MicroStrategy ONE

Programa de garantía de seguridad de MicroStrategy

Para ver una versión PDF solo de esta página, haga clic en aquí.

MicroStrategy cuenta con un completo programa de seguridad centrado en la protección de sus datos, independientemente de si el producto se implementa a través de nuestra oferta de servicio gestionado en la nube o en las instalaciones. Desde la ingeniería hasta la reparación de vulnerabilidades, nos comprometemos a garantizar que nuestros productos cumplan continuamente con sus necesidades empresariales y de seguridad.

Certificaciones

  • Certificación ISO 27001 para el entorno de MicroStrategy Cloud
  • Auditoría SOC2 tipo II para el entorno de MicroStrategy Cloud
  • Compatible con el escudo de privacidad
  • Plataforma en la nube que cumple con el estándar PCI DSS
  • Solución de nube compatible con MicroStrategy HIPAA totalmente controlada
  • Sistema financiero corporativo conforme con SOX
  • País de origen del producto: Estados Unidos

Seguridad personal

  • Comprobaciones de fondo realizadas en todos los empleados
  • Credenciales educativas validadas
  • Historial financiero/de crédito verificado
  • Historial de antecedentes penales

Formación de seguridad y certificaciones para empleados

  • Principios de seguridad
  • Modelado de amenazas
  • Seguridad web y pruebas de penetración
  • Seguridad móvil

Proceso de diseño de seguridad

  • Modelado de amenazas basado en STRIDE y otros modelos desarrollados internamente
  • Aplicación de principios de seguridad (p. ej., “Defensa en profundidad”)
  • Consideración de vulnerabilidades de OWASP 10
  • Revisión de diseño por un equipo de ingeniería de seguridad dedicado

Funciones de seguridad incorporadas

  • Autenticación de usuario
    • OIDC
    • SAML
    • SSO
    • LDAP/AD
    • Estándar (Nombre de usuario/Contraseña)
    • Kerberos
  • Protección HTTPS/TLS para datos en tránsito
  • Cifrado AES de 256 bits para datos en reposo
  • Control de acceso basado en roles
  • Seguridad a nivel de fila
  • CSRF, clickjacking y codificación de salida HTML (para la prevención de XSS)

Desarrollo seguro

  • Estándares de codificación segura para todos los lenguajes utilizados
  • Revisión de código de varios niveles
  • Análisis estático del código fuente
  • Escaneo binario del código compilado utilizando el escáner binario Veracode
  • Prueba de penetración manual

Control de componentes de terceros

El uso de componentes de terceros se controla de cerca. Se aplica un proceso formal para la introducción de nuevos componentes en los productos. La confirmación independiente de los componentes de terceros incorporados en los productos se realiza a través de la herramienta Synopsys Black Duck. Los componentes que poseen vulnerabilidades de seguridad están programados para actualizarse o sustituirse.

Pruebas de seguridad interna

A lo largo del ciclo de desarrollo, MicroStrategy realiza pruebas de penetración internas para validar la seguridad de las funciones nuevas o modificadas y para volver a validar la seguridad del conjunto de productos existente frente a las nuevas amenazas. Dichas pruebas incluyen los riesgos identificados en el OWASP-10 y otras debilidades conocidas. Los modelos de amenazas desarrollados durante el diseño del producto proporcionan una guía adicional para estas pruebas.

Pruebas independientes de penetración

Contratamos a varias empresas de seguridad para realizar pruebas anuales de penetración. Las pruebas son de amplio alcance y utilizan tanto técnicas de prueba de caja negra como pruebas de caja blanca, que incluyen acceso total al código fuente del producto. Los problemas identificados durante esta prueba se programan inmediatamente para su resolución en el producto según una prioridad de riesgo. A continuación, las empresas de seguridad llevarán a cabo nuevas comprobaciones para comprobar que los problemas se han resuelto correctamente.

Versión segura

Se mantiene un repositorio de código centralizado (GitHub Enterprise) para el desarrollo. Las revisiones de repositorio se someten a procedimientos de revisión de código específicos del área. El proceso de creación está controlado por el equipo de operaciones de desarrollo. Todas las máquinas que desarrollan el producto emplean un escáner de virus de nivel empresarial actualizado con las últimas firmas.

Parches y actualizaciones de seguridad

La seguridad es de suma importancia en MicroStrategy. Las vulnerabilidades se tratan como problemas de máxima prioridad y se corrigen en la siguiente versión. Por lo tanto, mantener el software actualizado es una de las precauciones de seguridad más sencillas, pero más importantes que puede tomar para mantener la seguridad de su producto MicroStrategy. En caso de un problema de seguridad crítico fuera del ciclo de actualización normal, MicroStrategy puede emitir un parche provisional o una solución temporal, pero la actualización seguirá siendo necesaria para mantener sus implementaciones lo más seguras posible.

Notificación de un problema de seguridad

Los clientes actuales de MicroStrategy pueden informar sobre posibles problemas de seguridad y enviar sus consultas a través del servicio de soporte técnico de MicroStrategy. Los investigadores pueden enviar problemas a través de nuestra página de informes.

Si desea obtener más información, póngase en contacto con su representante de cuenta.