Confianza y seguridad Mantener sus datos seguros es nuestra principal prioridad

Tenable está comprometida en proteger la confidencialidad, integridad y disponibilidad de todos los datos del cliente. Los datos de Tenable.io se cifran en tránsito y se almacenan mediante cifrado TLS. El cifrado AES-256 se aplica a las capas de la infraestructura de la aplicación.

La plataforma en la nube de Tenable está construida sobre redes aisladas y privadas y utiliza varios controles de red tales como aislamiento de contenedor, restricciones de tráfico entrante/interno, monitoreo de tasas de tráfico, orígenes y tipos en múltiples puntos de la red.

Tenable también implementa múltiples controles de acceso para ayudar a que los clientes controlen los datos de acceso y realicen escaneos frecuentes de vulnerabilidades, contenedores Docker y de aplicaciones web con el fin de realizar evaluaciones periódicas de seguridad.

Para conocer descripciones detalladas de las medidas de seguridad que se aplican, revise la hoja de datos de Seguridad de datos y privacidad.

En última instancia, los datos del cliente que gestiona Tenable.io tienen una sola finalidad: ofrecer una experiencia excepcional a medida que los clientes gestionan activos y vulnerabilidades para asegurar sus entornos. Con ese fin, Tenable.io gestiona tres categorías de datos de clientes:

1. Datos sobre activos y vulnerabilidades
2. Datos de rendimiento del entorno
3. Datos del nivel de uso del cliente

Tenable.io confecciona el inventario de activos en las redes de los clientes y gestiona los atributos de los activos que pueden incluir dirección IP, dirección MAC, nombre NetBIOS, sistema operativo y versión, puertos activos y más.

Tenable.io recopila datos detallados actuales e históricos sobre vulnerabilidades y configuración, que pueden incluir el nivel de criticidad, el nivel de capacidad de explotación, el estado de remediación y la actividad en la red. Además, si los clientes mejoran los datos de Tenable.io con integraciones con productos de terceros, como por ejemplo, sistemas de gestión de activos y de parches, Tenable.io puede gestionar datos de estos productos.

Tenable convierte datos de clientes en datos anónimos, y los analiza para determinar tendencias en la industria, en el aumento y la mitigación de vulnerabilidades, y en eventos de seguridad. Por ejemplo, la correlación de la presencia de una vulnerabilidad con su explotación tiene enormes beneficios para los clientes de Tenable. Los datos recopilados en nuestra nube no incluyen datos de escaneos que contengan información personal identificable (PII) ni datos personales. Los datos que podrían servir para identificar a un cliente se anonimizan antes de ingresarse a nuestra plataforma de análisis a través de un salted hash unidireccional utilizando SHA-256. Otros beneficios del análisis de datos de Tenable incluyen análisis avanzado y correlación mejorada de los datos del cliente con los de la industria, y eventos y tendencias en materia de seguridad. La recolección y análisis de este tipo de datos permite que los clientes se comparen en pie de igualdad con respecto a otros en la industria o en general. Tenable ofrece un método para que los clientes cancelen su suscripción a este servicio, si así lo desean.

Para mantener el rendimiento y disponibilidad de Tenable.io y ofrecer la mejor experiencia del cliente posible, Tenable.io recopila información sobre el estado y la condición de la aplicación específica del cliente. Esto incluye la frecuencia con la cual el escáner se comunica con la plataforma, la cantidad de activos escaneados y versiones del software implementado, así como otra telemetría general para identificar y abordar problemas potenciales en cuanto sea posible.

Tenable usa datos de condición y estado para detectar y abordar problemas potenciales de manera oportunidad, manteniendo los compromisos de SLA de esa forma. Por lo tanto, los clientes no pueden cancelar la suscripción a esta recopilación de datos.

Para evaluar y mejorar la experiencia del cliente, Tenable recopila datos anónimos del nivel de uso del usuario. Estos datos incluyen acceso a la página, clics y otra actividad del usuario que le otorga a este una opinión en la optimización y mejora de su experiencia.

Sí. Un cliente puede solicitar que su contenedor ya no sea parte del proceso de recopilación.

Tenable usa centros de datos y servicios de Amazon Web Services (AWS) para suministrar y brindar Tenable.io a sus clientes. La recopilación y el procesamiento de los datos de escaneo de los clientes tienen lugar dentro de la plataforma en la nube de Tenable en la región geográfica en la cual está hospedada la cuenta del cliente, a menos que el cliente seleccione explícitamente una región geográfica diferente para que residan los datos. Las ubicaciones actuales son las siguientes:

• EE. UU. oriental
• EE. UU. occidental
• Centro de los EE. UU.
• Londres
• Frankfurt
• Sídney
• Singapur
• Canadá
• Japón

Tenable incorporará otros países en el futuro.

Porque todos los datos de los clientes se almacenan en servicios seguros regionales de AWS. Las certificaciones para la protección de datos en la UE que mantiene AWS se aplican a la nube de Tenable. Podrá encontrar más información disponible en https://aws.amazon.com/compliance/eu-data-protection/.

Sí. Los datos se almacenan en el país seleccionado cuando se creó la cuenta.

Tenable aplica varias medidas de seguridad para ofrecer seguridad y privacidad a los datos de Tenable.io. Para conocer descripciones detalladas de las medidas de seguridad que se aplican, consulte la hoja de datos de Seguridad de datos y privacidad.

Se pueden encontrar detalles completos en la hoja de datos de Seguridad de datos y privacidad.

Tenable cuenta con un equipo interdisciplinario que impulsa el ciclo de vida del desarrollo de software seguro (SSDLC). Para enviar productos seguros y de alta calidad a un ritmo rápido, Tenable aprovecha las pruebas de seguridad automatizadas para identificar las vulnerabilidades potenciales dentro del código fuente, las dependencias y la infraestructura subyacente antes de entregarlos a nuestros clientes. Tenable utiliza pruebas de seguridad de aplicaciones estáticas (SAST), dependencias y escaneos de bibliotecas de terceros, pruebas de seguridad de aplicaciones dinámicas (DAST) y pruebas de vulnerabilidad en las imágenes de contenedores. Se sigue un estricto criterio de puntuación que se aplica en todo el proceso de desarrollo.

Tenable proporciona diversos mecanismos para ayudar a los clientes a mantener sus datos seguros y controlar el acceso, incluyendo:

• Los datos de Tenable.io se cifran en tránsito y almacenamiento mediante cifrado TLS y AES-256. Las claves de cifrado se almacenan de manera segura y el acceso a ellas es limitado. El cifrado se aplica a diferentes capas de la infraestructura de la aplicación; está prohibido compartir las claves.
• Tenable protege contra ataques de fuerza bruta mediante el bloqueo de cuentas tras cinco (5) intentos de inicio de sesión fallidos.
• Los clientes pueden configurar una autenticación mediante dos factores a través de los servicios provistos por Twillo.
• Los clientes pueden integran Tenable.io con su implementación de SAML. Tenable.io respalda solicitudes iniciadas mediante IdP y SP. Por último, los usuarios pueden restablecer sus contraseñas directamente desde dentro de la aplicación usando su dirección de correo electrónico.
• Los clientes pueden desarrollar conexiones personalizadas con Tenable.io mediante el uso de nuestras API o SDK documentadas. El acceso se puede conceder y controlar mediante la creación de claves específicas de API. Es compatible el uso de claves diferentes para integraciones diferentes sin tener que compartir credenciales de usuario.
• Los datos recopilados en nuestra nube no incluyen ningún dato de escaneo que contenga información personal identificable (PII) ni datos personales. Todos los datos que puedan revelar la identidad del cliente se convierten en anónimos a través de un salted hash unidireccional utilizando SHA-256.
• Para proteger contra las interceptaciones de datos, todas las comunicaciones con la plataforma están cifradas mediante SSL (TLS-1.2). Además, las negociaciones de SSL más antiguas e inseguras se rechazan para garantizar el mayor nivel de protección.

Todos los datos en todos los estados en la plataforma Tenable.io se cifran con al menos un nivel, usando cifrado AES-256 y TLS.

En reposo: los datos están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.

Algunas clases de datos incluyen un segundo nivel de cifrado por archivo.

En transporte: los datos están cifrados en transporte usando TLS v1.2 con una clave de 4096 bits (esto incluye transportes internos).

Sensor de comunicación Tenable.io: el tráfico desde los sensores a la plataforma siempre lo inicia el sensor y es saliente solamente en el puerto 443. El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits. Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.

• Autenticación del escáner a la plataforma
• La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación.
• Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner.
• Comunicación de la tarea del escáner a la plataforma
• Los escáneres se contactan con la plataforma cada 30 segundos.
• Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits.
• El escáner solicita la política a la plataforma.
• El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo.

En copias de seguridad o replicación: se almacenan snapshots de volumen y réplicas de datos con el mismo nivel de cifrado que su fuente, no menos que AES-256. Toda la replicación se realiza a través del proveedor. Tenable no realiza la copia de seguridad de ningún dato a medios físicos fuera del sitio o sistemas físicos.

En índices: los datos de índices están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.

Credenciales de escaneo: se almacenan en el interior de una política cifrada dentro de la clave global AES-256 para contenedores. Cuando se lanzan escaneos, la política se cifra con una clave aleatoria de un solo uso de 128 bits y se transporta mediante TLS v1.2 con una clave de 4096 bits.

Gestión de claves: las claves se almacenan centralmente, cifradas con una clave en función de roles, y el acceso es limitado. Todos los datos cifrados se pueden alternar a una clave nueva. Las claves de cifrado de archivos de datos son diferentes en cada sitio regional, al igual que las claves a nivel de discos. El uso compartido de claves está prohibido y los procedimientos de gestión de claves se revisan anualmente.

El cliente no puede configurar la gestión de claves. Tenable gestiona las claves y su rotación.

Tenable recibió las siguientes certificaciones:

• Cloud Security Alliance (CSA) STAR
• Privacy Shield Framework
• ISO 27001
• Programa Nacional de Garantía de la Información (NIAP)
• Autorización de FedRAMP para Tenable.io y Tenable.io WAS

La plataforma Tenable.io hace todos los esfuerzos para no recopilar tipos de datos de IIP que exigiría certificaciones o medidas de seguridad adicionales. Los datos recopilados en nuestra nube no incluyen ningún dato de escaneo que contenga información personal identificable (PII) ni datos personales. Los datos que podrían servir para identificar a un cliente se anonimizan antes de ingresarse a nuestra plataforma de análisis a través de un salted hash unidireccional utilizando SHA-256. Esto incluye números de tarjetas de crédito, números del Seguro Social y otras verificaciones personalizadas. Cuando los complementos de Tenable capturen cadenas de caracteres que puedan contener información sensible o personal, la plataforma hará que no se pueda tener acceso a al menos el 50 % de los caracteres para proteger datos que pueden ser confidenciales.

Los datos de cada cliente se identifican con un "ID de contenedor", que se corresponde con la suscripción específica de un cliente. Este ID de contenedor garantiza que solo ese cliente pueda tener acceso a sus datos.

Tenable aprovecha sus propias soluciones para realizar escaneos diarios, semanales o mensuales de todas las computadoras portátiles corporativas, la infraestructura y los entornos en la nube. Todos los hallazgos se analizan, se registran y se les da seguimiento de acuerdo con la Política de gestión de vulnerabilidades de Tenable. El Programa de gestión de vulnerabilidades de Tenable abarca el escaneo autenticado, de agentes, de aplicaciones web y de bases de datos. Además, cuenta con los siguientes controles:

• Firewalls y la segmentación de red controlan el acceso.
• Herramientas y procesos automatizados supervisan la plataforma de Tenable.io para registrar el tiempo de actividad, rendimiento y detectar conductas anómalas.
• Los registros se monitorean mediante automatización las 24 horas del día, los 7 días de la semana, los 365 días del año y el personal de Tenable está disponible de ese modo para responder a los eventos.
• Pruebas de penetración de nuestras aplicaciones, servicios y negocios en general realizadas por terceros.
• Tenable cuenta con una junta de informes de vulnerabilidades para recibir toda deficiencia o vulnerabilidad identificada por la amplia comunidad de investigadores de seguridad y responder a ella. A medida que los informes identificados se clasifican y se responden, Tenable publica boletines de seguridad en beneficio de los clientes, los clientes potenciales y la comunidad en general.
• Tenable revisa a todos los proveedores externos a través de un riguroso programa de gestión de riesgo.

Los sensores que se conectan a la plataforma tienen un papel importantísimo en la seguridad de un cliente, la recopilación de vulnerabilidades y la información de activos. La protección de estos datos y garantizar que las rutas de comunicación sean seguras es una función principal de Tenable.io. Tenable.io es compatible con varios sensores actuales: escáneres de vulnerabilidades Nessus, escáneres pasivos y agentes Nessus.

Estos sensores se conectan a la plataforma de Tenable.io después de autenticarse y vincular de manera criptográfica con Tenable.io. Una vez enlazado, Tenable.io gestiona todas las actualizaciones (complementos, código, etc.) para garantizar que los sensores estén siempre actualizados.

E tráfico desde los sensores a la plataforma siempre es iniciado por el sensor y es saliente solamente en el puerto 443. El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits. Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.

• Autenticación del escáner a la plataforma
• La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación.
• Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner.
• Comunicación de la tarea del escáner a la plataforma
• Los escáneres se contactan con la plataforma cada 30 segundos.
• Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits.
• El escáner solicita la política a la plataforma.
• El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo.

Los servicios de Tenable.io luchan por proporcionar un tiempo de actividad del 99.95 % o mejor, y han provisto un tiempo de actividad del 100 % en la mayoría de los servicios. Tenable ha publicado un SLA que describe nuestro compromiso para garantizar que la plataforma esté disponible para todos los usuarios y cómo ofrecemos crédito a los clientes en caso de un tiempo de inactividad imprevisto.

El estado de actividad se determina simplemente mediante pruebas de disponibilidad públicas hospedadas por un tercero que prueba con regularidad la disponibilidad de los servicios. El tiempo de actividad para los servicios (tanto actual como histórico) está disponible en https://status.cloud.tenable.com/.

Tenable.io hace uso extensivo de la plataforma de AWS y otras tecnologías líderes para garantizar que nuestros clientes tengan el servicio y la calidad global del mejor nivel posible. A continuación encontrará una lista de las soluciones que ofrecieron los beneficios a los clientes:

• Clústeres ElasticSearch: los clústeres Elasticsearch cuentan con una disponibilidad elevada y pueden recuperarse de la pérdida de nodos maestros, nodos lb y al menos un (1) nodo de datos, sin que esto afecte la disponibilidad del servicio.
• Elastic Block Stores: se emplean para tomar snapshots diarias y almacenar ocho (8) copias
• Ecosistema Kafka: Kafka y Zookeeper replican datos en el agrupamiento para ofrecer tolerancia al error en caso de la falla catastrófica de cualquier nodo.
• Instancias Postgres: gestionan el marco del microservicio administrativo para mantener 30 días de snapshots

Los datos replicados se almacenan dentro de la misma región.

Desastres son eventos que generan la pérdida irrecuperable de datos o equipos en una o más regiones.

Los procedimientos de recuperación ante desastres de Tenable.io tienen varios niveles y están diseñados para reaccionar a situaciones que pueden tener lugar una vez en cinco años a una vez en 50 años. En función del alcance del desastre, los procedimientos de recuperación varían en tiempo de 60 minutos a 24 horas.

Los clientes controlan quién tiene acceso a sus datos, incluso mediante la asignación de roles y permisos a su personal y la concesión provisoria de acceso por parte del personal de soporte de Tenable

Los administradores de clientes de Tenable.io pueden asignar roles de usuarios (básico, operador de escaneos, estándar, gerente de escaneos, administrador y desactivado) con el fin de gestionar permisos para las funciones principales en Tenable.io, tales como el acceso a escaneos, políticas, escáneres, agentes y listas de activos. Los clientes también pueden asignar grupos de acceso para permitir que grupos de su organización vean activos específicos y vulnerabilidades relacionadas en resultados globales de escaneos, y realizar escaneos con objetivos específicos y ver los resultados individuales del escaneo.

Sí. El Soporte técnico de Tenable limita los privilegios de representación de Tenable.io a un subconjunto de roles séniores autorizados. Con el permiso del cliente, miembros séniores autorizados del personal de soporte global de Tenable pueden representar cuentas de usuario, lo que les permite realizar operaciones en Tenable.io como otro usuario sin necesitar obtener la contraseña de ese usuario.

El personal de soporte de Tenable, o el cliente, puede solicitar activar la función. Si el Soporte técnico de Tenable necesita representar a un usuario de Tenable.io, se abre un ticket y se le hace un seguimiento hasta su cierre. El soporte técnico enviará un correo electrónico al cliente después de identificar la necesidad comercial de representación. El cliente tiene la obligación de confirmar por correo electrónico que el soporte técnico está autorizado para representar al usuario. El soporte técnico no representará al usuario hasta que se reciba la aprobación el cliente. Los permisos deben concederse por cada problema registrado ante soporte. El seguimiento de las aprobaciones se realiza dentro del ticket inicial. Tenable no operará conforme a una aceptación general para representar cuentas en cualquier momento.

Tenable cuenta con un proceso de contratación y desvinculación laboral definido. Es obligatorio que todos los empleados firmen acuerdos de confidencialidad como parte de su contratación, y todas las cuentas y claves de acceso se revocan tras su desvinculación. También es obligatorio que todo el personal de operaciones de Tenable.io tenga verificaciones de antecedentes con resultados satisfactorios llevadas a cabo por terceros.

Solo el administrador de la cuenta y los miembros del personal de soporte sénior de Tenable tienen permitido emplear la función de representación. Todas las cuentas con la capacidad de realizar representaciones requieren de una autenticación mediante dos factores por motivos de seguridad. Tenable audita internamente las representaciones, y los clientes también pueden auditar las representaciones realizadas en su cuenta. Todas las representaciones se registran en registros de auditoría, y todos los clientes de Tenable.io pueden auditar las representaciones mediante la API. Tenable documenta cómo extraer los registros de auditoría en el siguiente documento público: https://developer.tenable.com/reference#audit-log. Tenga en cuenta que existe una cuenta automatizada, ([email protected]), que a veces puede aparecer en estos registros de auditoría.

Tenable hace todos los esfuerzos posibles para garantizar que los datos de los clientes se encuentren protegidos y garantizamos que se cumplan sus políticas al trabajar con ellos para asegurarnos de que los datos permanezcan en la región donde son necesarios. No obstante, la representación de un usuario puede dar lugar a que los datos salgan de la ubicación principal. Hay instancias en las que los casos deben utilizar un proceso las 24 horas del día cuando el trabajo en el caso debe continuar por fuera del horario comercial local. También existen instancias en las cuales los clientes pueden enviar un informe por correo electrónico a Tenable o quebrantar su propia política enviando correos electrónicos fuera de su región.

Para los clientes que utilizan un producto Tenable autorizado por FedRamp, estos datos siempre permanecen dentro de los EE. UU.

No. El escáner inicia todo el tráfico y solo es saliente. Los escáneres están instalados detrás del firewall del cliente, y los clientes pueden controlar el acceso de tales escáneres a través de su firewall.

La política de retención de datos para Tenable.io y otros productos hospedados por Tenable es de doce (12) meses de retención para los clientes existentes. Los datos de los clientes que finalizan la suscripción de un producto se conservarán durante treinta (30) días desde la fecha de finalización. La política de retención de datos de Tenable con respecto a los escaneos PCI coincide con los requisitos vigentes establecidos por el Consejo de Normas de Seguridad de PCI.

La posibilidad de medir progreso a lo largo del tiempo es una función principal de la plataforma Tenable.io. Tenable.io almacenará automáticamente datos de los clientes durante doce (12) meses para permitirles confeccionar informes sobre un período de tiempo de un (1) año.

En caso de que caduque o venza la cuenta de un cliente, Tenable conservará los datos como estaban al momento del vencimiento durante no más de 30 días. Pasado ese tiempo, estos datos pueden eliminarse y no podrán recuperarse.

Los datos que están involucrados en un proceso de validación de cumplimiento de PCI no se eliminan hasta al menos tres años después de la fecha de la certificación de PCI, conforme los requisitos de las normativas de PCI. Tenable conserva estos datos durante este plazo, incluso si el cliente elige eliminar sus escaneos o cuenta, o rescinde su servicio Tenable.io.

Para garantizar la mejor experiencia posible, Tenable recopila esta información siempre que el contenedor del cliente permanezca activo. Una vez que el cliente interrumpa el servicio, los datos no se conservarán durante un plazo mayor a 30 días.

Por lo general, la certificación Common Criteria no se aplica a una solución SaaS, ya que la frecuencia de las actualizaciones no se presta a un proceso de certificación cuya realización demanda entre seis a nueve (6 a 9) meses. Tenable cuenta con una certificación Common Criteria para Tenable.sc, Nessus Manager, Nessus Agents y Log Correlation Engine (LCE).