Saltar al contenido
CENTRO DE CONFIANZA DE HOOTSUITE

Cumplimiento


Programa de gestión de riesgos

El marco de gestión de riesgos de seguridad de Hootsuite establece el mandato y compromiso generales, los principios rectores y las funciones y responsabilidades establecidas para gestionar, monitorizar y mejorar la práctica de gestión de riesgos dentro de la organización. Este programa es adaptable para reflejar el entorno organizacional interno y externo, los avances tecnológicos y los cambios empresariales. El marco incluye la evaluación y el tratamiento de los riesgos de seguridad de la información para todos los procesos de seguridad, incluyendo la revisión de vendedores/proveedores, parches de aplicaciones/servidores, gestión de incidentes de seguridad y corrección de vulnerabilidades.

Hootsuite tiene un equipo dedicado cuya misión es proporcionar garantías objetivas y actividades de asesoramiento diseñadas para añadir valor y fortalecer las operaciones de Hootsuite. Su trabajo consiste en determinar si la organización de los procesos de gestión de riesgos, control y gobierno de Hootsuite, tal y como los diseñó y representó la dirección, es adecuada y funciona según lo previsto para todas las unidades de negocio, incluidas las operaciones de Hootsuite.

Esto implica:

  1. Garantizar que la gestión haya implementado controles internos fiables.

  2. Aconsejar a las unidades de negocio sobre el riesgo y ayudar a la dirección a identificar controles para mitigar los riesgos.

  3. Evaluar los controles y las operaciones dentro de las unidades de negocio, e informar de los resultados de la evaluación a la dirección.

Existe un proceso estructurado de evaluación de riesgos para identificar y gestionar los riesgos que podrían afectar tu capacidad para proporcionar servicios a tus clientes. La evaluación se realiza anualmente o cuando se produce un cambio significativo en el entorno o el proceso empresarial. La evaluación incluye los siguientes pasos: identificar, analizar, evaluar y tratar eficazmente los riesgos.


Políticas de seguridad de la información

Hootsuite ha establecido un sistema de gestión de seguridad de la información (SGSI) para guiar sus operaciones. Existen políticas y procesos para proporcionar a los responsables dirección y apoyo para la seguridad de la información de acuerdo con los requisitos empresariales y los marcos, leyes y reglamentos pertinentes. Hootsuite tiene un completo conjunto de políticas de seguridad de la información que se basan en los estándares de seguridad de la información ISO/IEC 27001/27002, los Criterios de Servicios de Confianza (SOC 2), NIST 800-53 y el RGPD. Incluyen políticas relacionadas con: 

  • Uso aceptable

  • Control de acceso 

  • Gestión de activos 

  • Gestión de cambios 

  • Gestión de configuración 

  • Criptografía 

  • Recuperación en caso de desastre 

  • Seguridad de puntos finales 

  • Clasificación de la información 

  • Seguridad de recursos humanos 

  • Registro y monitorización 

  • Copia de seguridad de operaciones 

  • Contraseña

  • Seguridad física y ambiental 

  • Gestión de incidentes de seguridad

  • Gestión de riesgos de seguridad 

  • Gestión de vulnerabilidades de seguridad

  • Gestión de riesgos de terceros 

  • Seguridad inalámbrica

Las políticas de seguridad se basan en los principios clave de mínimo privilegio, necesidad de conocer y separación de funciones. Las políticas se revisan una vez al año o cuando se produce un cambio significativo en el entorno o el proceso empresarial.


Verificación

Hootsuite realiza pruebas internas de los principales controles de seguridad y privacidad para validar el cumplimiento de los marcos establecidos. Esto incluye pruebas de penetración de seguridad de terceros anualmente. Los resultados se comunican a la gerencia ejecutiva; se monitorizan los esfuerzos de corrección y se vuelven a probar los controles según sea necesario para garantizar el cumplimiento.

Los controles de seguridad y privacidad son auditados anualmente por un tercero independiente para verificar que la tecnología, los procesos y los procedimientos están implantados y se siguen. Puedes solicitar un resumen de nuestro informe SOC 2 Tipo II a través de tu gestor de cuentas.
Nuestro informe SOC 3 resume la información relacionada con los controles internos de Hootsuite para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad y está disponible para su descarga aquí.

La Estrategia Nacional de Seguridad Cibernética del Gobierno del Reino Unido requiere que todos los proveedores cumplan con los controles Cyber Essentials para licitar en contratos gubernamentales que implican el manejo de información confidencial y personal. Cyber Essentials fue desarrollado por el Gobierno del Reino Unido, consultando con el sector, y proporciona una base de medidas básicas de ciberhigiene. Hootsuite ha alcanzado el cumplimiento del programa Cyber Essentials.


FedRamp

El Programa Federal de Gestión de Riesgos y Autorizaciones o FedRAMP, es un programa gubernamental que estandariza la evaluación de la seguridad de los servicios en la nube utilizados por las agencias federales de EE. UU. El FedRAMP garantiza que las empresas cumplan con normas rigurosas que se rigen por un organismo externo. Se anima a las agencias federales de EE. UU. a alojar datos con proveedores de servicios en la nube externos que tengan autorización FedRAMP.


La autorización del FedRAMP sigue un proceso de certificación que se audita según la norma NIST SP 800-53. Existen diferentes niveles de autorización en función del tipo de datos federales tratados por el proveedor. Hootsuite está autorizado según el estándar FedRAMP Tailored Li-SaaS.

Si tienes preguntas sobre el programa de gestión de riesgos, las políticas de seguridad de la información o el proceso de verificación independiente de Hootsuite, pregunta a tu representante de éxito del cliente o ponte en contacto con nosotros para obtener más información.