Back to Top

Resumen

S&C considera que la seguridad y la privacidad de los datos de nuestros clientes son valores fundamentales de nuestra empresa. La seguridad está integrada en los productos, sistemas, servicios y apoyos de S&C y entre ellos. Contamos con una variedad de programas, políticas y procedimientos creados de acuerdo con los principales marcos y prácticas recomedadas de ciberseguridad del sector. El programa de seguridad de la información de S&C incluye, entre otros, los procedimientos de manejo de datos y los estándares de clasificación. Los estándares incluyen controles apropiados sobre el uso de los datos, el almacenamiento, la retención, la supervisión, la destrucción segura y la segmentación de los registros electrónicos y en papel.

Seguridad en la Cadena de Suministro

Para garantizar la integridad de la cadena de suministro, S&C identifica, mitiga y, cuando es posible, elimina los potenciales riesgos de seguridad. Evaluamos, monitoreamos y medimos con regularidad a nuestros proveedores en cuanto a la integridad de los productos, el envío y la seguridad de los datos. Nuestros Términos y Condiciones estándares para los proveedores de componentes o servicios incluyen secciones completas sobre seguridad de la información y privacidad de los datos que definen las obligaciones de ciberseguridad de los proveedores. Mientras el estándar NERC CIP sigue expandiéndose y haciéndose más estricto, S&C permite a nuestros clientes cumplir con el NERC CIP-013-1, “Ciberseguridad: Gestión de Riesgos en la Cadena de Suministro” (“Cybersecurity — Supply Chain Risk Management”).

Seguridad del Producto

Las actividades del desarrollo de productos de S&C siguen el ciclo de vida del desarrollo de seguridad (SDL) de S&C, que codifica las prácticas recomendadas del sector. Los principales componentes del SDL son el análisis de riesgos de seguridad, la elaboración de modelos de amenazas, el análisis y la revisión de códigos y la gestión de vulnerabilidades. S&C aplica el SDL a sus nuevos productos, sistemas, servicios, software y soluciones en la nube.

De acuerdo con el SDL, S&C adopta las siguientes medidas durante el diseño, el desarrollo y las pruebas de nuestros productos:

  • En base a los requerimientos de seguridad de S&C, se realiza un análisis de riesgos de seguridad para cada proyecto nuevo y para cada cambio significativo de un proyecto existente.
  • Se realizan análisis de códigos y revisiones de códigos manuales con regularidad durante el desarrollo en base a marcos, como los 10 mejores Proyectos Abiertos de Seguridad en Aplicaciones Web (Open Web Application Security Project, OWASP).
  • El código de terceros, incluido el código abierto, se analiza automáticamente para identificar y mitigar las vulnerabilidades.
  • El fortalecimiento de los sistemas operativos se realiza para los dispositivos integrados y las soluciones basadas en la nube.
  • La seguridad de redes y las normas de firewall se implementan y se revisan con regularidad.
  • Antes de lanzar cada producto, se realizan pruebas por parte de grupos internos independientes.

S&C tiene una política y un proceso documentado para identificar vulnerabilidades en nuestros productos y comunicarlas a nuestros clientes. Este proceso implica la revisión de datos del sector, como el Sistema de puntuación de vulnerabilidad común (Common Vulnerability Scoring System, CVSS) y la Base de Datos Nacional de Vulnerabilidades (National Vulnerability Database, NVD), para obtener información sobre vulnerabilidades conocidas. S&C también lleva a cabo pruebas internas para identificar vulnerabilidades.

Seguridad y Privacidad de los Datos

S&C responsabiliza a todos los miembros del equipo de comprender cómo se gestionan, procesan, almacenan y destruyen los datos de los clientes, de S&C y de nuestros proveedores, y mantener el control sobre estos aspectos. Nuestros proveedores deben aceptar los Términos y Condiciones que incluyen cláusulas de privacidad. Nos adherimos a los seis principios de privacidad de los datos descritos en el Reglamento General de Protección de Datos (RGPD) y otros reglamentos de protección de datos de todo el mundo, que son los siguientes:

  • Legalidad, Lealtad y Transparencia
  • Limitación de la Finalidad
  • Minimización de los Datos
  • Exactitud
  • Limitación del Plazo de Conservación
  • Integridad y Confidencialidad

Para obtener más información sobre las políticas de privacidad de los datos de S&C, consulte nuestra Declaración de Privacidad.

El papel de los Clientes en la Seguridad

En este mundo hiperconectado, la ciberseguridad es una responsabilidad colectiva porque puede haber amenazas internas y externas aceleradas por un panorama digital en rápida evolución. Con el aumento de la exposición al riesgo que se produce cada día, trabajamos de manera activa con los clientes y proveedores para crear soluciones de seguridad integrales. S&C considera esencial la evaluación adecuada de los riesgos y el cuidado apropiado en la instalación, el mantenimiento y las operaciones. Trabajamos con nuestros clientes para garantizar que las actualizaciones y los parches aprobados por S&C se entreguen y autentifiquen de forma segura. En los manuales de nuestros productos, proporcionamos instrucciones sobre la configuración segura de los productos. Por último, trabajamos con los clientes para corregir cualquier sospecha de vulnerabilidad o violación de datos.