Protección de datos y seguridad Gamelearn

Los servidores de Gamelearn están alojados en facilidades Tier IV o III+, SSAE-16, PCI DSS, o ISO 27001. Nuestras co-localizaciones están físicamente y lógicamente separadas de los centros de datos de otros clientes. Las facilidades de centros de datos de Gamelearn funcionan con fuentes de energía redundantes, cada una de ellas con UPS y con generadores de energía de reserva.

Nuestras instalaciones de centros de datos cuentan con un perímetro de seguridad con varios niveles y zonas de control, con personal de seguridad 7 días a la semana y 24 horas al día, sistema de video-vigilancia CCTV, varios factores de identificación con controles de acceso biométricos, candados físicos, y sistemas de alarma ante cualquier fallo de seguridad.

Todos los sistemas de Redes de Producción, dispositivos conectados a internet, y circuitos son constantemente monitorizados y administrados por personal de Gamelearn. La seguridad física, la alimentación energética y la conectividad más allá de los espacios de jaulas (cage spaces) o de los servicios de Amazon son monitorizados por los proveedores de las instalaciones.

Gamelearn utiliza centros de datos en Europa, la región del mundo que tiene la política de seguridad más restrictiva.

Nuestro equipo de IT y seguridad está disponible 7 días a la semana y 24 horas al día para responder ante cualquier evento o alerta de seguridad.

Nuestra red está protegida por firewalls redundantes, routers con las mejores tecnologías, seguridad de transporte HTTPS sobre redes públicas, auditorías frecuentes, y un sistema de redes de Detección de Intrusiones (Intrusion Detection) y/o tecnologías de Prevención (IDS/IPS) que monitorizan y bloquean el tráfico malicioso y los ataques de redes.

Nuestra arquitectura de seguridad de redes consiste en múltiples zonas de seguridad. Los sistemas más sensibles, como nuestros servidores con bases de datos, están protegidas en nuestras zonas de mayor confianza y seguridad. Otros sistemas se encuentran alojados en otras zonas dependiendo de su sensibilidad, su función, la clasificación de la información y el riesgo. Dependiendo de la zona, se aplican controles adicionales de seguridad y acceso. Las DMZs se utilizan entre Internet e internamente entre las diferentes zonas de seguridad.

El escaneo de seguridad de redes nos da un conocimiento profundo para identificar rápidamente los sistemas que puedan haberse desactualizado o que puedan ser potencialmente vulnerables.

Además de nuestros amplios programas de escaneo y testeo, expertos externos también han realizado pruebas de penetración en las distintas Redes de Producción de Gamelearn para garantizar su seguridad.

Nuestro sistema de Security Incident Event Management (SIEM) recoge amplios registros (logs) de los dispositivos de redes más importantes y de los sistemas de alojamiento. El SIEM advierte al equipo de seguridad de cualquier evento extraño para que éste pueda investigar y responder a tiempo.

Los puntos de entrada y salida en el flujo de datos de nuestras mayores aplicaciones están monitorizados por el Sistema de Detección de Intrusiones (IDS, Intrusion Detection Systems) o el Sistema de Prevención de Intrusiones (IPS, Intrusion Prevention Systems). Estos sistemas están configurados para generar alertas cuando algunos incidentes o valores exceden los umbrales predeterminados; también se actualiza regularmente en base a las nuevas amenazas de seguridad. Esto incluye un sistema de monitorización 7 días a la semana y 24 horas al día.

Gamelearn participa en varios programas de inteligencia sobre amenazas de seguridad. Monitorizamos las amenazas que se reportan a estas redes de inteligencia y tomamos acciones basadas en nuestros productos y redes.

Además de nuestras propias capacidades y herramientas, contratamos proveedores scrubbing de DDoS para mitigar los ataques de Distributed Denial of Service (DDoS).

En caso de recibir una alerta del sistema, los eventos llegan a nuestros equipos de operaciones, ingenieros de redes y coberturas de seguridad, que trabajan 7 días a la semana y 24 horas al día. Los empleados están entrenados en procesos de respuesta ante incidentes de seguridad, incluyendo canales de comunicación y procesos de escalamiento.

El acceso a la Red de Producción de Gamelearn está restringido por un explícito control de conocimientos; aquellos que disfrutan de menos privilegios de acceso son frecuentemente auditados y monitorizados, y el sistema está controlado por nuestro equipo de IT. Los empleados que acceden a la Red de Producción de Gamelearn necesitan utilizar múltiples factores de autentificación.

Las comunicaciones entre tú y el equipo de ayuda y Customer Success de Gamelearn están encriptados a través de las mejores prácticas de HTTPS y Transport Layer Security (TLS) sobre las redes públicas. TLS también soporta el encriptado de emails.

Todos los clientes del sistema de ayuda y Customer Success de Gamelearn se benefician de un sistema de protección de encriptado de datos almacenados para los archivos adjuntos; también disponemos del sistema de copias de seguridad (backup) diarias completas.

Gamelearn utiliza un servicio de redundancia de redes y servicios de clustering para eliminar los puntos individuales de fallo. Nuestro estricto sistema de backup asegura que el Service Data está activamente replicado en nuestros sistemas y facilidades DR primarios y secundarios. Nuestras bases de datos están alojadas en eficientes dispositivos Flash Memory, con múltiples servidores por cada cluster de base de datos.

Nuestro programa de Recovery Disaster (DR) garantiza que nuestros servicios se mantienen disponibles y que son fácilmente recuperables en caso de desastre. Esto se consigue a través de un robusto entorno técnico, de la creación de planes de Disaster Recovery y del testeo.

Con el sistema Enhanced Disaster Recovery, todo el entorno de operaciones, incluido el Service Data, es replicado en un site secundario para permitir la recuperación del servicio en caso de que el site primario resultara totalmente inaccesible.

Al menos una vez al año, nuestros ingenieros participan en formaciones de seguridad informática, cubriendo aspectos como los fallos más importantes de seguridad, los ataques comunes de vectores y otros controles de seguridad de Gamelearn.

El soporte de Gamelearn utiliza el Node.js Framework Security Controls para limitar la exposición a los principales errores de seguridad. Esto incluye controles internos de Cross Site Scripting (XSS) y Cross Site Request Forgery (CSRF), entre otros.

Nuestro equipo de Quality Assurance revisa y testea nuestro código base. Varios de nuestros ingenieros de seguridad de aplicaciones identifican, testean e intervienen en las vulnerabilidades de seguridad del código.

Los entornos de testeo y preparación están separados física y lógicamente del entorno de los videojuegos de Gamelearn. Ningún Service Data se utiliza en los entornos de pruebas.

Además de nuestros amplios programas internos de escaneo y testeo, expertos externos también han realizado pruebas de penetración en seguridad en las diferentes aplicaciones de nuestros productos.

El sistema single sign-on (SS) permite a los usuarios autenticarse en tus propios sistemas sin necesidad de que introduzcan otras credenciales de acceso dentro del servicio de Gamelearn. Permite el sistema Security Assertion Markup Language (SAML).

Gamelearn sigue las mejores prácticas en el almacenaje de credenciales de seguridad; nunca guarda contraseñas en un formato legible para el hombre y solo como resultado de un proceso detallado y seguro.

La API de Gamelearn solo funciona a través de SSL (SSL-only) y debes ser un usuario verificado para poder hacer solicitudes de API. Puedes autorizar contra el uso de API usando la autenticación básica con tu nombre de usuario y contraseña, o con tu nombre de usuario y una API token. También puede utilizarse la autentificación OAuth.

El acceso a datos dentro de la plataforma de Gamelearn se rige por derechos de acceso y pueden ser configurados para conceder distintos niveles de privilegios. Gamelearn tiene varios permisos para los distintos usuarios (solo lectura, estudiante, distribuidor y administrador)

Todas las comunicaciones con los servidores de Gamelearn están encriptadas utilizando los estándares de la industria HTTPS sobre redes públicas. Esto garantiza que todo el tráfico entre tú y Gamelearn es seguro durante la transmisión de datos. Adicionalmente, por email, nuestro producto utiliza el Transporte Layer Security (TLS), un protocolo que encripta y envía los emails de forma segura, mitigando el riesgo de que alguien pueda verlo o interceptarlo sin permiso en los servidores de email.

La plataforma de Gamelearn ofrece DKIM (Domain Keys Identified Mail) para los emails enviados desde Gamelearn cuando has creado un dominio de email externo en nuestra plataforma. Al utilizar este servicio de email sus funcionalidades te permiten evitar la intercepción de tus comunicaciones.

Gamelearn, sus servidores y sus productos cumplen estrictamente con todo lo concerniente a la GDPR (General Data Protection Regulation), la nueva ley de protección de datos de la Unión Europea.

Los servidores de Gamelearn disponen de funciones obligatorias que no pueden invalidar los usuarios que no tengan permiso para modificarlas. En concordancia con la GDPR, se realizan auditorías continuas y en tiempo real.

Los servidores de Gamelearn cumplen la norma ISO 27018, el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube.

Gamelearn ha desarrollado una larga lista de políticas de seguridad que cubren numerosos temas. Estas políticas son accesibles y se comparten con todos los empleados y con los contratistas que tienen acceso a la información de Gamelearn.

Los servidores de Gamelearn disponen de funciones obligatorias que no pueden invalidar los usuarios que no tengan permiso para modificarlas. En concordancia con la GDPR, se realizan auditorías continuas y en tiempo real.

Todos los nuevos empleados, durante el proceso de contratación, son informados de la necesidad de firmar acuerdos de confidencialidad.