- Notas relacionadas
- Primeros pasos
- Instalación y configuración
- Trabajar con Task Mining
- Recursos adicionales
Seguridad
El portal de administración y el analizador se ofrecen a través de un modelo de software como servicio (SaaS) construido y alojado en Microsoft Azure. Todos ellos utilizan los servicios principales de Azure, como la informática, el almacenamiento, la red, la base de datos SQL, la configuración de aplicaciones, el almacenamiento secreto en Key Vault y la gestión de identidades y accesos.
Esto nos permite centrarnos en los aspectos exclusivos de la ejecución de los servicios de UiPath y, al mismo tiempo, aprovechar y construir sobre las capacidades de vanguardia de Azure en materia de seguridad, privacidad y cumplimiento. También utilizamos las certificaciones del sector disponibles a través de Azure.
En UiPath compartimos la responsabilidad de proteger tus datos con Azure y nos adherimos estrictamente a las directrices que publican.
Ciframos todos los datos de los clientes en reposo en cualquier almacén de datos que forme parte de nuestro servicio. Por ejemplo, utilizamos un cifrado de datos transparente en las bases de datos SQL.
Todos los datos se transmiten a través de canales protegidos, tanto si viajan por Internet como dentro de nuestros componentes de servicio internos.
Admitimos la creación de cuentas en nuestra Plataforma en la Nube utilizando una variedad de proveedores de servicios de identidad, como Google, Microsoft y LinkedIn, así como a través de cuentas nativas. Tras la creación de la cuenta, nuestros servicios gestionan los derechos de acceso de un determinado usuario mediante comprobaciones de control de acceso basadas en roles y gestionadas por la aplicación.
Los datos de cada tenant están lógicamente separados de los demás en nuestro servicio, de modo que podemos aplicar controles de acceso y autorización para todos los tenants cuando acceden a los datos dentro de nuestro servicio.
UiPath recopila dos categorías de datos de los usuarios para operar y mejorar los servicios de Task Mining de UiPath:
- Datos del cliente: incluye los datos transaccionales e interactivos identificables del usuario que necesitamos para operar el servicio y gestionar su contrato con UiPath
- Registros generados por el sistema: incluye datos de uso del servicio que pueden ser agregados y contener piezas de datos del cliente
Desde el punto de vista del RGPD, UiPath es un procesador de datos. Como tal, cumplimos con todas las obligaciones de un procesador de datos proporcionando a los clientes un control total sobre sus datos, de acuerdo con la arquitectura e implementación del producto.
Nos hemos asegurado de poder exportar todos tus datos si lo solicitas. Si cierras tu cuenta con UiPath Task Mining o solicitas la eliminación de los datos, los eliminaremos de nuestros sistemas una vez transcurrido el periodo de eliminación suave requerido de 30 días.
Recomendamos a nuestros clientes que evalúen si el uso que hacen de nuestro servicio en la nube se ajusta a sus obligaciones de privacidad. Para obtener más información sobre la declaración de privacidad de UiPath, el modo en que UiPath trata tus datos al utilizar los servicios en línea y los compromisos del RGPD, consulta nuestra Política de privacidad.
Sabemos que a nuestros clientes les importa mucho la ubicación de los datos. Serviremos todo el contenido y almacenaremos todos los datos para el usuario en la región que coincida con los requisitos de ubicación y soberanía del usuario de pago. Para ver el conjunto actual de regiones compatibles, visita Residencia de datos. Es posible que sigamos añadiendo regiones adicionales a medida que veamos crecer nuestra base de clientes.
La residencia de datos se aplica ya que ahora estamos usando el servicio cognitivo de Microsoft para el enmascaramiento de PII y esto funciona en relación con la región del tenant.
UiPath aborda los siguientes aspectos de la seguridad y el cumplimiento de la normativa con el fin de ayudar a prevenir las infracciones y mantener los más altos estándares de seguridad, privacidad y disponibilidad de los datos:
UiPath Task Mining utiliza la oferta de Plataforma como Servicio (PaaS) de Azure para gran parte de su infraestructura. PaaS proporciona automáticamente actualizaciones periódicas para las vulnerabilidades de seguridad conocidas.
Los equipos de seguridad y desarrollo de UiPath trabajan codo con codo para hacer frente a las amenazas de seguridad durante todo el proceso de desarrollo de UiPath Task Mining.
Los equipos modelan amenazas durante el diseño del servicio. Se adhieren a las mejores prácticas de diseño y código y verifican la seguridad en el producto final utilizando un enfoque múltiple que aprovecha las herramientas construidas internamente, las herramientas comerciales de análisis estático y dinámico, las pruebas de penetración internas y los programas externos de recompensa por errores.
También controlamos las vulnerabilidades introducidas en nuestro código base a través de bibliotecas de terceros y minimizamos nuestra dependencia de estas bibliotecas y la correspondiente exposición. Dado que el panorama de la seguridad cambia continuamente, nuestros equipos se mantienen al día con las últimas prácticas recomendadas. También aplicamos los requisitos de formación anual para todos los ingenieros y el personal de operaciones que trabajan en los servicios en la nube de UiPath.
Garantizar que los servicios de Task Mining de UiPath estén disponibles para que pueda acceder a los activos de su organización es de suma importancia para nosotros. Por eso confiamos en el mecanismo de copia de seguridad de Azure y practicamos la recuperación de datos.
Empleamos otros mecanismos de seguridad para ayudar a garantizar la disponibilidad. Un ataque malicioso de denegación de servicio distribuido (DDoS), por ejemplo, podría afectar a la disponibilidad del servicio UiPath Task Mining. Azure cuenta con un sistema de defensa DDoS que ayuda a prevenir los ataques contra nuestro servicio. Utiliza técnicas de detección y mitigación estándar como las cookies SYN, la limitación de velocidad y los límites de conexión.
El sistema está diseñado no solo para resistir ataques desde el exterior, sino también desde dentro de Azure.
Emulamos las tácticas de los adversarios en nuestros servicios y la infraestructura subyacente utilizando equipos rojos internos.
El objetivo es identificar las vulnerabilidades del mundo real, los errores de configuración y otras brechas de seguridad de forma controlada para poder probar la eficacia de nuestras capacidades de prevención, detección y respuesta.
Nos esforzamos por minimizar la superficie de ataque de nuestros servicios y hacemos todo lo posible para reducir la probabilidad de que se produzca una violación de datos. Sin embargo, los incidentes de seguridad pueden ocurrir.
En caso de que se produzca una violación, utilizamos planes de respuesta de seguridad para minimizar la fuga, pérdida o corrupción de datos. Ofrecemos transparencia a nuestros clientes durante todo el incidente. Nuestro equipo de seguridad y SRE 24x7 está siempre disponible para identificar rápidamente el problema y comprometer los recursos necesarios del equipo de desarrollo para contener el impacto del incidente.
Una vez que el equipo ha contenido el problema, nuestro proceso de gestión de incidentes de seguridad continúa, ya que identificamos la causa raíz y hacemos un seguimiento de los cambios necesarios para garantizar la prevención de problemas similares en el futuro.
Mantenemos un control estricto sobre quién tiene acceso a nuestro entorno de producción y a los datos de los clientes.
El acceso solo se concede al nivel de menor privilegio requerido y solo después de que se proporcionen y verifiquen las justificaciones adecuadas. Si un miembro del equipo necesita acceso para resolver un problema urgente o desplegar un cambio de configuración, debe solicitar acceso Just-in-Time al servicio de producción.
El acceso es revocado tan pronto como se resuelve la situación. Se realiza un seguimiento de las solicitudes de acceso y de las aprobaciones. Si alguna vez nos robasen el nombre de usuario y la contraseña de uno de nuestros desarrolladores o personal de operaciones, los datos seguirían estando protegidos porque utilizamos la autenticación de dos factores para todos los accesos al sistema de producción.
Los secretos que utilizamos para gestionar y mantener el servicio, como las claves de cifrado, se gestionan, almacenan y transmiten de forma segura a través del portal de gestión de Azure.
Todos los secretos se rotan con una cadencia regular y se pueden rotar bajo demanda en el caso de un evento de seguridad.
Con una sólida base de seguridad y privacidad, UiPath está trabajando para obtener certificaciones y acreditaciones del sector durante el próximo año, entre las que se incluyen Veracode continuo para nuestra plataforma en la nube, ISO 27001:2013 e ISO 27017, CSA Star y SOC 1 Tipo 2.
Tanto el Portal de Administración como el Analizador se entregan a través de un modelo de Software como Servicio (SaaS) que está construido y alojado en Microsoft Azure. Todos ellos utilizan los servicios principales de Azure, como la informática, el almacenamiento, la red, la base de datos SQL, la configuración de aplicaciones, el almacenamiento secreto en Key Vault y la gestión de identidades y accesos. Compartimos la responsabilidad de proteger sus datos con Azure y nos adherimos estrictamente a las directrices que publican.
Para conocer las garantías de seguridad de Task Mining, consulta la página Seguridad de UiPath .
- Principios de diseño del servicio
- Cifrado de datos
- Gestión de identidad y acceso
- Aislamiento de datos del tenant
- Privacidad
- Residencia y control de datos
- Prácticas de seguridad y cumplimiento
- Endurecimiento de los sistemas
- Ciclo de vida del desarrollo seguro
- Disponibilidad del servicio y de los datos
- Pruebas en vivo en las instalaciones
- Respuesta a incidencias de seguridad
- Control de acceso a la producción
- Gestión de secretos
- Garantías de seguridad
