Cumplimiento

Accesibilidad

Veritas prioriza la accesibilidad de sus productos digitales y garantiza que sigan las Pautas de Accesibilidad de Contenido Web (WCAG) establecidas por el World Wide Web Consortium. Lograr una accesibilidad universal conlleva ciertos desafíos, pero Veritas evalúa sus plataformas periódicamente. Al identificar y abordar cualquier inconveniente rápidamente, Veritas muestra su compromiso inquebrantable de brindar una experiencia inclusiva para todos los usuarios.

AWS GovCloud

AWS GovCloud (EE. UU.) fue creada para clientes gubernamentales y sus partners y ofrece un entorno seguro de soluciones en la nube. Garantiza el cumplimiento de varios estándares y marcos regulatorios estrictos, entre ellos:

• High Baseline de FedRAMP
• Política de seguridad de los Sistemas de Información de Justicia Criminal (SIJC) del Departamento de Justicia
• Reglamento Internacional de Tráfico de Armas (ITAR) de Estados Unidos
• Reglamento de la Administración de Exportaciones (EAR)
• Guía de requisitos de seguridad para la informática en la nube (SRG) del Departamento de Defensa para los niveles de impacto 2, 4 y 5
• FIPS 140-2
• IRS-1075

Esto asegura que los usuarios puedan operar en una infraestructura de nube homologada, segura y flexible adaptada a las necesidades únicas de los organismos gubernamentales.

Azure Government

Microsoft Azure Government fue desarrollada para adherirse a los rigurosos estándares de cumplimiento que requieren los organismos públicos de Estados Unidos. Cuenta con la aprobación y autorización de varios marcos de trabajo críticos tales como:

• Programa Federal de Administración de Riesgos y Autorización (FedRAMP)
• Guía de requisitos de seguridad para la nube (SRG) del Departamento de Defensa para los niveles de impacto 2, 4 y 5

Para las regiones gubernamentales específicas en Estados Unidos (Arizona, Texas y Virginia), Azure Government cuenta con:

• Autoridad provisional para operar (P-ATO) otorgada por la Junta de Autorización Conjunta (JAB) de FedRAMP
• Autoridad provisional (PA) para los niveles de impacto 2, 4 y 5 del Departamento de Defensa otorgada por la Agencia de Sistemas de Información de Defensa (DISA), y autoridad provisional nivel 5 otorgada por la Agencia de Sistemas de Información de Defensa (DISA)

CMMC

• La Certificación del Modelo de Madurez de seguridad informática (CMMC por sus iniciales en inglés) es un marco desarrollado por el Departamento de Defensa de los Estados Unidos (DoD) para evaluar y mejorar la postura de seguridad informática de los contratistas y subcontratistas de defensa en la Base Industrial de Defensa (DIB). CMMC requiere que los contratistas cumplan con normas y prácticas de seguridad informática específicas para licitar contratos del Departamento de Defensa en diferentes niveles de madurez, que van desde la higiene básica de seguridad informática hasta las prácticas avanzadas.

Criterios comunes

Los Criterios Comunes sobre evaluación de seguridad de TI, junto con la Metodología Común sobre evaluación de seguridad de TI, actúan como la base del Acuerdo de Reconocimiento de Criterios Comunes (CCRA) internacional. Esto ofrece las siguientes garantías:

• Los productos son evaluados por laboratorios independientes autorizados para verificar funciones específicas de seguridad
• El proceso de certificación está acompañado de documentos que detallan el uso de los criterios y métodos para diversos tipos de tecnologías
• Los certificados que validan los atributos de seguridad evaluados de un producto pueden ser emitidos por varios Regímenes de autorización de certificados, en función de los resultados de la evaluación
• Quienes suscriben al CCRA reconocen dichos certificados

Agencia de Seguridad Informática y Seguridad de Infraestructuras (CISA)

• OE 14028
  La Orden Ejecutiva (OE) 14028 entró en vigor el 12 de mayo de 2021 para fortalecer la seguridad informática de los EE. UU. Esta Orden Ejecutiva requiere que las agencias gubernamentales mejoren su seguridad informática y la integridad de la cadena de suministro de software. La OE 14028 exige que todos los proveedores de software al gobierno de los EE. UU. enumeren los componentes que emplearon para crear sus productos con la lista de materiales de software (SBOM). La OE 14028 también requiere que las agencias apliquen la autenticación multifactor, el cifrado para los datos en reposo y en tránsito (FIPS 140-2) y la arquitectura Zero Trust para sus productos.

• IPv6/USGv6
  La versión 6 del Gobierno de los Estados Unidos (USG) es un conjunto de requisitos técnicos y recomendaciones desarrollados por el gobierno estadounidense para guiar a las agencias federales en la adopción e implementación de la última versión del Protocolo de Internet (IP), versión 6. El perfil USGv6 describe los estándares y configuraciones específicos que las agencias federales deben seguir para garantizar la interoperabilidad, la seguridad y el cumplimiento de los mandatos y políticas relacionados con IPv6.

DISA STIG

Las Guías de implementación de seguridad técnica (STIG) de la Agencia de Sistemas de Información de Defensa(DISA) actúan como puntos de referencia de configuración con el fin de optimizar la seguridad del hardware y del software. Su principal objetivo es proteger la infraestructura de TI del Departamento de Defensa.

FedRAMP

• La administración de datos en aplicaciones internas de hardware suele ser compleja, lenta y costosa, pero la nube puede ser un riesgo de seguridad si no se administra correctamente
• El Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) creó un “enfoque estandarizado de evaluación de seguridad, autorización y monitoreado continuo para productos y servicios en la nube”
• bluesource trabajó con Veritas para crear una solución segura en la nube que cumple con las estrictas pautas de FedRAMP y un entorno seguro dentro de Microsoft Azure para que las agencias federales puedan acceder a Enterprise Vault, eDiscovery Platform y Merge1 como solución de Software como Servicio (SaaS)
• Los organismos gubernamentales pueden cumplir con los requisitos “Cloud Smart”, mejorar su calificación FITARA y observar ahorros de costo inmediatos sin tener que contratar personal adicional
• El cliente será dueño de la licencia de software de Veritas al igual que se hace in-situ; bluesource presupuestará las tasas de hardware y software para que la licencia esté completamente alojada y administrada según los requisitos rigurosos de FedRAMP
• Para recibir un presupuesto o solicitar más información, envíe un correo electrónico a bluesource a la dirección sales@bluesource.net

FIPS 140-2

El Estándar Federal de Procesamiento de la Información (FIPS) 140-2 detalla las expectativas de seguridad para módulos de cifrado. Abarca una gama de aplicaciones y entornos a lo largo de cuatro etapas cualitativas progresivas. Incluye áreas clave como especificaciones de diseño, puertos, interfaces, roles, seguridad física, entorno operativo, administración de claves de cifrado, consideraciones electromagnéticas, autoevaluaciones, aseguramiento del diseño y mitigación de ataques.

IRAP

El Programa de Asesores Registrados en Seguridad de la Información (IRAP, por sus siglas en inglés) es una iniciativa del Centro Australiano de Seguridad Informática (ACSC, por sus siglas en inglés) para mejorar la postura de seguridad de las agencias y organizaciones gubernamentales australianas que brindan servicios al gobierno.

Instituto Nacional de Estándares en Tecnología (NIST)

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) es una agencia federal no reguladora dentro del Departamento de Comercio de los Estados Unidos que promueve la innovación y la competencia industrial de los Estados Unidos. El NIST desarrolló marcos y estándares de seguridad informática, como el Marco de seguridad informática del NIST (CSF) que proporciona orientación para que las organizaciones gestionen y mejoren sus procesos de administración de riesgos de seguridad informática. Algunas publicaciones especiales (SP)/marcos de administración de riesgos (RMF) notables son NIST SP 800-53, NIST SP 800-37 RMF, Directiva de la Comunidad de Inteligencia (ICD) 503, NIST 800-171 y NIST 800-218.

Sheltered Harbor

Sheltered Harbor es una iniciativa sin fines de lucro del sector privado estadounidense destinada a mejorar la resiliencia y la seguridad del sector financiero contra las amenazas informáticas y los riesgos operativos. Se puso en marcha en respuesta a la creciente frecuencia y sofisticación de los ataques informáticos dirigidos a las instituciones financieras. Al adoptar las normas de Sheltered Harbor como mejores prácticas, las instituciones financieras pueden proteger mejor los activos de sus clientes y mantener la confianza en la estabilidad y seguridad del sistema financiero.

SOC 2

Las evaluaciones SOC 2 proporcionan documentos de evaluación independientes y externos que exhiben las formas en que una organización alcanza los controles y objetivos esenciales de cumplimiento. Desarrolladas en línea con la Junta de estándares de auditoría de los Criterios de servicios de confianza de la AICPA, estas evaluaciones se enfocan en diversos aspectos de los sistemas de información de una organización, como su seguridad, disponibilidad, integridad, confidencialidad y privacidad.

TLS 1.3

El protocolo de cifrado Transport Layer Security (TLS) 1.3 proporciona mecanismos para proteger de forma segura los datos durante las comunicaciones por Internet. TLS funciona estableciendo una conexión segura entre un cliente y un servidor mediante mecanismos de cifrado, autenticación e intercambio de claves.

Cumplimiento de WORM

Las políticas establecidas por la Autoridad Reguladora de la Industria Financiera estadounidense dictan que los datos se deben retener con seguridad, cifrar y almacenar de forma inmutable en soportes de tipo WORM (una sola escritura, muchas lecturas). Los datos deben ser recuperables, y las organizaciones deben poder proporcionar pistas de auditoría integrales respecto del uso y la eliminación de los datos.