Nos tomamos muy serio la seguridad

Una solución de seguridad para la nube es un componente fundamental de una infraestructura de TI. Controla la forma en la que acceden empleados, contratistas, partners y clientes a los servicios en la nube. McAfee MVISION Cloud está diseñada desde cero para ayudarle a cubrir sus necesidades de seguridad y cumplimiento de normativas con un servicio de categoría empresarial en el que puede confiar.

McAfee ha realizado una importante inversión para proporcionar un servicio para grandes empresas. Estas inversiones incluyen:

  • SOC2 Type II
  • FedRAMP
  • ISO 27001
  • ISO 27017
  • ISO 27018
  • FIPS 140-2
  • CSA STAR
  • IRAP
  • Transparencia de controles y cumplimiento
  • Operaciones y datos
  • Supervisión y experiencia de seguridad
  • Pruebas de penetración y vulnerabilidades independientes

Certificaciones

En la siguiente sección se describen las certificaciones estándar del sector y de terceros que se han obtenido o están en proceso para la suite de productos de MVISION Cloud.

SOC2 Type II

El informe SOC 2 Type II es un certificado para la dirección de la declaración de la organización de MVISION Cloud de que se han implementado determinados controles para cumplir los principios SOC 2 Trust Services Criteria (TSC) del AICPA.

Los principios de servicios de confianza (Trust Services Criteria) son los siguientes:

  • Seguridad: el sistema está protegido frente al acceso no autorizado (tanto de forma física como lógica).
  • Disponibilidad: el sistema está disponible para su funcionamiento y uso según lo prometido y acordado.
  • Integridad de procesamiento: el procesamiento de sistemas es completo, preciso y autorizado.
  • Confidencialidad: la información calificada como "confidencial" se protege según las directivas o el acuerdo.
  • Privacidad: la información personal se recopila, utiliza, retiene, divulga y elimina de conformidad con los compromisos adquiridos en el aviso de privacidad de la entidad y con los criterios expuestos en los principios de privacidad generalmente aceptados publicados por el AICPA.

El informe contiene una opinión de un contador público autorizado (CPA) que afirma si el CPA está de acuerdo con la declaración de la dirección. La opinión manifiesta que se han implementado los controles adecuados para satisfacer los principios TSC y que los controles están diseñados (informe Type I) o diseñados y funcionando eficazmente (Type II).

SOC2 Type II

FedRAMP

MVISION Cloud ha recibido la certificación Federal Risk and Authorization Management Program (FedRAMP) y permite a las agencias adoptar soluciones de software como servicio (SaaS) (por ejemplo, Microsoft 365), mientras implementan directivas de seguridad, cumplimiento normativo y gobernanza, con el fin de cumplir la directiva Cloud del gobierno de Estados Unidos. Esta certificación exige a los proveedores de la nube satisfacer rigurosos requisitos de seguridad que son obligatorios para todas las agencias federales. Skyhigh (ahora MVISION Cloud) es la primera solución de la categoría de agentes de seguridad de acceso a la nube (CASB) designada como "Sistema conforme a FedRAMP" ("FedRAMP Compliant System").

FedRAMP

ISO 27001

ISO 27001 es una de las certificaciones más importantes que puede tener un proveedor de la nube. La obtención de las certificaciones ISO refleja el compromiso de MVISION Cloud con la seguridad en varias funciones. Skyhigh (ahora MVISION Cloud) tiene el orgullo de ser la primera solución CASB que ha obtenido esta certificación y se une así al 4 % de los proveedores de la nube que se han sometido a este exhaustivo proceso de validación. Los requisitos de la ISO 27001 incluyen realizar de forma obligatoria formación y pruebas para todos los empleados, sobre problemas de seguridad de TI y amenazas online. MVISION Cloud ha obtenido la certificación ISO 27001 tras su colaboración con el British Standards Institute (BSI), que demuestra su compromiso con los controles y estándares abiertos, así como la madurez de las prácticas y controles que aplica.

ISO 27001

ISO 27017

ISO 27017 es una certificación ISO adicional que proporciona más directrices de implementación de controles de seguridad de la información específicas para proveedores de servicios en la nube. MVISION Cloud es una de las primeras soluciones CASB en obtener la certificación ISO 27017 en Estados Unidos. Esta norma internacional proporciona directrices para facilitar la implementación de controles de seguridad de la información para clientes de servicios en la nube, quién implementa los controles, y los proveedores de servicios en la nube que respaldan las implementaciones de esos controles. También asigna la responsabilidad del proveedor de servicios en la nube como del cliente de dichos servicios. Además, esta certificación, como la 27018, permite a los clientes cumplir sus propias obligaciones en cuanto a privacidad, según establecen las normativas locales y del sector.

ISO 27018

ISO 27018 es el primer estándar internacional centrado en la protección de datos personales en la nube pública. Establece controles y directrices para la implementación de medidas destinadas a proteger la información de identificación personal (PII, por sus siglas en inglés) almacenada en la nube pública. Skyhigh (ahora MVISION Cloud) no es solo la primera solución CASB en obtener la certificación ISO 27018, sino que además, está entre los primeros proveedores de servicios en la nube principales en conseguir esta certificación en Estados Unidos. La certificación confirma que MVISION Cloud ha integrado los controles de seguridad para proteger la PII de los clientes. Garantiza que MVISION Cloud procesa la PII conforme a las instrucciones del cliente, ofrece transparencia en el almacenamiento, eliminación y acceso a esta información, no utiliza datos de clientes para publicidad, y presentará al cliente cualquier solicitud conforme a la ley, relativa a sus datos. Además, esta certificación permite a los clientes cumplir sus propias obligaciones en cuanto a privacidad, según establecen las normativas locales y del sector.

ISO 27018

FIPS 140-2

MVISION Cloud cuenta con la certificación FIPS. FIPS 140-2 también se ha convertido en el estándar de facto para el cifrado más allá del gobierno federal y cuenta con un amplio reconocimiento como norma de seguridad importante fuera de Estados Unidos. La certificación FIPS 140-2 garantiza que el cifrado de MVISION Cloud se ha sometido a rigurosas pruebas realizadas por entidades independientes y ofrece el máximo nivel de protección a las empresas.

CSA STAR

CSA STAR es un programa de protección de la seguridad para proveedores de la nube, establecido por la Cloud Security Alliance (CSA), una autoridad reconocida en seguridad en la nube. STAR comprende principios clave de transparencia, rigurosas auditorías, armonización de estándares, con supervisión continua basada en el sistema Cloud Controls Matrix (CCM) de la CSA, que es un conjunto de controles de seguridad específicos para la nube asociados con las principales normativas, mejores prácticas y reglamentos. MVISION Cloud ha superado la autoevaluación de STAR de CSA, lo que significa que se ajusta a las mejores prácticas de seguridad de la nube y que se ha comprobado la seguridad de su oferta para la nube. El cuestionario CAIQ (Consensus Assessments Initiative Questionnaire) de MVISION Cloud está disponible en https://cloudsecurityalliance.org/star/registry/mcafee/.

CSA STAR

IRAP

McAfee MVISION Cloud es la primera plataforma de agente de seguridad de acceso a la nube (CASB) en recibir la certificación del Australian Information Security Registered Assessors Program (IRAP) con un nivel de clasificación de seguridad PROTECTED.

IRAP es una iniciativa liderada por el Australian Signals Directorate (ASD) para proporcionar servicios de evaluación de seguridad tecnologías y comunicaciones de alta calidad al Gobierno federal australiano.

Gracias al cumplimiento de esta evaluación de seguridad de nube, la solución McAfee MVISION Cloud cuenta ahora con la certificación para satisfacer los objetivos de control y seguridad definidos en la evaluación de la seguridad en la nube y el marco de autorización del Centro Australiano de Ciberseguridad (ACSC, Australian Cyber Security Centre). La obtención de la acreditación IRAP con un nivel de clasificación de seguridad de protegida (PROTECTED) significa que McAfee cuenta con la autorización necesaria para proteger datos e infraestructuras muy sensibles del Gobierno australiano.

IRAP

Transparencia de controles y cumplimiento

McAfee ha recibido el galardón TRUSTe Privacy Seal, lo que garantiza que nuestras prácticas y políticas de privacidad cumplen los requisitos de su programa TRUSTed Cloud y la certificación de cumplimiento de los requisitos del acuerdo de protección de datos de tipo safe harbor (puerto seguro) de la Unión Europea. Nuestros controles también se han enviado para su inclusión en la Cloud Security Alliance Security, Trust and Assurance Registry.

Operaciones y datos

El equipo de operaciones de McAfee se alía con líderes del sector de confianza, como AWS y XO Communications, para proporcionar una infraestructura segura, de alta disponibilidad y rendimiento. El acceso a la infraestructura se controla estrechamente y se limita exclusivamente a determinados miembros sénior del equipo. La autenticación de dos factores y las redes privadas virtuales (VPN) IPSec garantizan una autenticación y cifrado robustos de los datos.

Supervisión y experiencia de seguridad

Nuestro servicio ha sido creado por un equipo que cuenta con una trayectoria de éxito demostrada en seguridad empresarial. Antes de fundar Skyhigh, el equipo era responsable en Cisco de los productos que permitían a los clientes administrar, aplicar y auditar directivas de acceso coherentes, basadas en estándares en toda la pila de TI. Este equipo desarrolló Identity Services Engine, un producto que obtuvo el codiciado premio Pioneer Award de Cisco y que está considerado como un punto de inflexión de Cisco.

Pruebas de penetración y vulnerabilidades independientes

Aunque nos auditamos a nosotros mismos continuamente, recordamos el principio de Richard Feynman: "No se debe engañar uno mismo, y tú eres la persona más fácil de engañar". En consecuencia, las auditorías de los grandes lanzamientos de software las realiza Kratos, una empresa independiente, al menos cuatro veces al año.

Demostración gratuita

Solicitud

Auditoría de la nube

Primeros pasos