Trust Center

Instructure Trust Center

Seguridad

La seguridad está integrada en la estructura de nuestra plataforma, infraestructura y procesos en la nube, por lo que puede estar seguro de que sus datos están protegidos.

Seguridad de las empresas

Instructure ha implementado un sólido programa de seguridad de la información empresarial que opera en un ciclo continuo PDCA (del inglés 'Plan-Do-Check-Act' (Planificar-Hacer-Verificar-Actuar)). Este programa está basado en Estándares de Seguridad de la Información.

0
Canvas app icon

Tecnología de la información

Instructure mantiene una Política de seguridad de red y una Política de uso aceptable de TI que describen procedimientos, procesos y políticas para todos los puntos finales en redes corporativas y de producción. Estas políticas se evalúan según los estándares SOC 2 e ISO 27001. Los dispositivos de la empresa y de los empleados están seguros, encriptados, rastreados y tienen aplicada 2FA obligatoria.

0

Conciencia

Instructure reconoce que las personas son nuestra primera línea de defensa. Esto comienza creando una conciencia básica de que todo el personal de Instructure debe completar la capacitación sobre cumplimiento, privacidad y seguridad de Instructure al ser contratado de acuerdo con nuestros términos y condiciones de empleo, y anualmente a partir de entonces. El contenido de esta capacitación incluye todas las áreas relevantes de seguridad (en línea, móvil, física, 2FA, etc.), privacidad y requisitos de cumplimiento para cada empleado, incluidas nuestras políticas. Además, Instructure lleva a cabo campañas de concientización continuas para garantizar que los empleados estén informados sobre nuestro cambiante panorama de amenazas y estén equipados y capacitados para identificar e informar riesgos de seguridad. Además, los empleados son sometidos periódicamente a campañas de phishing simuladas.

0
Computer icon
CEO icon

Proceso de contracción

En Instructure, priorizamos la seguridad de nuestra fuerza laboral.

Como parte de nuestro riguroso proceso de contratación, realizamos verificaciones exhaustivas de antecedentes penales de todos los empleados y contratistas. Los resultados de estos controles desempeñan un papel crucial a la hora de determinar la elegibilidad para el empleo.

0

Seguridad de la plataforma

La plataforma de Instructure (y los datos asociados) está alojada en la nube por Instructure y entregada a través de Internet a través de Amazon Web Services (AWS).

La seguridad en la nube en enfoque

La plataforma de aprendizaje Instructure está alojada en Amazon Web Services (AWS) y la seguridad en la nube es una prioridad. Esto incluye cumplir con el marco bien diseñado de AWS, implementar estándares y puntos de referencia de refuerzo del plano de control y monitoreo continuo de la carga de trabajo.

Los productos de Instructure están diseñados para aprovechar al máximo las herramientas y servicios de seguridad de AWS, incluidos AWS WAF, Shield, GuardDuty, Security Groups, KMS y más. La configuración de la infraestructura de la nube se almacena de forma segura con un enfoque de "infraestructura como código".

Amazon Web Services (AWS) posee una variedad de acreditaciones formales, incluidas ISO 27001, FedRAMP y SOC 1/2/3, entre otras.

Laptop icon

Protegido por un marco integral de control de acceso

La plataforma de aprendizaje Instructure está protegida por un marco integral de control de acceso. El acceso a la plataforma está protegido mediante autenticación, autorización y 2FA (cuando corresponda). El acceso a la infraestructura de la nube está protegido por un marco integral de control de acceso multicapa, que incluye VPN, 2FA, SSH y certificados digitales. El acceso a nuestros sistemas se otorga según el principio de privilegio mínimo y la necesidad de conocerlo, y está respaldado por revisiones periódicas del acceso de los usuarios y procesos de auditoría.

Arrow in clouds icon

Protección de Datos

Todos los datos se cifran en tránsito. El tráfico entrante y saliente se cifra mediante TLS 1.2 o superior.

Todos los datos se almacenan en reposo en volúmenes cifrados.

Los datos se replican en tiempo real para su protección.

Places icon
Overhead view of Canvas on tablet

Seguridad de Aplicación

Desarrollo seguro

Todo el código pasa por un proceso de revisión por pares de desarrolladores antes de fusionarse en el repositorio de la base de código. La revisión de código incluye auditorías de seguridad basadas en documentos de revisión de código y codificación segura del Open Web Application Security Project (OWASP) (incluido el OWASP Top Ten) y otras fuentes de la comunidad sobre mejores prácticas de seguridad.

Pruebas de seguridad

Damos gran importancia a las pruebas de seguridad. Queremos que nuestro código se ejecute de la mejor manera posible para nuestros clientes, por eso ponemos sumo cuidado en implementar mecanismos preventivos y de detección en todo el SDLC, con un proceso de control de calidad integrado en el diseño, desarrollo y mantenimiento de nuestros productos. El resultado final para nuestros clientes: todos los cambios de código pasan por nuestro conjunto completo de pruebas de control de calidad antes de ser aceptados en el producto correspondiente para garantizar un código seguro, un rendimiento consistente y una excelente experiencia general.

Bug Bounty: Participación de la comunidad de investigación de seguridad

Nuestro Programa de Recompensas Continuas es un programa complementario para evaluaciones de aplicaciones y/o pruebas de penetración. El programa está gestionado por Bugcrowd, que cuenta con multitud de investigadores de seguridad. Esto aumenta la probabilidad de descubrir problemas esotéricos que las pruebas automatizadas no pueden encontrar y que las evaluaciones de vulnerabilidad tradicionales pueden pasar por alto en cualquier período de prueba.

Cualquier persona interesada en unirse a nuestro programa de recompensas por errores como investigador de seguridad, comuníquese con security@instructure.com con su nombre de usuario de Bugcrowd y estaremos encantados de agregarlo al equipo de investigación.

Monitoreo de Seguridad

​​Como solución SaaS totalmente alojada, la plataforma de aprendizaje de Instructure es monitoreada activamente por los equipos de seguridad y operaciones de Instructure en nombre de todos los clientes. Incluido en los servicios integrales de alojamiento de Instructure, Instructure monitorea continuamente el uso, el rendimiento, el estado y la seguridad del sistema. Nuestro equipo de operaciones utiliza una combinación de sistemas de alerta y monitoreo internos y externos estándar de la industria, así como sistemas de alerta personalizados para garantizar la máxima cobertura. Cualquier alerta de incidente activada se envía a los equipos correspondientes a través de PagerDuty.

0

Capacidades de registro y detección

Al aprovechar las amplias protecciones y salvaguardas de la infraestructura de la nube de AWS, Instructure proporciona un monitoreo de seguridad y de red sólido y sustancial para proteger a nuestros clientes y detectar amenazas potenciales antes de que tengan la oportunidad de tener algún impacto. Algunas salvaguardas de detección incluyen el aprovechamiento de servicios como AWS GuardDuty para alertar e informar sobre incidentes de seguridad que ocurren en los servicios de Instructure alojados en AWS. Todos los resultados se envían al sistema de gestión de registros centralizado de Instructure para su posterior análisis y generación de alertas.

0
Front view of software code on a monitor

Obtenga la ayuda que necesita