seguridad y la disponibilidad son críticas, como la sanidad y la tecnología financiera. Todos los cambios técnicos y de software se someten a un proceso de revisión por pares y a un conjunto de pruebas de aceptación automatizadas.
Opciones de asistencia
Confirm se esfuerza por ser lo más accesible posible en lo que respecta a la asistencia al cliente. Puede ponerse en contacto con nosotros en cualquier momento en [email protected].
Divulgación responsable
Si crees que has descubierto una vulnerabilidad en Confirm, o eres un investigador de seguridad interesado en este espacio, ponte en contacto con nosotros en [email protected]. Incluye tantos detalles como sea posible, incluidos los pasos a repetir o las pruebas.