Política de Seguridad de la nube
 
Academia
TimeTec presta gran atención a las cuestiones de seguridad, e investiga todas las vulnerabilidades reportadas. Esta página explica la práctica de TimeTec para hacer frente a las posibles vulnerabilidades en los aspectos de nuestros servicios en la nube.
ISO 27001

ISO 27001 es un estándar de administración de la seguridad que establece prácticas recomendadas en materia de administración de la seguridad y controles de seguridad exhaustivos conforme a las prácticas recomendadas de la norma ISO 27002. La base de esta certificación es el desarrollo y la implementación de un estricto programa de seguridad, que incluye el desarrollo e implementación de un sistema de administración de seguridad de la información (ISMS) que define cómo TimeTec administra la seguridad constantemente de forma exhaustiva e integral. Esta norma de seguridad internacional ampliamente reconocida especifica entidades:
Evaluar sistemáticamente los riesgos de seguridad de la información, teniendo en cuenta el impacto de las amenazas y vulnerabilidades a las que se enfrenta la empresa.
   
Diseñar e implementar una completa suite de controles de seguridad de la información y otros mecanismos de administración del riesgo para afrontar los riesgos de seguridad de la empresa y la arquitectura.
   
Adoptar un proceso general de administración para garantizar que los controles de seguridad de la información cumplan nuestras necesidades de seguridad de la información de forma continua.


La empresa obtuvo con éxito el sistema de gestión de seguridad de la información ISO / IEC (ISMS) el 8 de marzo de 2018.
Prueba de penetración

TimeTec se relaciona con un especialista externo en ciberseguridad para llevar a cabo una prueba de penetración (Black Box & White Box para aplicaciones web y móviles ) que se enfoca en problemas reales de seguridad y cumplimiento para TimeTec Cloud System.
Una prueba de penetración, o la prueba de la pluma, es un intento de evaluar la seguridad de una infraestructura de TI al tratar con seguridad para aprovechar las vulnerabilidades. Estas vulnerabilidades pueden existir en los sistemas operativos, servicios y aplicaciones, configuraciones incorrectas defectos, o el comportamiento del usuario final arriesgado. Tales evaluaciones también son útiles en la validación de la eficacia de los mecanismos de defensa, así como, la adhesión de los usuarios finales a las políticas de seguridad. Una prueba de penetración puede ayudar a determinar si un sistema es vulnerable al ataque, si las defensas eran suficientes, y que las defensas (si existe) venció la prueba.
Usando 2-factor de autenticación (2FA) en TimeTec

Para mayor seguridad, se recomienda que se configura la autenticación de 2 factores (2FA) para ayudar a proteger sus cuentas TimeTec. 2FA añade seguridad adicional, ya que el usuario debe introducir un código de autenticación única desde un dispositivo de autenticación aprobado. Tratando de proporcionar a nuestros usuarios tranquilidad, trabajamos con el reconocido proveedor de terceros - Google Authenticator para mejorar el nivel de seguridad de su cuenta TimeTec. Esta característica de autenticación de 2 factores sin duda mejora la seguridad, ya que la firma en requerirá 2 cosas - un código generado por la aplicación móvil de Google Authenticator, además de su contraseña de la cuenta.
Usted tiene preguntas con respecto a la 2FA - ir a http://www.timetecta.com/2step
HTTPS:

Toda la comunicación dentro y fuera de nuestra plataforma en la nube TimeTec se realiza a través de HTTPS. "Protocolo de transferencia de hipertexto seguro (HTTPS) es un protocolo de comunicaciones para la comunicación segura a través de una red informática, en especial con un amplio despliegue en Internet. "
AWS Amazon:

En un esfuerzo para asegurar que todos los datos se mantienen seguros estamos usando uno de los mejores nombres de servidor y computación en la nube, Amazon AWS PaaS, "plataforma como servicio ". Técnicamente hablando, nos aseguramos nuestros datos con los siguientes servicios de seguridad.
TimeTec utiliza los servicios de AWS que son ISO 27001 y PCI DSS L1 Certificado:

• Amazon Web Services Elastic Compute Cloud (EC2)
• Amazon Web Services Simple Storage Service (S3)
• Amazon Web Services Relational Database Service (RDS)
• Amazon Web Services elástico equilibrio de carga (ELB)
• Amazon Servicios Web Identidad y Administración de Acceso (IAM)
• Amazon Web Services Elastic Block Storage (EBS)
• Servicios Web Amazon servicio de correo electrónico simple (SES)
• Amazon Web Services CloudFront
• Amazon Web Services Ruta 53
• Amazon Web Services CloudWatch + Amazon servicio de notificación simple (SNS)
• Amazon Web Services VPC
• Amazon Web Services Escudo estándar para defenderse de los ataques DDoS
Informes de vulnerabilidad

Informar de supuestas vulnerabilidades
Si sospecha que los recursos están siendo utilizados TimeTec de actividad sospechosa, puede informar a nosotros aquí. De manera que podamos responder de manera efectiva a su informe, proporcione cualquier material de apoyo que sería útil para ayudar a comprender la naturaleza y gravedad de la vulnerabilidad.

Toda la información que usted comparte con TimeTec que en este proceso se mantiene confidencial dentro del equipo TimeTec y no será compartida con terceros sin obtener su permiso.

TimeTec revisará el informe presentado, a continuación, vamos a responder a usted, acusando recibo del informe y perfilar los próximos pasos en el proceso.
Evaluación de TimeTec
TimeTec trabajará para validar la vulnerabilidad reportada, una vez que el informe se recibió. Si se requiere información adicional para validar o simular el problema, TimeTec trabajará con usted para obtenerlo. Cuando la investigación inicial se haya completado, los resultados serán entregados a usted junto con un plan para la resolución y la revelación pública.
A tener en cuenta sobre el proceso de evaluación TimeTec:
1. Productos de Tercero - Si no se encuentra la vulnerabilidad a afectar a un producto de terceros, TimeTec notificará a la parte involucrada. Vamos a seguir para coordinar entre usted y el tercero; su identidad no será revelada a la tercera parte sin su permiso.
   
2. La confirmación de que no son vulnerabilidades - Si el problema no se puede validar, o no se encuentra para ser un defecto en el producto TimeTec, vamos a compartir la información con usted.
   
  TimeTec quiere mantenerlo informado de nuestro progreso a medida que investigamos y / o mitigar el problema de seguridad reportado. Usted recibirá una respuesta no automática a su contacto inicial dentro de las 24 horas, lo que confirma la recepción de su vulnerabilidad reportada. Recibirá actualizaciones de progreso de nosotros por lo menos cada cinco días laborables.
Notificación pública
En su caso, TimeTec coordinará notificación pública de una vulnerabilidad validado con usted. Preferiríamos que nuestros respectivos divulgaciones públicas se publicarán de forma simultánea.

Con el fin de proteger a nuestros clientes, TimeTec solicita su cooperación para no enviar o compartir cualquier información acerca de una vulnerabilidad potencial en cualquier lugar público hasta que hemos investigado, respondió a, y se dirigió a la vulnerabilidad reportada y los clientes con conocimiento de causa, si es necesario.

También solicitamos respetuosamente de usted para que se abstengan de publicar o compartir los datos que pertenecen a nuestros clientes. Dirigiéndose a una vulnerabilidad válido es un proceso bastante largo y que puede variar en función de la gravedad de la vulnerabilidad y los sistemas afectados.
Notificar un problema de seguridad

Si usted es un investigador de seguridad y se cree que ha encontrado un problema de seguridad en cualquiera de los servicios de TimeTec, por favor, e-mail sus conclusiones a security@timeteccloud.com
Si no desea informar de una vulnerabilidad de seguridad, no podemos responder a su mensaje. Lo siguiente puede ayudar a resolver sus problemas:
 
 1. Para compras desconocida, sospechosa o fraudulenta, pedidos o transacciones de tarjeta de crédito, cambios de contraseña sospechosas, cuenta los cambios o posibles fraudes, póngase en contacto sales@timeteccloud.com
   
 2. Para otros problemas TimeTec, póngase en contacto con support@timeteccloud.com