El completo marco de cumplimiento de MyQ X demuestra su compromiso con el cumplimiento de los más altos estándares internacionales de seguridad y requisitos normativos. Este enfoque multicapa garantiza que las organizaciones puedan implementar MyQ X con confianza, al tiempo que satisfacen los diversos requisitos de cumplimiento normativo de los distintos sectores y jurisdicciones.
Certificación e implementación de la norma ISO 27001:2022
MyQ ha obtenido la certificación ISO/IEC 27001:2022, lo que establece un enfoque sistemático para la gestión de la seguridad de la información que cumple con las mejores prácticas internacionales. La implementación abarca:
Marco de gestión de riesgos: procesos exhaustivos de evaluación de riesgos que identifican, evalúan y mitigan los riesgos de seguridad de la información en todas las operaciones comerciales y las implementaciones de los clientes.
Implementación de controles de seguridad: implementación estructurada de controles de seguridad técnicos, administrativos y físicos que protegen los activos de información a lo largo de su ciclo de vida.
Proceso de mejora continua: revisiones y actualizaciones periódicas de las políticas, procedimientos y controles de seguridad para hacer frente a las amenazas en constante evolución y mantener el cumplimiento de la certificación.
Compromiso de la dirección: supervisión a nivel ejecutivo que garantiza que la seguridad siga estando integrada en la estrategia empresarial y en los procesos de toma de decisiones operativas.
La certificación valida el enfoque sistemático de MyQ para proteger los datos de los clientes y mantener la confidencialidad, integridad y disponibilidad de los sistemas de información.
Marco de cumplimiento del RGPD y medidas de protección de datos
MyQ X implementa un cumplimiento integral del RGPD a través de principios de privacidad desde el diseño integrados en toda la arquitectura del sistema:
Minimización de datos: el sistema recopila solo los metadatos esenciales necesarios para el funcionamiento operativo, evitando el procesamiento innecesario de datos personales que podría aumentar los riesgos de cumplimiento.
Gestión de los derechos de los usuarios: implementación completa de los derechos de los usuarios del RGPD, incluyendo:
-
Derecho de acceso a los datos personales
-
Derecho a la rectificación de la información inexacta
-
Derecho de supresión («derecho al olvido»)
-
Derecho a la portabilidad de los datos
-
Derecho a restringir el tratamiento
Evaluaciones de impacto en materia de protección de datos: evaluación sistemática de los riesgos para la privacidad de las nuevas funciones y despliegues, garantizando el cumplimiento del RGPD a lo largo de la evolución del sistema.
Requisitos de cumplimiento regionales (HIPAA, SOX)
MyQ X es compatible con marcos de cumplimiento específicos del sector mediante sólidas capacidades de protección de datos y auditoría:
Cumplimiento de la HIPAA para el sector sanitario:
-
Cifrado de la información sanitaria protegida (PHI) en reposo y en tránsito.
-
Registro de auditoría completo de todos los accesos a datos sanitarios confidenciales.
-
Controles de acceso basados en roles que restringen el acceso a la PHI únicamente al personal autorizado.
-
Procedimientos seguros de copia de seguridad y recuperación para los requisitos de retención de datos sanitarios.
Cumplimiento de la ley SOX para servicios financieros:
-
Registros de auditoría detallados para el procesamiento y la impresión de documentos financieros.
-
Controles de acceso que impiden la modificación no autorizada de los registros financieros.
-
Funciones de archivo seguro que cumplen los requisitos normativos de conservación.
-
Segregación de funciones mediante permisos basados en roles y flujos de trabajo de aprobación.
Controles de seguridad adicionales:
-
Cifrado de bases de datos mediante algoritmos estándar del sector.
-
Protocolos de comunicación seguros para todas las transmisiones de datos.
-
Procedimientos de copia de seguridad automatizados con cifrado y verificación de integridad.
-
Registro y supervisión de accesos para la elaboración de informes de cumplimiento.
Prácticas seguras del ciclo de vida del desarrollo de software (SSDLC)
MyQ implementa un ciclo de vida de desarrollo de software seguro alineado con los estándares del sector y los requisitos de la cadena de suministro de SLSA, lo que garantiza que las prácticas de seguridad se integren en todas las fases del ciclo de vida del software.
Análisis
MyQ realiza un riguroso modelado de amenazas y define requisitos de seguridad claros durante la fase de análisis inicial, lo que permite identificar los riesgos de forma temprana y establecer una base de seguridad sólida antes de comenzar el diseño.
Diseño
Todas las propuestas arquitectónicas se someten a revisiones formales de la arquitectura de seguridad para validar el cumplimiento de principios como el privilegio mínimo, la confianza cero y la defensa en profundidad, lo que garantiza que la seguridad se incorpore de forma sistemática en el diseño del sistema.
Desarrollo
Los desarrolladores siguen prácticas de codificación segura y procesos de revisión por pares, mientras que todas las compilaciones se ejecutan en servidores de compilación dedicados y aislados que cumplen con SLSA, lo que garantiza la protección de la integridad del código fuente y los artefactos de compilación.
Pruebas
Las pruebas de seguridad incluyen SAST automatizado y escaneo de dependencias integrados en los procesos de CI, lo que permite la detección temprana de vulnerabilidades tanto en el código personalizado como en los componentes de terceros.
Implementación
Todos los artefactos de lanzamiento están protegidos mediante la firma de código y se verifican durante la implementación, lo que garantiza la integridad, la autenticidad y la entrega controlada en los entornos de producción.
Mantenimiento
Tras la implementación, los sistemas se someten a una supervisión continua y a una gestión estructurada de parches, lo que garantiza una alineación constante con las amenazas en constante evolución y las mejores prácticas de seguridad.
Auditorías de seguridad y pruebas de penetración periódicas
MyQ mantiene una sólida validación de la seguridad mediante programas sistemáticos de pruebas y evaluación:
Pruebas de penetración automatizadas: la integración con la plataforma de seguridad Qualys proporciona una evaluación continua de vulnerabilidades y pruebas de penetración para todas las versiones de software.
Evaluaciones de seguridad de terceros: auditorías de seguridad independientes realizadas por organizaciones externas cualificadas para validar los controles de seguridad e identificar posibles mejoras.
Revisiones de seguridad internas: evaluaciones internas periódicas de las políticas, procedimientos y controles técnicos de seguridad para garantizar su eficacia y cumplimiento continuos.
Proceso de respuesta a vulnerabilidades: procedimientos estructurados para abordar los problemas de seguridad identificados, incluidos los requisitos de plazos para el desarrollo y la implementación de parches.
Lista de materiales de software y gestión de vulnerabilidades
MyQ implementa una seguridad integral de la cadena de suministro mediante un seguimiento detallado de los componentes y la gestión de vulnerabilidades:
Publicación de la SBOM: documentación completa de la lista de materiales de software que identifica todos los componentes, bibliotecas y dependencias de terceros utilizados en los sistemas MyQ X.
Escaneo automatizado de vulnerabilidades: supervisión continua de las bases de datos de componentes para detectar nuevas vulnerabilidades identificadas que afecten a las dependencias de MyQ X.
Gestión rápida de parches: proceso sistemático para evaluar, probar e implementar actualizaciones de seguridad para componentes de terceros, con priorización basada en la evaluación de riesgos.
Control de versiones de componentes: seguimiento detallado de todos los componentes de software, incluidos los números de versión, los niveles de parches de seguridad y los calendarios de actualización, tal y como se documenta en las notas de la versión.
Evaluación de la seguridad de los proveedores: evaluación de los proveedores de software de terceros para garantizar que mantienen los estándares de seguridad y los procesos de divulgación de vulnerabilidades adecuados.
Este completo marco de cumplimiento garantiza que MyQ X cumple diversos requisitos normativos, al tiempo que mantiene los más altos estándares de seguridad de la información y protección de datos en todos los entornos operativos.