Folleto informativo de seguridad de DocuSign

Transcripción

1 Introducción La seguridad es una parte esencial de cualquier solución basada en software. Pocos procesos de negocio son tan sensibles a la seguridad como los relacionados con la firma electrónica. Las transacciones de firma electrónica habitualmente contienen información crítica para usted, su negocio y sus clientes. Esta información puede incluir información personalmente identificable (IPI), detalles de precios, términos de negocio propietarios, propiedad intelectual, etc. Esta es precisamente la razón por la cual la prioridad principal de DocuSign es la seguridad del cliente. Somos líderes de la industria definiendo y entregando la solución de firma electrónica más segura disponible. DocuSign cumple o supera repetidamente los requisitos de seguridad más exigentes, incluso de las organizaciones más conscientes de la seguridad, incluyendo empresas Fortune 500, las mayores instituciones financieras del mundo, y otras compañías globales. Resumen Ejecutivo En las páginas siguientes se proporciona un resumen de nuestro enfoque de la seguridad, que abarca una serie de áreas clave, incluyendo nuestras Certificaciones y Pruebas de Seguridad, así como nuestro Programa de Garantía de la Seguridad. Certificaciones y Pruebas de Seguridad El compromiso de DocuSign con la seguridad comienza nuestras completas Certificaciones y Pruebas de Seguridad. DocuSign es la única empresa de firma electrónica con una certificación ISO como sistema de gestión de seguridad de la información. Como organización examinada y verificada conforme a los estándares SSAE 16, DocuSign cumple con los requisitos de información establecidos por el AICPA. Nuestro cumplimiento del estándar PCI DSS 2.0 certifica un tratamiento seguro de la información de titulares de tarjetas de crédito. La certificación TRUSTe de DocuSign demuestra nuestro compromiso con la protección de los datos del cliente. DocuSign cumple con las políticas de recopilación, uso y conservación de datos personales especificadas por los principios Safe Harbor del Departamento de Comercio de EE.UU. Programa de Garantía de la Seguridad Nuestro compromiso de proporcionar la solución de firma electrónica más segura de la industria queda demostrado además por el Programa de Garantía de la Seguridad. Los fundamentos del Programa de Garantía de la Seguridad de DocuSign se basan en nuestro personal, procesos, plataforma y participantes. Nuestro personal, que incluye un Director de Seguridad (CSO, Chief Security Officer), prioriza e impulsa la garantía de seguridad dentro de DocuSign. Desde las políticas internas hasta el desarrollo del producto, todos los procesos de negocio en DocuSign tienen en cuenta la seguridad de nuestra solución. La plataforma de DocuSign, que se extiende desde la infraestructura física a los nodos de transmisión de datos, está sujeta al control de seguridad por expertos internos y externos. Para garantizar el nivel de seguridad que nuestros clientes esperan y merecen, participantes externos son tenidos en cuenta en todas las medidas de seguridad de DocuSign. El Programa de Garantía de la Seguridad de DocuSign nos permite ofrecer una seguridad de primera clase a nuestros clientes, que incluye confidencialidad, integridad, disponibilidad, autenticidad y no repudio. DocuSign protege la confidencialidad de los datos del cliente a nivel de la aplicación, con encriptación AES de 256 bits. Los controles únicos antimanipulación de DocuSign garantizan la integridad de los documentos del cliente. Con un 99.99% de tiempo medio de funcionamiento, la disponibilidad de los datos de nuestros clientes es incomparable respecto a la de las soluciones de la competencia. Los sólidos mecanismos de DocuSign para la validación de los participantes en una transacción de firma aseguran la autenticidad de todas las partes firmantes. Ofrecemos una serie de características diseñadas para el no repudio, incluyendo una pista de auditoría digital para cada sobre enviado con DocuSign.

2 Certificaciones y Pruebas de Seguridad DocuSign cumple con los más altos estándares de seguridad y ofrece el conjunto de certificaciones y pruebas más completo de la industria, incluyendo los siguientes. ISO es un sistema de gestión de seguridad de la información (SGSI) estándar publicado por la Organización International de Normalización (ISO, por sus siglas en inglés). El estándar está diseñado para garantizar la elección de controles de seguridad adecuados y proporcionales que protejan los activos de información y proporcionen confianza a las partes interesadas. DocuSign es la única solución de firma electrónica que cuenta con una certificación ISO como SGSI un enfoque sistémico para gestionar información corporativa confidencial o sensible de manera que permanezca segura. Este es el más alto nivel de garantía global de seguridad de la información disponible hoy en día. Consulte el siguiente enlace para ver nuestra certificación ISO El sitio web de ISO ( contiene más información acerca del estándar ISO SSAE 16 es una declaración sobre estándares para contratos de certificación presentada por el Instituto Americano de Contadores Públicos Certificados (AICPA), para informar sobre el diseño y la efectividad operativa de los controles internos en las organizaciones de servicios. DocuSign es examinado y probado anualmente conforme a los estándares SSAE 16 en todos los aspectos de las operaciones de negocios y de producción de nuestra empresa, incluyendo nuestros centros de datos, y ha mantenido y superado todos los requerimientos. Una copia de este informe se encuentra disponible bajo petición, sujeto a un acuerdo de no divulgación. PCI DSS 2.0 es un estándar de seguridad de datos para organizaciones que manejan información de titulares de tarjetas de crédito, supervisado por el Consejo de Normas de Seguridad para la Industria de Tarjetas de Pago (PCI SSC, por sus siglas en inglés). Como proveedor de servicios y comerciante, DocuSign realiza controles estrictos sobre los datos de los titulares de tarjetas, y cumple con el estándar PCI DSS 2.0. Puede encontrar información adicional sobre PCI DSS 2.0 en el sitio web de PCI SSC ( TRUSTe es un proveedor líder global de soluciones de gestión de la privacidad que propone un sello de protección de la privacidad certificado. DocuSign cuenta con una certificación de TRUSTe y cumple con los términos descritos en nuestra política de privacidad para manejar los datos de los clientes de forma segura. Haga clic en el enlace para ver nuestra certificación de TRUSTe. Puede encontrar más detalles sobre TRUSTe en su sitio web ( El Departamento de Comercio de los EE.UU. ha desarrollado marcos safe harbor para mejorar la protección de la privacidad y permitir a las organizaciones cumplir con las leyes de protección de datos europeas y suizas. DocuSign cumple con las políticas Safe Harbor del Departamento de Comercio de los EE.UU. con respecto a la recopilación, uso y conservación de datos personales. Consulte este enlace para ver cómo cumplimos con las políticas Safe Harbor del Departamento de Comercio de los EE.UU. Para más información, visite el sitio web del Departamento de Comercio de los EE.UU. ( Se pueden encontrar más detalles acerca de SSAE 16 en el sitio web del AICPA (

3 Programa de Garantía de la Seguridad Nuestra capacidad de ofrecer el más alto nivel de seguridad a nuestros clientes se centra en nuestro Programa de Garantía de la Seguridad. Las ventajas ofrecidas por el Programa de Garantía de la Seguridad de DocuSign se basan en nuestro personal, procesos, plataforma y participantes. Personal Todo el mundo en DocuSign, desde el personal de servicio al equipo ejecutivo, está comprometido con la excelencia en la seguridad. Un equipo multidisciplinar de expertos, que incluye un Director de Seguridad (CSO, Chief Security Officer) dedicado, se dedica al 100% a actividades relacionadas con la seguridad. DocuSign es la única empresa de firma electrónica con un CSO dedicado desde El CSO gestiona el programa de Gobernanza, Riesgo y Cumplimiento (GRC) de DocuSign, el Consejo de Seguridad de DocuSign, y una serie de reuniones relacionadas con la seguridad y el cumplimiento de normas que se detallan en nuestro informe SSAE 16. Nuestro Director Jurídico (CLO, Chief Legal Officer) y nuestro Director de Tecnología (CTO, Chief Technology Officer) dedicados proporcionan a nuestros clientes la confianza de que DocuSign y sus productos se adelantan a las tendencias legales y tecnológicas. Procesos Los procesos de negocio de DocuSign, incluyendo las políticas internas, el Ciclo de Vida de Desarrollo de Software (CVDS), y la monitorización de la plataforma, tienen en cuenta la seguridad de los datos de nuestros clientes. Con un enfoque descendiente, el Consejo de Seguridad supervisa e implementa políticas internas de seguridad tales como acceso mediante cifrado por clave, respuesta a incidencias y conservación de datos. Las revisiones de seguridad son parte del Ciclo de Vida de Desarrollo de Software (CVDS) de DocuSign; el cual incluye las fases de planificación, diseño, implementación, prueba, envío y respuesta del producto. Formamos a nuestros ingenieros para asegurarnos de que programan de manera segura y realizan auditorías de seguridad periódicas de la base de código. DocuSign lleva a cabo pruebas de penetración internas y también por terceros. También contamos con un programa para la continuidad del negocio (PCC) y pruebas de recuperación ante desastres (RD). Todos los empleados potenciales están sujetos a verificación de antecedentes, y todos los empleados deben superar exámenes anuales de certificación en seguridad. El compromiso de DocuSign con la seguridad se extiende a políticas en las instalaciones tales como acceso con tarjeta identificativa, supervisión de las entradas al público y controles de acceso físicos. Para la administración de los servidores, DocuSign limita el acceso a un número mínimo de empleados basándose en el principio de privilegios mínimos, y requiere múltiples capas de autenticación segura. Plataforma La plataforma segura de DocuSign abarca nuestro hardware e infraestructura, los sistemas y operaciones, las aplicaciones y el acceso, y la transmisión y el almacenamiento. El hardware y la infraestructura de DocuSign, que incluye tres centros de datos geográficamente diversificados y auditados conforme a los estándares SSAE 16, seguridad en las instalaciones 365 días al año las 24 horas, autenticación de dos factores para el acceso a los centros de datos, pruebas de penetración por terceros, replicación de datos segura en tiempo casi real y pruebas PCC/RD anuales, ofrece a los clientes seguridad y disponibilidad de primera clase.

4 Los sistemas y operaciones que mantienen segura nuestra infraestructura ofrecen redes separadas física y lógicamente, acceso por VPN con encriptación de dos factores, replicación de datos segura en tiempo casi real, firewalls de calidad comercial y enrutadores de frontera para resistir/detectar ataques basados en IP y de denegación de servicio (DoS), y monitorización y alertas activas. Las aplicaciones y seguridad de acceso de DocuSign se caracterizan por revisiones formales del código y mitigación de la vulnerabilidad por terceros, encriptación mediante Advanced Encryption Standard (AES) de 256 bits, el Programa de Gestión de Claves y Cifrado, protección contra malware de nivel empresarial, pistas de auditoría digital y múltiples mecanismos de autenticación. Para garantizar una transmisión y almacenamiento seguros, DocuSign proporciona una sesión de visualización SSL de 256 bits segura y privada, controles antimanipulación, verificación de firmas, captura inalterable de los datos de la firma, tecnología de certificados digitales, y un programa de conservación de los datos configurable por el cliente. Participantes Las partes externas son consideradas actores en el proceso de seguridad y son parte del alcance de la seguridad de DocuSign. DocuSign ofrece un alto nivel de garantía de seguridad a los firmantes, remitentes, socios y desarrolladores que interactúan con nuestro sistema, al tiempo que tomamos medidas para protegernos de cualquier amenaza que puedan presentar. DocuSign puede integrarse de forma segura con sistemas externos a través de las API de servicios web HTTPS SOAP y REST. Requerimos a los usuarios a que se sometan a una certificación antes de que un socio pueda hacer una llamada a la API en nuestras cuentas de producción, y hacemos obligatorio el uso de una clave de integrador así como de credenciales válidas para enviar peticiones a la API. continua con la comunidad de seguridad, incluyendo otros responsables de seguridad, funcionarios del gobierno y líderes en la industria del software, para adelantarse a las tendencias emergentes en el ámbito de las amenazas dinámicas. Estos fundamentos permiten a nuestro Programa de Garantía de la Seguridad ofrecer un valor considerable a nuestros clientes, incluyendo confidencialidad, integridad, disponibilidad, autenticidad y no repudio. Confidencialidad Los contenidos de nuestros clientes se mantienen confidenciales, incluso de DocuSign los empleados nunca tienen acceso al contenido de los clientes almacenado en el sistema de DocuSign. DocuSign garantiza la confidencialidad proporcionando encriptación AES de 256 bits a nivel de aplicación para los documentos del cliente. Nuestro Programa de Gestión de Claves y Cifrado ha sido probado y validado por auditores externos y documentado en nuestro informe sobre SSAE 16. Los clientes pueden especificar quién puede ver y firmar sus documentos cifrados a través de una sesión de visualización SSL de 256 bits privada y segura. La sólida oferta de DocuSign permite a los firmantes autenticarse cuando firman, incluyendo autenticación por multifactor y de dos factores. Mediante el uso de SAML (Lenguaje de Marcado para Confirmaciones de Seguridad), DocuSign ofrece a los usuarios las últimas funcionalidades para autenticación y autorización basadas en la web, incluyendo single signon (SSO). Estamos definiendo continuamente las mejores prácticas de la industria en auditorías de terceros, certificaciones y valoraciones in situ de clientes. El CSO dedicado de DocuSign está en comunicación

5 Integridad Se asegura que cada documento está intacto y que las manipulaciones son detectables. Ofrecemos la única solución de firma electrónica que proporciona fuertes controles antimanipulación:»un» sistema visual de monitorización mediante panel de control que proporciona alertas para 24 eventos de API.»Tecnología» de certificado digital PKI para sellar documentos.»una» suma de verificación digital (valor de hash matemático) que valida que los documentos contenidos en un sobre no han sido manipulados más allá de cada evento de firma. Disponibilidad Somos la única empresa de firma electrónica que lleva a cabo replicación de datos segura en tiempo casi real a un sitio caliente, geográficamente diversificado y con una certificación ISO DocuSign ofrece tres centros de datos geográficamente diversificados y con alta disponibilidad, incluyendo una instalación de recuperación ante desastres, la cual mantiene la huella total de datos (según el RPO especificado) y una capacidad del 100% en caso de cualquier fallo individual de un sitio al completo. Nuestros centros de datos de capacidad comercial están repartidos entre diversos vendedores, de manera que, en el caso de cualquier interrupción del negocio, los documentos críticos siguen estando disponibles. DocuSign se compromete en la tarea de proporcionar una comunicación transparente con nuestros clientes. Enviamos comunicados sobre los productos e informamos de los períodos de mantenimiento antes de los cambios, y notificamos a los clientes los problemas de rendimiento y las alertas de seguridad inmediatamente tras su descubrimiento. Autenticidad Nuestros clientes pueden confiar en la autenticidad de los firmantes, según lo evidenciado por la huella de auditoria y la cadena de custodia ofrecidas por nuestra solución. DocuSign proporciona un conjunto sólido de mecanismos y opciones para validar la autenticidad de los participantes en una transacción de firma:»verificación» de la firma, captura inalterable de los nombres de las partes firmantes, sus direcciones de correo electrónico, direcciones IP públicas, eventos de la firma (p.ej.: visto, firmado, etc.), sellos de tiempo, ubicación de la firma (si se proporciona), y estado de finalización.»una» diversa gama de opciones de autenticación se pueden disponer como capas en base a la necesidad de validar la autenticidad de los firmantes, incluyendo autenticación por multifactor y de dos factores. No Repudio Se garantiza que los documentos de los clientes son técnica, legal y procedimentalmente inexpugnables. DocuSign es el único servicio de firma electrónica que proporciona una variedad de características únicas para el no repudio:»una» huella de auditoria digital para cada sobre que captura el nombre, dirección de correo electrónico, método de autenticación, dirección IP pública, acción del sobre y sello de tiempo.»un» archivo de registro de la aplicación y del sistema que proporciona un registro digital de las entidades que acceden a los sobres.»»certificados de finalización después de que todas las partes hayan participado en el proceso de firma. Publicamos periódicamente libros blancos, entradas de blog, notas técnicas y de producto y otra documentación relacionada con la seguridad en nuestro sitio web. Los clientes pueden revisar el Centro de Confianza dedicado de DocuSign (trust.docusign.com) para encontrar información de seguridad y rendimiento del sistema.

6 Conclusión El enfoque de seguridad de DocuSign es exhaustivo. Cumplimos o superamos los estándares de seguridad nacionales e internacionales y somos líderes de la industria de la firma electrónica ofreciendo una seguridad excepcional para documentos y datos. Nuestro Programa de Garantía de la Seguridad contribuye a demostrar nuestro compromiso con una seguridad de la información de primer nivel. Consideramos la seguridad de nuestros clientes nuestra primera prioridad. Nuestro enfoque de la seguridad lo abarca todo, desde nuestro personal y procesos hasta nuestra plataforma y participantes remitentes, firmantes, socios y desarrolladores. Nuestra sólida estrategia nos permite garantizar la confidencialidad, integridad, autenticidad y no repudio de los documentos de nuestros clientes, y nos permite proporcionar un tiempo medio de funcionamiento y disponibilidad de nuestro sistema del 99.99%. Nuestros procedimientos de seguridad están documentados y nos sometemos a auditorías sobre las interacciones de todos estos componentes este enfoque inclusivo es la razón por la cual somos la única empresa de firma electrónica con certificación ISO Recursos adicionales La seguridad que ofrecemos a nuestros clientes se extiende más allá de lo que se ha descrito con anterioridad. Están disponibles una serie de recursos adicionales que contribuyen a demostrar la estrategia de seguridad líder en la industria de DocuSign. Consulte los enlaces a continuación para obtener más detalles sobre nuestras ofertas de seguridad. Centro de Confianza»» Trust.docusign.com Libros blancos»sin» Esconderse en la Nube»Mejores» Prácticas para la Gestión de Documentos Electrónicos y la Seguridad»Seguridad» por Diseño»Gestión» de Riesgos y Fomento de la Confianza en la Nube Políticas»Condiciones» de Uso»Política» de Privacidad»Uso» de Cookies Sobre DocuSign DocuSign es el estándar global para firma electrónica. DocuSign acelera las transacciones para aumentar la velocidad de los resultados, reducir costes, y deleitar a los clientes con la red global más fácil, rápida y segura para el envío, la firma, el seguimiento y el almacenamiento de documentos en la nube. Para consultas en los EE.UU.: llamada gratuita docusign.com Para consultas en Europa: número gratuito +44 (0) docusign.com/europa Follow Us: Copyright DocuSign, Inc. Todos los derechos reservados. DocuSign, el logo de DocuSign, Close it in the Cloud, SecureFields, Stick-eTabs, PowerForms, The fastest wayvto get a signature,el logo de No-Paper, Smart Envelopes, SmartNav, DocuSign It!, The World Works Better with DocuSign y ForceFields son marcas comerciales o registradas de DocuSign, Inc. en los Estados Unidos y en otros países. El resto de marcas comerciales y registradas son propiedad de sus respectivos dueños.