¿Tienes una empresa WISP a la que sigas?

Yellowfin mantiene actualizados el WISP de la empresa (que define el funcionamiento seguro de la empresa) y otros documentos SOP para que los siga el personal.

¿Qué acreditaciones externas tiene la empresa?

El aleta amarilla tiene lo siguiente

• UK Cyber Essentials 2018 (obligatorio para vender servicios digitales al Gobierno del Reino Unido)
• Cyber Essentials 2019 del Reino Unido
• Ciberesenciales 2020 del Reino Unido
• Alcanzado SOC2 Tipo 2 en 2021

¿Cuenta tu empresa con una o varias personas identificadas para aplicar y gestionar el Programa de Seguridad de la Información (por ejemplo, el Director de Seguridad de la Información, el Directorio/Gerente, Otro)?

La seguridad de la empresa es responsabilidad de la oficina del Director de Operaciones. El equipo de operaciones gestiona todas las cuestiones de seguridad de la organización.

¿Tiene Yellowfin directrices de refuerzo de la seguridad para los dispositivos informáticos y de infraestructura de red?

El WISP de Yellowfin y otros documentos internos definen los enfoques para endurecer el ecosistema frente a influencias externas o accesos no autorizados. Yellowfin tiene un oficial ISO que se encarga de comprobar regularmente los límites externos y de realizar pruebas de vulnerabilidad en los componentes de la red y en todos los puntos finales. El oficial ISO utiliza herramientas de escaneado estándar del sector para descubrir problemas y clasificarlos para su resolución o mitigación.

¿Tiene Yellowfin cortafuegos para proteger los límites de la empresa?

Yellowfin protege todos los límites de su empresa con cortafuegos Cisco 5515-X o 5545-X; Yellowfin también utiliza cortafuegos internos Cisco 5515-X en los límites internos para proteger los secretos de la empresa y la IP.

¿Tiene Yellowfin protección de puntos finales?

Yellowfin protege todos los puntos finales y plataformas de servicio con la protección en la nube de Bitdefender. Esta tecnología se instala como cliente en Windows, Linux y Apple; se controla y supervisa mediante el portal en la nube. Bitdefender Cloud proporciona a cada cliente un cortafuegos local, antivirus, antimalware, anticripto, protección web/correo electrónico y protección de archivos.

¿Tiene Yellowfin una política de contraseñas?

Yellowfin utiliza contraseñas de alta entropía en todos los servidores y plataformas de servicios externos. Alta entropía significa 20 caracteres o más. Nuestro estándar es de 32 caracteres.
El PNT interno del personal define la política de contraseñas y la frecuencia de reciclaje que debe seguir el personal.

¿Tiene Yellowfin políticas de acceso de usuarios para la creación y aprobación?

Yellowfin utiliza la tecnología OKTA SSO para proporcionar un único punto de acceso a todas las aplicaciones de la empresa. El personal tiene un único inicio de sesión y todas las aplicaciones asignadas accesibles desde la web están disponibles a través del portal OKTA. Cuando el personal se incorpora, se le asignan sus plataformas de acceso, y cuando se retira, se le revocan.
Para las aplicaciones GUI y los equipos que requieren credenciales, éstas son emitidas y revocadas por el equipo de Operaciones.

¿Quién es responsable de conceder acceso a los recursos del sistema informático?

El equipo de Operaciones, que depende de la oficina del Director de Operaciones, es responsable del acceso al sistema informático.

¿Cumple Yellowfin normas como HiPPA, PCI y protege todos los datos PII/KYC de los clientes?

• Yellowfin es un mero proveedor de software y no aloja los datos de los clientes. El personal de ISO del cliente es responsable del alojamiento seguro y la gestión del software de Yellowfin.
• Yellowfin no alberga ni tiene acceso a ningún dato HiPPA.
• Yellowfin no aloja ni tiene acceso a ningún dato de tarjetas de crédito
• Yellowfin no aloja ningún dato de clientes; por lo tanto, no tiene datos de identificación personal ni datos KYC.
• Yellowfin, por política, no accede a los datos de los clientes para actividades de soporte.

¿Cumple Yellowfin la GDPR?

Yellowfin sólo almacena la información de clientes y clientes potenciales proporcionada a Yellowfin por las partes interesadas. Yellowfin no almacena información sensible a la IPI, como la fecha de nacimiento. Toda la información apta para el GDPR es proporcionada por los contactos de clientes potenciales o los contactos de cuentas y es información de nivel público. Yellowfin eliminará la información de una persona que lo solicite de todos los sistemas activos en cumplimiento de las normas GDPR y sólo conservará la información mínima para mantener la integridad de nuestros sistemas de contabilidad y facturación.
Yellowfin también es miembro signatario de US Privacy Shield.

Describe tus procesos y planes de recuperación en caso de catástrofe y/o continuidad de la actividad. Incluye también detalles sobre cuánto tiempo llevan implantados en tu empresa y facilita una copia de tu ejercicio de prueba más reciente.

Yellowfin tiene un plan documentado de RRD, Pandemia y Continuidad; los documentos están redactados para ser flexibles ante cualquier escenario posible que afecte a las operaciones normales de la empresa.
La última prueba del plan fue la crisis COVID-19, que obligó a los ciudadanos a refugiarse en el lugar o en casa. Yellowfin ejecutó el plan y estableció prácticas de WFH para permitir un paso transparente de WIO a WFH sin pérdida de productividad. La infraestructura y la seguridad establecidas de Yellowfin permitieron esta transferencia sin fisuras.

¿Tiene Yellowfin una Política o directrices de Acceso Remoto de Terceros?

No permitimos que terceros accedan a los sistemas de producción; el personal interno gestiona todas las cuestiones relacionadas con la producción y el desarrollo

¿Están obligados los empleados de Yellowfin a firmar acuerdos de confidencialidad?

Todo el personal, al empezar a trabajar, debe firmar un acuerdo de confidencialidad ilimitado y de protección de la propiedad intelectual. Esto protege a Yellowfin y a sus clientes; con respecto a los clientes, impide que el miembro del personal revele cualquier información confidencial que pueda obtener en el ejercicio de sus funciones como representante de Yellowfin que trabaja con clientes.

¿Están los empleados de Yellowfin sujetos a comprobaciones penales y de referencias?

Yellowfin no realiza comprobaciones penales de los empleados; Yellowfin no realiza investigaciones de seguridad de los empleados. Los empleados se someten a comprobaciones de referencias al ser evaluados para el empleo y firman acuerdos de confidencialidad y otros acuerdos de la empresa para la protección de los secretos de la empresa, la propiedad intelectual y la información de los clientes.

¿Tiene Yellowfin un código ético?

Yellowfin tiene una política de código ético para toda la empresa a disposición de todo el personal. Abarca todas las normas de honestidad y juego limpio en el trabajo con los clientes.
El documento puede facilitarse para su revisión previa firma de un acuerdo de confidencialidad.

¿Cumple el software Yellowfin todos los requisitos y normativas federales y estatales de EE.UU. aplicables?

La aplicación Yellowfin cuenta con sólidos controles de seguridad y un esquema de permisos granular para adaptarse a cualquier requisito o normativa. Como empresa, cumplimos todas las normativas pertinentes.

¿Practica Yellowfin métodos de copia de seguridad estándar del sector?

Yellowfin practica copias de seguridad 3.2.1 de los sistemas centrales, los datos y la información. Yellowfin realiza copias de seguridad diarias en la nube AZURE y AWS, reduciendo las pérdidas de PIT.
Las copias de seguridad se cifran para mayor seguridad a través de cables públicos.

¿Dispones de controles para evitar la interrupción cibernética de tus redes y, en última instancia, de tu capacidad para suministrar los productos o servicios contratados (continuidad empresarial)?

Yellowfin tiene un conjunto diversificado de capacidades informáticas en AWS, Involta DC, la sede central y las oficinas regionales. Esto proporciona un alto nivel de flexibilidad y redundancia integrada. Yellowfin protege todos los puntos finales con la protección de puntos finales en la nube de Bitdefender. Yellowfin protege todos los límites exteriores con cortafuegos Cisco 55X5-X. Yellowfin protege los activos IP internos con cortafuegos Cisco 55X5-X. Yellowfin practica 3.2.1 copias de seguridad de los activos principales. Yellowfin emplea a un responsable de seguridad dedicado a escanear regularmente las interfaces internas y externas en busca de vulnerabilidades y gestionar su resolución.

¿Utiliza Yellowfin software de código abierto encubierto y qué medidas se toman para garantizar que el código abierto no está creando fallos de seguridad?

Yellowfin utiliza algunas bibliotecas de código abierto dentro de la base de código de Yellowfin. Yellowfin sólo utiliza bibliotecas de código abierto libres de licencias CopyLeft o Propietarias. Yellowfin utiliza herramientas del sector como SonarCube y SonaType para escanear la base de código de Yellowfin en busca de vulnerabilidades de seguridad, errores y problemas, vulnerabilidades de código abierto, errores de código abierto. Yellowfin emplea a un consultor IS. dedicado que trabaja a tiempo completo en la detección y corrección de la seguridad del código de Yellowfin. Esto también incluye la gestión de las licencias de código abierto para garantizar su cumplimiento.

¿Qué tamaño de clave utiliza Yellowfin para los procesos criptográficos?

Yellowfin elegirá un algoritmo disponible en función del soporte de la JVM. Lo intentará por orden: AES, 3DES, BlowFish, DES. Yellowfin utilizará el tamaño de clave por defecto para el algoritmo elegido.

¿Cómo almacena Yellowfin las contraseñas de los productos?

Yellowfin utiliza el algoritmo bCrypt para hacer un hash de la contraseña en texto plano y almacenar el hash en la base de datos de control; Yellowfin también utiliza CRC y otros mecanismos antimanipulación para garantizar que el hash de la contraseña no pueda ser alterado ni sustituido.

¿Se utiliza TLS por defecto para la comunicación entre el origen y el destino?

Sí. La instancia Tomcat interna de Yellowfin admite TLS 1.2

¿Tiene Yellowfin una evaluación SOC2?

Los informes de Controles de Organizaciones de Servicios (SOC) del Instituto Americano de Contables Públicos Certificados (AICPA) ofrecen garantías sobre los entornos de control relacionados con la recuperación, el almacenamiento, el procesamiento y la transferencia de datos. Los informes abarcan los controles generales de TI y los controles relativos a la disponibilidad, confidencialidad y seguridad de los datos de los clientes.

Yellowfin ha completado con éxito una evaluación SOC2 de tipo 2. El informe está disponible previa solicitud al equipo de ventas de Yellowfin, previa presentación de un acuerdo de confidencialidad firmado.