Análisis de vulnerabilidades de aplicaciones web: Al menos una vez al mes, Enveedo realiza análisis automatizados de vulnerabilidades de aplicaciones web utilizando una herramienta contratada a tal efecto.

Pruebas de penetración anuales: Enveedo contrata a una empresa externa para que realice una prueba de penetración anual y proporcione un informe con las conclusiones de la evaluación.

Escaneos de código fuente SAST y SCA: Se realizan escaneos de vulnerabilidades en el código fuente para detectar y solucionar problemas.

Cortafuegos de aplicaciones web (WAF): Enveedo utiliza un cortafuegos de aplicaciones web (WAF) para proteger su infraestructura en la nube de accesos no autorizados y ciberamenazas, con sus reglas revisadas anualmente.

Sistema de detección de intrusiones (IDS): Enveedo utiliza un sistema de detección de intrusiones (IDS) para supervisar continuamente la red de la empresa y permitir la detección temprana de posibles brechas de seguridad.

Auditorías externas: Enveedo se somete anualmente a una auditoría SOC 2 Tipo II realizada por una empresa internacional de renombre.

Auditoría interna de privacidad: una vez al año, Enveedo lleva a cabo una auditoría interna de privacidad para evaluar el cumplimiento de todos los objetivos establecidos en la política interna de privacidad de la organización.

Evaluaciones de riesgos deseguridad: Enveedo lleva a cabo una evaluación anual de riesgos de seguridad basada en un marco reconocido.

Diligencia debidapara nuevos proveedores: Enveedo lleva a cabo la diligencia debida para los nuevos proveedores antes de su contratación.

Evaluación anual de proveedores: Enveedo lleva a cabo una evaluación anual de proveedores para verificar el cumplimiento y mantenimiento de los estándares de seguridad requeridos.

Póliza de seguro: Enveedo mantiene un seguro de ciberseguridad para mitigar el impacto financiero de las interrupciones del negocio.

Detección de anomalías en la infraestructura: Enveedo ha implantado una herramienta de detección en su infraestructura para identificar anomalías o actividad inusual, generando registros que se someten a un proceso de análisis de amenazas y alertan al equipo de Seguridad.

Plan de Respuesta a Incidentes: Existe un plan documentado para hacer frente a posibles incidentes de seguridad de forma rápida y eficaz.

Mecanismos de notificación de infrac ciones: Enveedo cuenta con una política y mecanismos para notificar las infracciones e incidentes a los interesados afectados, los organismos reguladores y otras partes pertinentes.

Pruebaanual de respuesta a incidentes: Enveedo lleva a cabo una prueba anual de su Plan de Respuesta a Incidentes para evaluar su eficacia y garantizar respuestas oportunas y adecuadas a los incidentes de seguridad.

Sistema de seguridad del correo electrónico: Enveedo ha preconfigurado su sistema de correo electrónico con políticas de seguridad y amenazas, incorporando funciones avanzadas antispam, antiphishing y antimalware.

Solución Endpoint Protection: Enveedo ha implantado una solución Endpoint Protection bajo licencia con capacidades antimalware.

Cifrado de datos: Enveedo cifra el tráfico entre su aplicación web y los usuarios finales mediante el protocolo de cifrado TLS.

Copias de seguridad periódicas : Enveedo realiza copias de seguridad periódicas de la base de datos de la aplicación para garantizar la integridad y disponibilidad de los datos en caso de incidentes inesperados.

Eliminación de datos de clientes: Cuando un cliente abandona el servicio, Enveedo elimina sus datos en los 60 días siguientes a la finalización del acuerdo.

Análisis del Ámbito Normativo: Enveedo realiza un Análisis del Ámbito Normativo al menos una vez al año para evaluar las normativas clave que afectan a la organización debido a su tratamiento de datos personales.

Análisis del Impacto sobrela Privacidad: Enveedo realiza un Análisis del Impacto sobre la Privacidad (EIP) al menos una vez al año para evaluar las expectativas de los interesados, los fines, la base jurídica, la necesidad y la proporcionalidad del tratamiento, así como los riesgos asociados.

Registro de Actividades de Tratamiento: Enveedo ha implantado un Registro de Actividades de Tratamiento (ROPA) para el tratamiento de los datos personales de sus clientes.

Acceso Basado en Funciones: Todo acceso concedido se basa en las funciones y responsabilidades del miembro del personal y debe alinearse con la Matriz de Acceso de Enveedo.

Revisión anual de acceso: Al menos una vez al año, Enveedo lleva a cabo revisiones de acceso para garantizar que todos los permisos de acceso son adecuados en función de las funciones del puesto de trabajo.

Políticas de Seguridad Exhaustivas: Enveedo mantiene un marco de políticas de seguridad revisadas anualmente.

Remoción de Acceso: Enveedo bloquea el acceso de empleados y contratistas internos a más tardar 1 día después de la terminación.

Campaña de formación: Los empleados y contratistas internos deben completar la formación de seguridad en los treinta días siguientes a su contratación y, como mínimo, una vez al año para todo el personal.

Ejercicios de phishing: Enveedo realiza mensualmente ejercicios automatizados de phishing simulado a través de una plataforma contratada específicamente para este fin.

Proceso de gestión decambios de código: los cambios se gestionan según un estricto marco SDLC (ciclo de vida de desarrollo de software) con las aprobaciones adecuadas.

Proceso de gestión de cambios en la infraestructura: Enveedo exige que los cambios en los componentes de la infraestructura de producción sean aprobados formalmente por un usuario autorizado.

Escaneos decódigo fuente SAST y SCA: se realizan escaneos de vulnerabilidad en el código fuente para detectar y solucionar problemas.

Lista de materiales desoftware : Enveedo elabora una lista de materiales de software (SBOM) como parte del proceso CI/CD durante cada fusión con la rama de desarrollo.

Supervisión del rendimiento de las aplicaciones: Enveedo utiliza una herramienta de supervisión del rendimiento de las aplicaciones (APM) para supervisar el rendimiento y los errores de las aplicaciones.

Grupos de seguridad dered: Enveedo ha configurado y gestiona grupos de seguridad de red (NSG) para controlar el tráfico entrante de las instancias en sus nubes privadas virtuales (VPC).