Seguridad
Cómo protegemos nuestros productos y los datos que recopilan
Seguridad
Nuestro compromiso con la seguridad se basa en estos principios:
El enfoque de confianza cero de Verkada para los dispositivos del Internet de las Cosas (IoT) gestionados en la nube consiste en que nuestros sistemas no deben confiar en ningún usuario, red o dispositivo sin autenticación y autorización.Este enfoque mitiga los riesgos inherentes a la naturaleza expansiva e interconectada de los dispositivos IoT, que de otro modo podrían crear puntos de entrada vulnerables a ciberataques.
El personal de Verkada solo puede acceder a la infraestructura del producto o al código de Verkada autenticándose mediante el inicio de sesión único SAML del proveedor de identidades de Verkada.
El proveedor de identidades de Verkada para la infraestructura de productos es independiente del proveedor de identidades corporativo de Verkada y requiere autenticación multifactor, incluidas claves de hardware.
El personal del equipo de soporte de Verkada que acceda a los datos de los clientes a través de las herramientas de soporte de Verkada debe obtener primero el consentimiento con límite de tiempo del cliente correspondiente a través del Sistema de Permisos de Soporte.
Verkada aplica un control de acceso basado en roles de privilegios mínimos a toda la infraestructura de productos, datos de clientes y dispositivos de Verkada. Esto significa que basamos el nivel de acceso necesario en el rol de un usuario y proporcionamos el nivel de acceso más bajo posible. Los roles que requieren acceso de alto privilegio se conceden bajo demanda, según sea necesario, y solo durante un período limitado, con un alto grado de supervisión.
Toda comunicación con los productos y sistemas de Verkada a través de redes públicas utiliza TLS 1.2 o superior con configuraciones modernas de conjuntos de cifrado.
Diseñamos los productos e interfaces de Verkada para dirigir nuevos tipos de datos a través de un conjunto limitado de interfaces con seguridad reforzada.Este enfoque reduce el número de puntos de entrada que necesitamos proteger contra posibles ataques y nos permite concentrar nuestros recursos de seguridad en cada punto de entrada.
Aislamos la infraestructura de nuestros productos del resto de la empresa, hasta el grado de disponer de un proveedor de identidades independiente para la autenticación de inicio de sesión único.
Desarrollamos el firmware de nuestros dispositivos con sistemas operativos minimizados y el menor número posible de componentes para reducir al mínimo los posibles puntos de ataque.
En nuestros dispositivos, solo utilizamos canales seguros, establecidos mediante llamadas de red salientes a una puerta de enlace API segura en la plataforma Command de Verkada, para cualquier comando administrativo.
Desarrollamos todos los aspectos del programa de seguridad de Verkada con un enfoque que da prioridad a la automatización.Esto nos ayuda a mantener la eficacia del programa de seguridad de Verkada a medida que ampliamos la escala y a minimizar las deficiencias en la forma de implementar nuestras políticas.
Nuestro enfoque de “configuración como código” nos ayuda a aplicar sistemáticamente patrones de configuración seguros que se ajustan a los puntos de referencia del sector para la consolidación.
Nuestro enfoque de “política como código” define las políticas de Verkada como reglas que debe seguir el software, lo que aumenta el cumplimiento de estas por parte de Verkada.
Los parches para vulnerabilidades conocidas se aplican automáticamente a los servicios de infraestructura al menos cada 2 semanas.
Nuestra plataforma de automatización del cumplimiento monitorea continuamente el cumplimiento de los estándares de seguridad y privacidad.
Llevamos a cabo un monitoreo continuo de los registros de seguridad y la detección automatizada de posibles incidentes de seguridad.
Verkada incorpora la seguridad en todo el ciclo de vida de desarrollo del software utilizando un enfoque de defensa en profundidad por capas para evitar vulnerabilidades y mitigar el impacto de la explotación.
Nuestros equipos de ingeniería de software colaboran con un miembro del equipo de seguridad de Verkada para garantizar que se sigan las prácticas recomendadas de seguridad desde la concepción del producto y las funciones hasta su finalización.
Implementamos el software de Verkada siguiendo hojas de ruta establecidas diseñadas con configuraciones seguras y predeterminadas para tomar las decisiones correctas desde el principio.
Establecemos mecanismos de protección para mantener las invariantes de seguridad y evitar que se tomen decisiones poco seguras en las etapas de diseño e implementación.
Además, contamos con un programa de recompensas por detección de errores (Bug Bounty Program), mediante el que ofrecemos recompensas económicas a los investigadores de seguridad externos que detecten y comuniquen posibles problemas de seguridad.
Contratamos a consultores de seguridad independientes para que realicen evaluaciones independientes de seguridad al menos trimestralmente, como parte de nuestra gestión continua de riesgos y garantía para el cliente.
Disponibilidad
Cómo mantenemos la disponibilidad de nuestros productos y sistemas
Sabemos que las empresas líderes de todo el mundo esperan que nuestros productos y servicios estén a su disposición cuando los necesiten. Por eso, nos comprometemos a que nuestra plataforma esté disponible el 99,99 % o más del tiempo durante cualquier mes natural, y respaldamos ese compromiso con nuestros estándares de nivel de servicio. Los clientes pueden ver el estado del sistema de la plataforma Verkada Command, el estado de las incidencias y el historial en vivo en status.verkada.com. En esa página, los clientes también pueden suscribirse para recibir actualizaciones de estado.
Fiabilidad
Cómo mantenemos la fiabilidad de nuestros productos y sistemas
Sabemos que nuestros clientes no solo esperan que nuestros productos y servicios estén a su disposición cuando los necesiten, sino que también requieren confiar en nuestros productos y servicios incluso cuando hay imprevistos.Por eso, hemos creado procesos, estándares y sistemas de recuperación redundantes para restablecer los servicios lo antes posible.
Verkada Command se aloja principalmente en Amazon Web Services (AWS) y aprovecha los controles de fiabilidad de los centros de datos de AWS. Verkada cumple con los principios de diseño y las prácticas recomendadas que se describen en el pilar de fiabilidad del marco de buena arquitectura de AWS.
La infraestructura de nube de Verkada puede recuperarse de las interrupciones de la infraestructura o del servicio adquiriendo dinámicamente recursos informáticos para satisfacer la demanda y mitigar las interrupciones, como errores de configuración o problemas transitorios de la red.La configuración se gestiona mediante código, y mediante automatización en el caso de la gestión de cambios.
Los datos de los clientes se almacenan en la infraestructura de la nube de Verkada que utiliza AWS S3 o Backblaze, los cuales se diseñaron para ofrecer una durabilidad de al menos el 99,999999999%.
Verkada tiene y mantiene planes de continuidad del negocio y de respuesta a incidentes para hacer frente rápidamente a una interrupción del negocio o a un incidente de seguridad y reducir al mínimo el impacto para los clientes.Ponemos a prueba estos planes al menos una vez al año para detectar y abordar cualquier deficiencia, utilizando tanto simulacros como pruebas prácticas de teclado.
Verkada realiza copias de seguridad periódicas de los datos de los clientes y las conserva de acuerdo con un calendario predefinido en la Política de Seguridad de la Información. Además, si están habilitadas, realiza continuamente copias de seguridad del video de las cámaras en la nube. Este proceso crea la redundancia necesaria para minimizar el riesgo de pérdida de datos y recuperar rápidamente archivos y datos en caso de interrupción del servicio, error del sistema o desastre natural.
Gobernanza, Riesgo, Cumplimiento (GRC)
Cómo gestionamos el cumplimiento y cómo nuestros productos pueden ayudar a los clientes a cumplir las normas.
Con cada nuevo producto, tecnología o colaboración surgen nuevas preguntas que responder y decisiones que tomar en materia de seguridad y privacidad.Un sólido marco de GRC ayuda a garantizar que Verkada pueda tomar esas decisiones manteniendo el cumplimiento, gestionando eficazmente los riesgos y estableciendo una estructura de gobernanza robusta que ayude a que la toma de decisiones y la gestión del rendimiento sean excelentes.
El director de seguridad de la información de Verkada supervisa nuestro programa de seguridad, dirige el equipo de seguridad de Verkada y depende directamente de nuestro director de tecnología (que a su vez depende de nuestro CEO). Nuestro CISO también presenta actualizaciones trimestrales al Consejo de Administración de Verkada sobre el estado y el rendimiento de nuestro programa de seguridad.
Verkada tiene un Comité de Gobernanza de Seguridad, que incluye al equipo directivo sénior, que gestiona la estrategia de seguridad y la gestión de riesgos de Verkada, y monitorea el rendimiento del programa de seguridad.
El equipo de seguridad de Verkada realiza auditorías periódicas de cumplimiento y comparte la información capturada a través del monitoreo continuo del cumplimiento.
La documentación de los siguientes estándares de seguridad está disponible aquí.
Las prácticas de seguridad de Verkada se ajustan a una serie de estándares que respaldan los requisitos de seguridad de los clientes.
Verkada realiza evaluaciones de seguridad independientes de sus sistemas al menos trimestralmente.
SOC 2
Verkada realiza exámenes anuales SOC 2 Tipo 2 para los criterios de seguridad de servicios de confianza.
ISO 27001:2022
La plataforma Verkada Command recibió la certificación ISO 27001:2022 (sistemas de gestión de seguridad de la información).
ISO 27017:2015
La plataforma Verkada Command recibió la certificación ISO 27017:2015 (controles de seguridad de la información para servicios en la nube).
ISO 27018:2019
La plataforma Verkada Command recibió la certificación ISO 27018:2019 (la protección de la información de identificación personal [PII] en nubes públicas).
TX-RAMP
A partir del 22 de abril de 2024, Verkada incorpora la certificación provisional TX-RAMP (Programa de Gestión de Autorización y Riesgos de Texas).
FedRAMP
La plataforma Verkada Command para AWS GovCloud ya está disponible. Verkada logró la certificación FedRAMP Ready en el nivel de impacto moderado el 2 de julio de 2024. Para obtener más información sobre las soluciones de grado gubernamental, visite verkada.com/government.
Para evaluar e identificar áreas de mejora en nuestros sistemas, Verkada utiliza cuestionarios estándar del sector, incluyendo:
CAIQ
El Consensus Assessments Initiative Questionnaire ofrece una forma aceptada por el sector de documentar qué controles de seguridad existen y proporciona transparencia en el control de la seguridad.
HECVAT
El kit de herramientas de evaluación de proveedores de la comunidad de enseñanza superior está diseñado específicamente para que los centros de enseñanza superior y las universidades confirmen que existen políticas de datos y ciberseguridad para proteger información institucional confidencial.
ISO 27701:2019
Verkada ha logrado la certificación ISO 27701:2019, un estándar reconocido internacionalmente para la gestión de la privacidad de la información.
Marco de privacidad de datos
Verkada cuenta con la certificación del Marco de privacidad de datos para datos que no son de recursos humanos. Para obtener más información, consulte nuestra certificación en el sitio web del DPF.
Verkada y nuestros clientes operan en el marco de diversos regímenes normativos.Hemos diseñado nuestros productos y nuestras prácticas internas para abordar estas obligaciones normativas de forma que apoyen las necesidades de cumplimiento de nuestros clientes.
HIPAA: En el caso de los clientes del sector de la atención médica que son entidades incluidas en la ley HIPAA, Verkada les ayuda a cumplir las obligaciones de esta ley como Asociados Empresariales.
RGPD: Con respecto a los datos personales de nuestros clientes procesados por los productos Verkada, Verkada actúa como encargado del tratamiento de datos. Suscribimos las Cláusulas Contractuales Estándar con nuestros clientes mediante nuestro Anexo de Procesamiento de Datos con el fin de establecer una base adecuada para la transferencia de datos personales del Reino Unido/UE a EE. UU.
Leyes de privacidad estatales de EE. UU.: Verkada diseña sus prácticas de privacidad con el fin de cumplir los estándares en desarrollo establecidos por las leyes de privacidad específicas de cada estado promulgadas en EE. UU.
En Verkada, nos esforzamos continuamente para que nuestros productos cumplan las leyes y normativas aplicables en todo el mundo.Actualmente, los productos de Verkada, incluidas cámaras y alarmas, cumplen los estándares de conformidad para su venta en EE. UU., Canadá, Reino Unido, la UE, Australia y Nueva Zelanda.También puede haber otras certificaciones disponibles previa solicitud.
Abajo encontrará información sobre productos y funciones específicas.
Cumplimiento y disponibilidad de alarmas
Obtenga más información sobre dónde está disponible actualmente el software de alarma, los productos de hardware, los productos inalámbricos, los productos móviles y la provisión de servicios de emergencia de Verkada.
Cumplimiento y disponibilidad de Análisis de personas
Obtenga más información sobre dónde puede no estar disponible actualmente la función Análisis de personas de Verkada.
Especificaciones de hardware
Puede encontrar más información sobre las especificaciones concretas de los productos, incluidas las certificaciones de hardware, para cada cámara o alarma en el enlace “Más información” de las descripciones de los productos.