Seguridad
La protección de la privacidad y la seguridad de los datos es una prioridad absoluta para Leoblocks.
Leoblocks opera los servicios ofrecidos en Leoblocks.com (el "Sitio web de Leoblocks"), incluida la plataforma Leoblocks (la "Plataforma Leoblocks") y cualquier aplicación móvil asociada (las "Aplicaciones Leoblocks") o productos y servicios que la Compañía pueda proporcionar ahora o en el futuro (en conjunto, el "Servicio").
La protección de la privacidad y la seguridad de los datos es una prioridad absoluta para Leoblocks. Nuestra Política de privacidad y el Anexo de privacidad de datos de los estudiantes consolidan los compromisos que Leoblocks y las escuelas asumen entre sí, incluidos nuestros compromisos de seguridad y privacidad. Los términos en mayúsculas que no se definen en este documento, como "Datos de los estudiantes", se definen en nuestro Anexo de privacidad de datos de los estudiantes. Evaluamos periódicamente nuestras políticas y prácticas para mejorar la seguridad y mantenernos al día con las últimas prácticas de la industria de la seguridad.
Este documento está diseñado para proporcionar a los lectores técnicos, como los directores de información o los directores de tecnología de los distritos escolares, mayor claridad y detalles sobre nuestros compromisos de seguridad. Si bien este documento está escrito para expertos en tecnología que a menudo desempeñan un papel clave en la evaluación de nuestras políticas, reconocemos que la seguridad de los datos es tan importante para las familias, los maestros y los estudiantes como para los funcionarios escolares. Si desea obtener más información y acceder a materiales escritos para ayudarlo a digerir la información más técnica, comuníquese con nuestro equipo en support@leoblocks.com
Cifrado en reposo y en tránsito
El acceso al Servicio Leoblocks se produce a través de conexiones cifradas
(HTTP sobre TLS, también conocido como HTTPS) que cifran todos los datos antes de que salgan de los servidores del Servicio Leoblocks y protegen esos datos mientras transitan por Internet. Todos nuestros Servicios están en Amazon Web Services (AWS) y se brindan desde Cloudfront o Elastic Load Balancer (ELB). Usamos HTTP Strict Transport Security para garantizar que las páginas se carguen a través de conexiones HTTPS y nuestra configuración TLS recibe una A+ de Qualys SSL Labs.
Los datos de los estudiantes se almacenan en nuestro proveedor de servicios, AWS, y lo siguiente se aplica a sus medidas técnicas y organizativas. Además, protegemos los equipos de procesamiento de datos descentralizados y las computadoras personales. Toda la información de identificación personal se cifra en reposo mediante algoritmos de cifrado modernos. En AWS S3, utilizamos AES256 con claves administradas por AWS, en Aurora (MySql) utilizamos AES-256 con claves administradas por el cliente y en Redshift utilizamos AES-256 con claves administradas por AWS. Además, utilizamos MongoDB con AES-256 con claves administradas por AWS.
Seguridad de la red
Los servicios de Leoblocks utilizan AWS para alojar la infraestructura. AWS se somete a estrictas evaluaciones de seguridad constantes por parte de empresas de auditoría externa para garantizar el cumplimiento de los estándares de seguridad, incluidos ISO 27001, SOC 2, PCI DSS Nivel 1 y FISMA. Consulte https://aws.amazon.com/compliance/programs/ para obtener más detalles.
El acceso a la red de la infraestructura de los servicios de Leoblocks está altamente restringido. La infraestructura alojada en AWS reside en una nube privada virtual (VPC) dedicada que está diseñada para garantizar que solo se permita el tráfico autorizado a través de los puertos aprobados. Usamos ThreatStack para monitorear actividades sospechosas.
Aplicación de parches
Usamos procesos automatizados para instalar regularmente actualizaciones de seguridad en la infraestructura que impulsa los Servicios Leoblocks. Estos procesos incluyen:
Servicios administrados de AWS (por ejemplo, Servicio de base de datos relacional): AWS notifica de manera proactiva a nuestro equipo de ingeniería cuando hay actualizaciones disponibles y las aplicamos de manera oportuna.
AWS EC2: ThreatStack y AWS Inspector monitorean todas las instancias de EC2 y las actualizaciones se aplican de manera oportuna.
Aplicación Leoblocks: Snyk.io y Github monitorean las vulnerabilidades y las actualizan de manera oportuna.
Copias de seguridad y control de disponibilidad
Contamos con una capacidad de copia de seguridad y recuperación de datos que está diseñada para proporcionar una restauración oportuna de los Servicios Leoblocks, con una pérdida mínima de datos, en caso de una falla catastrófica. Estas copias de seguridad están cifradas y almacenadas en múltiples zonas de disponibilidad. Las medidas técnicas y organizativas adicionales para garantizar que los datos de los estudiantes estén protegidos contra la destrucción o pérdida accidental (física/lógica) incluyen:
- Sistema de alimentación ininterrumpida (UPS)
- Almacenamiento remoto
- Sistemas de cortafuegos
Nota: Los datos de los estudiantes se almacenan en nuestro proveedor de servicios (actualmente AWS) y lo anterior se aplica a sus medidas técnicas y organizativas, así como a cualquier otro proveedor de servicios relevante, como MongoDB. Además, contamos con un plan de recuperación ante desastres.
Controles de acceso físico
Las medidas técnicas y organizativas para evitar que personas no autorizadas accedan a los sistemas de procesamiento de datos disponibles en las instalaciones y los locales (incluidas las bases de datos, los servidores de aplicaciones y el hardware relacionado) donde se procesan los datos de los estudiantes* incluyen:
- Establecer áreas de seguridad, restringir las rutas de acceso
- Establecer autorizaciones de acceso para empleados y terceros
- Sistema de control de acceso (lector de identificación, tarjeta magnética, tarjeta con chip)
- Gestión de llaves, procedimientos de tarjetas-llaves
- Bloqueo de puertas (abrepuertas eléctricos, etc.)
- Instalaciones de vigilancia, monitor de video/CCTV, sistema de alarma
Nota: Los servicios de Leoblocks están alojados actualmente en AWS y los datos de los estudiantes se almacenan en nuestro proveedor de servicios, actualmente AWS, que emplea medidas de seguridad física líderes en la industria para proteger sus centros de datos y lo anterior se aplica a sus medidas técnicas y organizativas. Estas características de seguridad son auditadas regularmente por auditores externos. Puede obtener más información sobre la seguridad física de AWS aquí. También utilizamos MongoDB. Puede obtener más información sobre la seguridad de Mongo DB aquí. Además, protegemos los equipos de procesamiento de datos descentralizados y las computadoras personales.
Control de acceso virtual
Las medidas técnicas y organizativas para evitar que los sistemas de procesamiento de datos utilizados para los datos de los estudiantes sean utilizados por personas no autorizadas incluyen:
- Procedimientos de identificación y autenticación de usuarios
- Procedimientos de seguridad de ID/contraseña (caracteres especiales, longitud mínima, cambio de contraseña)
- Cifrado de los medios de datos archivados
Control de acceso a los datos
El acceso a la infraestructura de Leoblocks Services está altamente restringido. Limitamos el acceso a las personas que necesitan acceder para hacer su trabajo, como ingenieros, científicos de datos, gerentes de productos y personal de soporte. Todo acceso a nuestra infraestructura se registra. Todo acceso a nuestra infraestructura requiere el uso de contraseñas seguras y autenticación multifactor.
Las medidas técnicas y organizativas para garantizar que las personas autorizadas a utilizar un sistema de procesamiento de datos tengan acceso únicamente a dichos Datos de Estudiantes de acuerdo con sus derechos de acceso, y que los Datos de Estudiantes no puedan leerse, copiarse, modificarse o eliminarse sin autorización, incluyen:
- Políticas y procedimientos internos
- Esquemas de autorización de control
- Derechos de acceso diferenciados (perfiles, roles, transacciones y objetos)
- Monitoreo y registro de accesos
- Medidas disciplinarias contra empleados que accedan a información de identificación personal sin autorización
- Informes de acceso
- Procedimiento de acceso
- Procedimiento de cambio
- Procedimiento de eliminación
Control de divulgación
Las medidas técnicas y organizativas para garantizar que los Datos de Estudiantes no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión electrónica, el transporte o el almacenamiento en medios de almacenamiento (manuales o electrónicos), y que se pueda verificar a qué empresas u otras entidades legales se divulgan los Datos de Estudiantes, incluyen:
- Encriptación/tunelización
- Registro
- Seguridad del transporte
Control de entrada
Las medidas técnicas y organizativas para monitorear si se ingresaron, cambiaron o eliminaron Datos de Estudiantes (eliminados) y por quién, de los sistemas de procesamiento de datos, incluyen:
- Sistemas de registro y generación de informes
- Registros de auditoría y documentación