Centro de confianza
Seguridad en NinjaOne
La seguridad está integrada en la estructura de nuestros productos, equipo, infraestructura y procesos, para que puedas estar seguro de que tus datos están protegidos.
La seguridad está integrada en la estructura de nuestros productos, equipo, infraestructura y procesos, para que puedas estar seguro de que tus datos están protegidos.
Mantenemos políticas internas claras para garantizar el uso ético y responsable de la IA dentro de nuestra organización:
Para garantizar que nuestro uso de la tecnología de IA cumple estrictos requisitos de seguridad, hemos establecido un proceso formal:
Utilizamos IA y ML para mejorar drásticamente la velocidad y la precisión de la gestión de activos de software. Estas tecnologías se aplican principalmente en:
Estas funciones basadas en IA/ML se están desplegando actualmente y están disponibles en varias fases, con algunas funciones presentes hoy en día en la versión 10.
El compromiso de NinjaOne en proporcionar datos de software precisos y fiables es primordial. Aprovechamos la inteligencia artificial (IA) y el aprendizaje automático (ML) específicamente para mejorar la calidad fundamental de los datos que procesamos, si bien la IA no es una función principal para nuestros usuarios finales.
NinjaOne se integra con una gran variedad de aplicaciones de uso común como:
Consulta nuestra página de integraciones para más detalles.
El producto de seguridad para endpoints de NinjaOne cuenta con un modelo de permisos robusto que permite a los administradores conceder y asignar los accesos apropiados según sea necesario utilizando los permisos de usuario y el sistema basado en roles de NinjaOne. Consulta nuestro producto de seguridad para puntos finales para obtener más detalles.
NinjaOne exige un inicio de sesión único (SSO) con 2FA/MFA internamente para todos los servicios y recursos técnicos, de desarrollo y de seguridad a través de proveedores externos como OKTA o AzureAD.
La MFA (autenticación multifactor) es necesaria para la red corporativa de NinjaOne y los entornos de clientes. NinjaOne utiliza Okta.
Para más información, consulta la página 13 de la documentación SOC 2.
El RMM de NinjaOne (Supervisión y gestión remotas) mantiene registros y los clientes tienen la posibilidad de exportar la actividad de la cuenta del portal para varios servicios, por ejemplo:
NinjaOne cuenta con una política de clasificación de datos formalmente documentada que identifica la información necesaria para respaldar el funcionamiento de los controles internos, la consecución de los objetivos y los requisitos asociados de protección, derechos de acceso y conservación.
Para más información, consulta la página 21 de la documentación SOC 2.
Los datos se almacenan en AWS en la región que elijas. NinjaOne procesa los Datos del Cliente en nombre del Cliente y actúa como procesador, el Cliente actúa como controlador.
Para más información, consulta nuestro Acuerdo de Procesamiento de Datos o la página 10 de la documentación SOC 2.
Se mantiene un inventario de sistemas que incluye dispositivos y sistemas físicos, dispositivos virtuales y software.
Para más información, consulta la página 19 de la documentación SOC 2.
Cada cliente tiene claves de cifrado únicas creadas y almacenadas por la Plataforma NinjaOne utilizando Amazon KMS. Todos los controles de dichas claves están documentados en nuestra SOC 2 y certificados anualmente por nuestro auditor externo.
Para más información, consulta la página 10 de la documentación SOC 2.
Las copias de seguridad y respaldo de los sistemas de NinjaOne se realizan de forma periódica siguiendo calendarios y frecuencias establecidos. Las copias de seguridad se supervisan y se generan alertas en caso de excepción. Los fallos se documentan, se clasifican y se resuelven en consecuencia. Todas las copias de seguridad están encriptadas.
Frecuencia de copia de seguridad: Tipo de copia de seguridad nocturna: Completa
Para más información, consulta la página 14 de la documentación SOC 2.
El acceso a los sistemas de NinjaOne está estrictamente controlado y los permisos para los sistemas y aplicaciones internos se revisan y aprueban periódicamente para garantizar que se mantiene el principio del menor privilegio.
NinjaOne cuenta con políticas y procedimientos de acceso que se revisan y aprueban anualmente.
Para más información, consulta la página 13 de la documentación SOC 2.
NinjaOne utiliza protección por contraseña, cifrado y otras medidas de seguridad para evitar el acceso no autorizado a datos confidenciales. Las contraseñas siguen los requisitos del NIST.
Las contraseñas se cifran utilizando longitudes de clave y algoritmos criptográficos estándar de la industria. Todos los datos se almacenan en servidores seguros y de acceso no público.
Para más información, consulta la página 41 de la documentación SOC 2.
NinjaOne cifra los datos confidenciales en tránsito con TLS 1.2 o TLS 1.3.
NinjaOne utiliza varias tecnologías para garantizar que los datos almacenados se cifren en reposo utilizando cifrado AES-256.
Puedes ponerte en contacto con el responsable de protección de datos de NinjaOne enviando un correo electrónico al equipo de privacidad.
NinjaOne Remote cuenta con un conjunto distinto de capacidades de seguridad en comparación con nuestros otros productos NinjaOne.
El backend de NinjaOne Remote, que utiliza puntos de encuentro, facilita la comunicación en red entre Streamer y Player. Todas las interacciones entre Streamer y Player están cifradas de forma peer-to-peer, lo que garantiza que el backend de NinjaOne esté aislado del contenido de la sesión, incluidos vídeo, audio, pulsaciones de teclas y transferencias de archivos.
El entorno de producción de NinjaOne está alojado en AWS. AWS es responsable de restringir el acceso físico a las instalaciones de los centros de datos, los medios de backup y otros componentes del sistema, incluidos cortafuegos, routers y servidores.
Para más información, consulta la página 10 de la documentación SOC 2.
NinjaOne cuenta con un proceso de gestión del cambio dentro de su marco de ciberseguridad, evaluando y controlando sistemáticamente las modificaciones de su entorno de TI para garantizar que las actualizaciones, configuraciones y modificaciones se implementan de forma segura, minimizando los riesgos potenciales y manteniendo una postura de seguridad sólida.
Para más información, consulta la página 13 de la documentación SOC 2.
Se mantiene un inventario de sistemas que incluye dispositivos y sistemas físicos, dispositivos virtuales y software.
Para más información, consulta la página 19 de la documentación SOC 2.
NinjaOne ha implementado herramientas para proporcionar visibilidad sobre los activos clave dentro de nuestra infraestructura.
Para más información, consulta la página 92 de la documentación SOC 2.
NinjaOne cuenta con procedimientos de selección y contratación de nuevos empleados para garantizar que el proceso de contratación se desarrolla de forma eficaz, confirmando que los candidatos reúnen las cualificaciones necesarias mencionadas en la descripción del puesto.
Para más información, consulta la página 91 de la documentación SOC 2.
NinjaOne exige que todos los empleados completen la formación de concienciación en seguridad como parte del proceso de incorporación de nuevos empleados y, posteriormente, de forma anual para todo el personal. La formación incluye cuestionarios que deben ser aprobados para garantizar que el empleado ha asimilado el contenido.
Para más información, consulta la página 18 de la documentación SOC 2.
Los empleados de NinjaOne en Estados Unidos deben someterse a una verificación de antecedentes antes de recibir una oferta de empleo formal. Al ser contratados, todos los empleados deben leer y reconocer:
Para más información, consulta la página 17 de la documentación SOC 2.
NinjaOne ha establecido un Acuerdo de Procesamiento de Datos (APD) (disponible únicamente en inglés) que describe los términos y condiciones que rigen el tratamiento de datos personales.
NinjaOne cumple con las leyes aplicables de notificación de violación de datos.
NinjaOne cuenta con un Plan de Respuesta a Incidentes (IRP) formal que describe los procedimientos de respuesta a eventos de seguridad. Este plan incluye lecciones aprendidas para evaluar la eficacia de los procedimientos.
Para más información, consulta la página 14 de la documentación SOC 2.
En las páginas 14 y 56 de nuestra documentación SOC 2, proporcionamos detalles sobre nuestro Plan de Continuidad de Negocio (BCP) y Plan de Recuperación de Desastres (DRP).
RTO = 6 horas para interrupciones, en caso de pérdida total del centro de datos primario; 12 horas para servicios básicos, y un adicional de 3 días laborables para el servicio completo de restauración.
RPO = última copia de seguridad disponible – diaria
NinjaOne cuenta con un plan documentado de continuidad del negocio y un plan de recuperación ante desastres, controlados y supervisados por un equipo de recuperación ante desastres. Estos planes son sometidos a pruebas anualmente.
Para más información, consulta la página 14 de la documentación SOC 2.
NinjaOne cuenta con un plan documentado de continuidad del negocio y un plan de recuperación ante desastres, controlados y supervisados por un equipo de recuperación ante desastres. Estos planes son sometidos a pruebas anualmente.
Para más información, consulta la página 14 de la documentación SOC 2.
NinjaOne utiliza la infraestructura de AWS Cloud Platform, que proporciona herramientas, escalabilidad, seguridad, fiabilidad y flexibilidad, permitiendo a nuestros clientes beneficiarse de esta infraestructura fiable y segura.
La infraestructura de AWS Cloud Platform está dividida en varias regiones geográficas con centros de datos diseñados para ofrecer la máxima seguridad y disponibilidad.
Para más información, consulta la página 10 de la documentación SOC 2.
El SOC3 es un informe público de los controles internos de AWS para AWS Cloud Platform en materia de seguridad, disponibilidad, confidencialidad y privacidad.
Se necesita un acuerdo de confidencialidad mutuo para este recurso.
La plataforma en la nube de AWS se evalúa anualmente según los criterios de SOC2 tipo II relativos a la seguridad, disponibilidad, confidencialidad y privacidad.
Se necesita un acuerdo de confidencialidad mutuo para este recurso.
NinjaOne cuenta con un completo programa antivirus y de protección contra malware para las estaciones de trabajo y los servidores de los empleados. NinjaOne utiliza reconocidas soluciones de protección de endpoints como parte de una estrategia de defensa en profundidad, garantizando que la actualización periódica de los sistemas para defenderse de las amenazas más recientes.
NinjaOne ha implementado un proceso integral de gestión de riesgos, identificando, analizando y mitigando sistemáticamente los posibles riesgos de ciberseguridad para garantizar la confidencialidad, integridad y disponibilidad de sus sistemas y activos de información.
Cada año se lleva a cabo una evaluación de riesgos para evaluar sistemáticamente los posibles riesgos de ciberseguridad, garantizando que los sistemas de información y activos de NinjaOne se analizan exhaustivamente en busca de vulnerabilidades y que se implementan las estrategias de mitigación apropiadas.
Para más información, consulta la página 18 de la documentación SOC 2.
NinjaOne se somete anualmente a un análisis de vulnerabilidades y a una prueba de intrusión realizadas por un proveedor externo. La certificación de prueba de intrusión de NinjaOne está disponible para los clientes existentes, nuevos y potenciales una vez firmado el Acuerdo de confidencialidad mutuo.
Para más información, consulta la página 14 de la documentación SOC 2.
Si eres un cliente o cliente potencial de NinjaOne y crees que has detectado unavulnerabilidad de seguridad relacionada con NinjaOne, por favor ponte en contacto con [email protected] o infórmanos de la vulnerabilidad de seguridad detectada aquí.
NinjaOne cuenta con un sólido sistema de gestión de vulnerabilidades, identificando, evaluando y mitigando sistemáticamente las posibles vulnerabilidades de seguridad de tu infraestructura de TI para garantizar un entorno operativo resiliente y seguro. NinjaOne se somete anualmente a un análisis de vulnerabilidades y a una prueba de intrusión realizadas por un proveedor externo.
Para más información, consulta la página 14 de la documentación SOC 2.
NinjaOne ha implementado un sólido marco de Gestión de riesgos de terceros (TPRM) para identificar, evaluar y mitigar sistemáticamente los riesgos potenciales asociados con sus asociaciones externas, garantizando la seguridad e integridad de sus operaciones.
Para más información, consulta la página 14 de la documentación SOC 2.
NinjaOne puede contratar y utilizar (i) ciertos procesadores de datos de terceros y/o (ii) uno de los afiliados de NinjaOne (colectivamente, «Subencargados del tratamiento») para proporcionar servicios a sus clientes. Los subencargados del tratamiento podrán acceder a los datos personales facilitados directamente por el cliente con el fin de llevar a cabo los servicios y la asistencia contratados.
Para más información, consulta nuestra página dedicada a los subencargados del tratamiento.