Cuando te registras para utilizar nuestro producto, nosotros nos comprometemos a mantener tus datos seguros.
Sabemos que Prezi es una herramienta impresionante para difundir ideas y que puede reinventar la forma en que la gente comparte conocimientos, cuenta historias e inspira a su público a actuar. También sabemos que la confianza es un componente necesario para que esta herramienta funcione.
Por eso nuestro compromiso contigo va más allá de ayudarte a hacer tus mejores presentaciones. Se trata de proteger el bien más valioso (y vulnerable) de todos: tu información personal.
Queremos que estés tranquilo/a sabiendo que nuestro cualificado equipo de seguridad utiliza tecnología líder en el sector para gestionar todas las áreas de seguridad de la red, el sistema, los datos y las aplicaciones. Sin recortes. Y sin excepciones.
Aquí tienes un resumen de los estrictos principios por los que nos regimos para ganarnos tu confianza y mantenerla. Gracias por elegir Prezi.
ACLs de red
Seguimos una arquitectura de microservicios en la que los diferentes servicios están débilmente acoplados y cada uno de ellos es responsable únicamente de una característica o función específica dentro de la aplicación.
El acceso está restringido a los microservicios a nivel de red. Los servicios y las bases de datos alojados en AWS, por defecto, no son accesibles desde ninguna parte; hay que añadir manualmente reglas de entrada explícitas.
Control de cambios
Para garantizar la rápida detección de los cambios que puedan afectar a la seguridad de la infraestructura, el equipo de seguridad ha desarrollado una solución automatizada que crea alertas en el sistema de tickets para su revisión.
Exploración automatizada de vulnerabilidades
Los escaneos automatizados de vulnerabilidad de caja negra se ejecutan tanto periódicamente como en respuesta a los cambios de infraestructura en nuestro entorno en la nube con el fin de identificar rápidamente los sistemas potencialmente vulnerables.
Pruebas de infiltración de terceros
Al menos una vez al año, contratamos a un auditor externo independiente para que realice una prueba de infiltración a nivel de infraestructura y de aplicación.
Programa de divulgación responsable
Como resultado de nuestro programa público de divulgación responsable (https://prezi.com/bug-bounty/), tanto nuestra infraestructura como nuestra aplicación son continuamente analizadas por escáneres de vulnerabilidad e investigadores de seguridad entusiastas.
Gestión de incidentes de seguridad (SIEM)
Nuestra solución SIEM recoge, procesa y correlaciona registros detallados de nuestra infraestructura en la nube, de los nodos que se ejecutan en ella y de las propias aplicaciones. El equipo de seguridad funciona como un centro de operaciones de seguridad y es responsable de supervisar y responder a las amenazas tanto internas como externas. El equipo responde de forma continua a las alertas automatizadas abiertas por diferentes mecanismos de detección (por ejemplo, AWS GuardDuty, AWS Macie, registros de uso de AWS, alertas de detección de amenazas de la infraestructura a través de Sysdig Falco, registros detallados relevantes para la seguridad de los componentes de la infraestructura, registros relacionados con la seguridad web, etc.)
Cortafuegos de aplicaciones web (WAF)
Utilizamos una solución de cortafuegos de aplicaciones web de última generación en modo de bloqueo como primera línea de defensa frente a todo el tráfico web orientado al cliente.
Cifrado en tránsito
Por defecto, utilizamos el cifrado TLS entre el cliente de Prezi (ya sea el navegador o nuestra aplicación de escritorio/iOS/Android) y el servidor. La conexión TLS también se establece entre los servidores que se ejecutan en diferentes regiones.
Los equilibradores de carga se utilizan para terminar TLS con la emisión automática de certificados con fuertes parámetros de seguridad (claves públicas RSA de 2048 bits con algoritmo de firma SHA256+RSA).
TLS también es compatible con todas las comunicaciones por correo electrónico que mantenemos con nuestros clientes.
Cifrado en reposo
Los datos críticos de los clientes (XML de Prezi y recursos multimedia) creados después de febrero de 2018 se cifran en el lado del servidor con AES-256. El cifrado es transparente; las claves son gestionadas por nuestro proveedor de infraestructura en la nube.
Centro de datos
Utilizamos un proveedor de servicios en la nube de primer nivel que cumple con numerosas normativas y estándares de privacidad (Reglamento General de Protección de Datos de la UE, HIPAA, GLBA, HITECH), y posee certificaciones reconocidas por la industria (SOC, PCI, FedRAMP, ISO y otras).
Revisiones de seguridad
Para poner de manifiesto los posibles riesgos de seguridad lo antes posible, todos los planes de arquitectura son revisados por el equipo de seguridad. En cada caso, el equipo de seguridad también ejecuta ejercicios de modelado de amenazas en colaboración con los equipos de ingeniería implicados.
Por ello, el equipo de seguridad interactúa a diario con los desarrolladores e ingenieros para compartir la mentalidad de seguridad, las mejores prácticas y herramientas eficaces.
Análisis de código estático
Estamos apoyando nuestro ciclo de vida de desarrollo de software seguro con herramientas que detectan automáticamente los cambios de código en función de las mejores prácticas de seguridad. El equipo de seguridad revisa todos los cambios de código marcados como riesgos potenciales, hace un seguimiento de los problemas abiertos y se comunica con los ingenieros para compartir diariamente los conocimientos y las mejores prácticas relacionadas con la seguridad.
Pruebas de infiltración de terceros
Al menos una vez al año, contratamos a un auditor externo independiente para que realice una prueba de infiltración a nivel de infraestructura y de aplicación.
Programa de divulgación responsable
Como resultado de nuestro programa público de divulgación responsable (https://prezi.com/bug-bounty/), tanto nuestra infraestructura como nuestra aplicación son continuamente analizadas por escáneres de vulnerabilidad e investigadores de seguridad entusiastas.
Auditoría
Disponemos de un registro detallado de la actividad de los usuarios, que incluye (pero no se limita a) eventos relacionados con la seguridad como el inicio de sesión, el cambio de contraseña, la creación/eliminación/modificación de presentaciones, la configuración de la privacidad y los cambios en los derechos de acceso a nivel de la aplicación.
Compartir prezis y privacidad de datos
Después de crear una presentación, puedes proteger quién la ve añadiendo específicamente colaboradores o generando un enlace de visualización que puede enviarse a quien tú elijas. También puedes hacer que tu presentación esté disponible para todo el mundo cambiando su configuración de privacidad.
Para más información, visita:
Autenticación y almacenamiento de credenciales
Prezi es compatible con la autenticación basada en el correo electrónico y la contraseña, así como con la autenticación de terceros, como Facebook y Google. Las contraseñas nunca se almacenan en texto plano.
Cifrado en tránsito
Por defecto, utilizamos el cifrado TLS entre el cliente de Prezi (ya sea el navegador o nuestra aplicación de escritorio/iOS/Android) y el servidor. La conexión TLS también se establece entre los servidores que se ejecutan en diferentes regiones.
Los equilibradores de carga se utilizan para terminar TLS con la emisión automática de certificados con fuertes parámetros de seguridad (claves públicas RSA de 2048 bits con algoritmo de firma SHA256+RSA).
TLS también es compatible con todas las comunicaciones por correo electrónico que mantenemos con nuestros clientes.
Informe SOC 2 Tipo 2 sobre Seguridad
Nos hemos sometido con éxito a una auditoría externa e independiente de terceros y hemos obtenido un informe SOC 2 Tipo 2 sobre Seguridad para Prezi. El informe está disponible bajo petición para los suscriptores de Prezi Business que firmen un acuerdo de no divulgación. Para más información, contacta con nuestro equipo de ventas.
Privacidad y protección de datos
Puedes leer nuestra política de privacidad en línea y encontrar más detalles sobre Prezi y el GDPR, y la CCPA en nuestra base de conocimientos.
For our Privacy Whitepaper please contact our Sales team.
Informe de seguridad
Para obtener nuestro informe de seguridad, ponte en contacto con nuestro equipo de ventas.
Informe sobre la privacidad
Para obtener nuestro informe de privacidad, ponte en contacto con nuestro equipo de ventas.