Trust Tenable with your data security and privacy
Nuestros productos protegen su privacidad y le brindan control sobre sus datos. Se generan en una nube protegida, segura y en cumplimiento. Además, miles de clientes confían en Tenable con sus datos de vulnerabilidades.
Seguridad de datos
Tenable se compromete a proteger la confidencialidad, integridad y disponibilidad de todos sus datos. Tenable One Vulnerability Management data is encrypted in transit and stored using modern ciphers and methods recommended by security industry and standards organizations. Múltiples controles de red, controles de acceso y aislamiento de contenedores, garantizan que la seguridad esté integrada en todos los aspectos de nuestros productos para proteger sus datos.
Cifrado
Tenable One Vulnerability Management data is encrypted in transit and storage using TLS Encryption ciphers and AES-256. El cifrado se aplica a distintas capas de la infraestructura de la aplicación con acceso altamente restringido para almacenar de manera segura las claves de cifrado.
Controles de acceso
Tenable utiliza muchos mecanismos para ayudarle a controlar el acceso a los datos, incluido el bloqueo de cuentas después de 5 intentos de inicio de sesión fallidos, SAML y autenticación de dos factores. El acceso también puede ser controlado a través de claves API.
Controles de red
La plataforma en la nube de Tenable está construida sobre redes aisladas y privadas y utiliza varios controles de red tales como aislamiento de contenedor, restricciones de tráfico entrante/interno, monitoreo de tasas de tráfico, orígenes y tipos en múltiples puntos de la red.
Evaluaciones periódicas en materia de seguridad
Tenable realiza frecuentes escaneos de vulnerabilidades, contenedor docker y aplicaciones web, además de aprovechar el equipo de Tenable Research y terceros para llevar a cabo evaluaciones periódicas de seguridad.
Privacidad de datos
Una de nuestras principales prioridades es garantizar que sólo usted pueda acceder a sus datos y evitar que cualquier persona que no sea cliente o que sea un maleante acceda, revele o viole la privacidad y protección de los datos almacenados en la plataforma de nube de Tenable. Además, utilizando varios controles de acceso a datos y localización de datos, nuestros productos están construidos para proteger sus datos y ayudarle a cumplir sus obligaciones de confidencialidad.
Anonimización de datos
En el caso de los datos de escaneo que utilizamos para realizar análisis entre sectores, cualesquiera datos que pudieran identificar potencialmente a un cliente se omiten o se anonimizan en la plataforma Tenable One antes de su uso.
Acceso a los datos
Tenable utiliza una serie de controles de acceso a datos incluyendo el bloqueo de cuentas, autenticación de dos factores y SAML. El acceso a datos anonimizados está restringido al equipo de Tenable Research exclusivamente y se controla a través de un sistema de directorio central.
Localización de datos
La recopilación y el procesamiento de datos de escaneo del cliente se producen dentro de una región geográfica del cliente. Los resultados son anonimizados y sólo entonces se agregan con datos similares en nuestra plataforma de analítica.
Certificaciones y garantía
Con múltiples certificaciones que incluyen ISO 27001, NIAP y el Marco del Privacy Shield, los productos de Tenable le ayudarán a navegar por el cumplimiento y garantizar una poderosa seguridad en la nube. Tenable también es miembro del programa CSA STAR.
FedRAMP
Tenable One Vulnerability Management and Tenable One Web App Scanning received FedRAMP Authorization to Operate (ATO) in 2021, demonstrating our commitment to cloud security and compliance.
StateRAMP
Tenable One Vulnerability Management is StateRAMP Authorized, demonstrating our commitment to the security of State and Local Government agencies.
Cloud Security Alliance (CSA) STAR
Tenable es miembro del programa CSA STAR. CSA STAR es el programa más poderoso de la industria para la garantía de seguridad en la nube. To view the security controls for Tenable One Vulnerability Management, visit the CSA website.
ISO 27001
La certificación ISO/IEC 27001:2022 de Tenable cubre las siguientes áreas ISMS de soporte de Tenable: jurídica, recursos humanos, tecnología de la información, desarrollo de software, dirección ejecutiva y atención al cliente. Los detalles están disponibles públicamente en el Directorio de certificados de Schellman.
Privacy Shield Framework
Tenable cuenta con certificación para Privacy Shield Framework y cumple con todos los requisitos de protección de datos al transferir datos personales procedentes de la Unión Europea y Suiza a los Estados Unidos.
Programa Nacional de Garantía de la Información
Tenable cuenta con certificaciones NIAP para los productos Tenable Security Center, Nessus Manager, Nessus Network Monitor y Nessus Agent.
SOC 2
El informe SOC 2 de Tenable es el resultado de una auditoría de terceros que evalúa el cumplimiento de Tenable con el marco de Controles de Organizaciones de Servicios (SOC). El informe SOC 2 de Tenable se proporciona a pedido y bajo un acuerdo de confidencialidad mutuo. Póngase en contacto con su representante de cuenta para solicitar una copia.
Disponibilidad del servicio
Tenable cuenta con la primera garantía de tiempo de actividad del 99,95 % en la industria, para asegurar que sus servicios siempre estén funcionando. Tenable implementa y aplica medidas para garantizar que sus servicios sean altamente disponibles, estén protegidos contra ataques o fallos e interrupciones de servicio sencillos y que siempre sean utilizables.
Desarrollo de software seguro
Tenable cuenta con un equipo dedicado para manejar el Ciclo de vida de desarrollo de software seguro (SSDLC). Al aprovechar las pruebas de seguridad automatizadas, identifican posibles vulnerabilidades en el código fuente, dependencias e infraestructura subyacente para asegurarnos de proporcionar productos seguros y de alta calidad de manera oportuna.
Gobierno
El equipo SSDLC de Tenable asegura el cumplimiento de los controles de seguridad en nuestros procesos y utiliza pruebas de seguridad automatizadas para identificar posibles vulnerabilidades. Todas las pruebas deben cumplir un criterio de puntuación estricto antes de que los productos sean lanzados.
Pruebas de seguridad de aplicaciones estáticas (SAST)
Tenable analiza el código fuente de la aplicación para detectar errores, deuda técnica y vulnerabilidades para garantizar la seguridad y calidad de nuestros productos.
Dependencias y escaneos de bibliotecas de terceros
Tenable analiza las dependencias del proyecto para determinar las vulnerabilidades y los problemas de concesión de licencia.
Pruebas de seguridad de aplicaciones dinámicas (DAST)
Tenable ejecuta periódicamente escaneos automatizados de aplicaciones web contra nuestros productos para descubrir errores, exploits y vulnerabilidades en las primeras fases del proceso de desarrollo.
Boletines de seguridad de productos
Tenable publica problemas específicos de su software a medida que se conocen y las reparaciones están disponibles para los clientes. Para obtener más información, haga clic aquí.
Normas de código y control de acceso basado en roles
Los estándares de control de código fuente de referencia de Tenable se alinean con los requisitos de certificación y con las mejores prácticas de la industria. Los estándares incluyen: revisiones por pares de código, control de acceso basado en roles, mínimo privilegio, propiedad de código y repositorio, segregación de funciones y más.
Gestión de vulnerabilidades
Como proveedor líder de soluciones de gestión de vulnerabilidades, Tenable aprovecha sus plataformas para realizar escaneos internos y analizar las vulnerabilidades en computadoras portátiles, infraestructura y entornos en la nube.
Preguntas frecuentes
-
¿Cómo protege mis datos Tenable?
-
Tenable está comprometida en proteger la confidencialidad, integridad y disponibilidad de todos los datos del cliente. Los datos de Tenable One Vulnerability Management se cifran durante el tránsito y se almacenan utilizando algoritmos de cifrado TLS. El cifrado AES-256 se aplica a las capas de la infraestructura de la aplicación.
La plataforma en la nube de Tenable está construida sobre redes aisladas y privadas y utiliza varios controles de red tales como aislamiento de contenedor, restricciones de tráfico entrante/interno, monitoreo de tasas de tráfico, orígenes y tipos en múltiples puntos de la red.
Tenable también implementa múltiples controles de acceso para ayudar a que los clientes controlen los datos de acceso y realicen escaneos frecuentes de vulnerabilidades, contenedores Docker y de aplicaciones web con el fin de realizar evaluaciones periódicas de seguridad.
Para obtener descripciones detalladas de las medidas de seguridad aplicadas, consulte la hoja de datos de Seguridad y privacidad de datos.
-
Which customer data does Tenable One Vulnerability Management manage?
-
Ultimately, the customer data Tenable One Vulnerability Management manages has a single purpose: to deliver an exceptional experience as customers manage assets and vulnerabilities to secure their environments. To that end, Tenable One Vulnerability Management manages three categories of customer data:
- Datos sobre activos y vulnerabilidades
- Datos de rendimiento del entorno
- Datos del nivel de uso del cliente
-
Which customer asset and vulnerability data does Tenable One Vulnerability Management manage?
-
Tenable One Vulnerability Management inventories assets on customers' networks and manages asset attributes that may include IP address, MAC address, NetBIOS name, operating system and version, active ports and more.
Tenable One Vulnerability Management collects detailed current and historical vulnerability and configuration data, which may include criticality, exploitability and remediation status and network activity. Additionally, if customers enhance Tenable One Vulnerability Management data with integrations to third-party products, such as asset management systems and patch management systems, Tenable Vulnerabilty Management may manage data from those products.
-
¿Tenable analiza o usa los datos del cliente?
-
Tenable convierte datos de clientes en datos anónimos, y los analiza para determinar tendencias en la industria, en el aumento y la mitigación de vulnerabilidades, y en eventos de seguridad. Por ejemplo, la correlación de la presencia de una vulnerabilidad con su explotación tiene enormes beneficios para los clientes de Tenable. Los datos recopilados en nuestra nube no incluyen datos de escaneos que contengan información personal identificable (PII) ni datos personales. En el caso de los datos de escaneo que utilizamos para realizar análisis entre sectores, cualesquiera datos que pudieran identificar potencialmente a un cliente se omiten o se anonimizan en la plataforma Tenable One antes de su uso. Additional benefits of Tenable's data analysis include advanced analytics and improved correlation of customer data with industry and security events and trends. La recolección y análisis de este tipo de datos permite que los clientes se comparen con respecto a otros en el sector o en general. Tenable ofrece un método para que los clientes cancelen su suscripción a este servicio, si así lo desean.
-
¿Los clientes puede cancelar la suscripción a la recopilación de datos de condición y estado?
-
To maintain Tenable One Vulnerability Management performance and availability and deliver the best possible user experience, Tenable One Vulnerability Management collects customer-specific application status and health information. Esto incluye la frecuencia con la cual el escáner se comunica con la plataforma, la cantidad de activos escaneados y versiones del software implementado, así como otra telemetría general para identificar y abordar problemas potenciales en cuanto sea posible.
Tenable usa datos de condición y estado para detectar y abordar problemas potenciales de manera oportunidad, manteniendo los compromisos de SLA de esa forma. Por lo tanto, los clientes no pueden cancelar la suscripción a esta recopilación de datos.
-
Which usage data does Tenable One Vulnerability Management collect?
-
Para evaluar y mejorar la experiencia del cliente, Tenable recopila datos anónimos del nivel de uso del usuario. Estos datos incluyen acceso a la página, clics y otra actividad del usuario que le otorga a este una opinión en la optimización y mejora de su experiencia.
-
¿Los usuarios pueden cancelar la suscripción a la recopilación de datos sobre el nivel de uso?
-
Sí. Un cliente puede solicitar que su contenedor ya no sea parte del proceso de recopilación.
-
¿Dónde se almacenan los datos de los clientes?
-
Tenable uses data centers and services from Amazon Web Services (AWS) to provide and deliver Tenable One Vulnerability Management to customers. Collection and processing of customer scan data occurs inside the Tenable cloud platform within the geographic region where the customer's account is hosted, unless the customer explicitly selects a different geographic region for the data to reside. Las ubicaciones actuales son las siguientes:
- EE. UU. oriental
- EE. UU. occidental
- Centro de los EE. UU.
- Londres
- Frankfurt
- Sídney
- Singapur
- Canadá
- Japón
Tenable incorporará otros países en el futuro.
Porque todos los datos de los clientes se almacenan en servicios seguros regionales de AWS. Las certificaciones para la protección de datos en la UE que mantiene AWS se aplican a la nube de Tenable. Podrá encontrar más información disponible en https://aws.amazon.com/compliance/eu-data-protection/.
-
¿Un cliente puede forzar a que los datos permanezcan en una ubicación/país en particular?
-
Sí. Los datos se almacenan en el país seleccionado cuando se creó la cuenta.
-
How is customer data protected within Tenable One Vulnerability Management?
-
Tenable applies multiple security measures to deliver Tenable One Vulnerability Management data security and privacy. Para obtener descripciones detalladas de las medidas de seguridad aplicadas, consulte la hoja de datos de Seguridad y privacidad de datos.
-
¿Cómo lleva a cabo Tenable un desarrollo seguro?
-
Puede encontrar información detallada en la hoja de datos de Seguridad y privacidad de datos.
Tenable cuenta con un equipo interdisciplinario que impulsa el ciclo de vida del desarrollo de software seguro (SSDLC). Para enviar productos seguros y de alta calidad a un ritmo rápido, Tenable aprovecha las pruebas de seguridad automatizadas para identificar las vulnerabilidades potenciales dentro del código fuente, las dependencias y la infraestructura subyacente antes de entregarlos a nuestros clientes. Tenable utiliza pruebas de seguridad de aplicaciones estáticas (SAST), dependencias y escaneos de bibliotecas de terceros, pruebas de seguridad de aplicaciones dinámicas (DAST) y pruebas de vulnerabilidad en las imágenes de contenedores. Se sigue un estricto criterio de puntuación que se aplica en todo el proceso de desarrollo.
-
¿Qué tipo de seguridad de la aplicación del cliente se encuentra disponible?
-
Tenable proporciona diversos mecanismos para ayudar a los clientes a mantener sus datos seguros y controlar el acceso, incluyendo:
- Los datos de Tenable.io se cifran en tránsito y almacenamiento mediante cifrado TLS y AES-256. Las claves de cifrado se almacenan de manera segura y el acceso a ellas es limitado. El cifrado se aplica a diferentes capas de la infraestructura de la aplicación; está prohibido compartir las claves.
- Tenable protege contra ataques de fuerza bruta mediante el bloqueo de cuentas tras cinco (5) intentos de inicio de sesión fallidos.
- Los clientes pueden configurar una autenticación mediante dos factores a través de los servicios provistos por Twillo.
- Customers can integrate Tenable One Vulnerability Management with their SAML deployment. Tenable One Vulnerability Management supports both IdP and SP initiated requests. Por último, los usuarios pueden restablecer sus contraseñas directamente desde dentro de la aplicación usando su dirección de correo electrónico.
- Customers can build custom connections to Tenable One Vulnerability Management using our documented APIs or SDKs. El acceso se puede conceder y controlar mediante la creación de claves específicas de API. Es compatible el uso de claves diferentes para integraciones diferentes sin tener que compartir credenciales de usuario.
- Los datos recopilados en nuestra nube no incluyen ningún dato de escaneo que contenga información personal identificable (PII) ni datos personales. En el caso de los datos de escaneo que utilizamos para realizar análisis entre sectores, cualesquiera datos que pudieran identificar potencialmente a un cliente se omiten o se anonimizan en la plataforma Tenable One antes de su uso.
- Para proteger contra las interceptaciones de datos, todas las comunicaciones con la plataforma están cifradas mediante SSL (TLS-1.2). Además, las negociaciones de SSL más antiguas e inseguras se rechazan para garantizar el mayor nivel de protección.
-
¿Cómo se cifran los datos?
-
All data in all states in the Tenable One Vulnerability Management platform is encrypted with at least one level of encryption, using AES-256 and TLS encryption ciphers.
En reposo: los datos están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.
Algunas clases de datos incluyen un segundo nivel de cifrado por archivo.
En circulación: los datos están cifrados en circulación usando TLS v1.2 con una clave de 4096 bits (esto incluye transportes internos).
Tenable One Vulnerability Management Sensor Communication: el tráfico desde los sensores a la plataforma siempre lo inicia el sensor y es saliente solamente en el puerto 443. El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits. Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.
- Autenticación del escáner a la plataforma
- La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación.
- Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner.
- Comunicación de la tarea del escáner a la plataforma
- Los escáneres se contactan con la plataforma cada 30 segundos.
- Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits.
- El escáner solicita la política a la plataforma.
- El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo.
En copias de seguridad o replicación: se almacenan snapshots de volumen y réplicas de datos con el mismo nivel de cifrado que su fuente, no menos que AES-256. Toda la replicación se realiza a través del proveedor. Tenable no realiza la copia de seguridad de ningún dato a medios físicos fuera del sitio o sistemas físicos.
En índices: los datos de índices están almacenados en medios cifrados usando al menos un nivel de cifrado AES-256.
Escaneo de credenciales:Are stored inside of a policy that is encrypted within the container's AES-256 global key. Cuando se lanzan escaneos, la política se cifra con una clave aleatoria de un solo uso de 128 bits y se transporta mediante TLS v1.2 con una clave de 4096 bits.
Gestión de claves: las claves se almacenan centralmente, cifradas con una clave en función de roles, y el acceso es limitado. Todos los datos cifrados se pueden alternar a una clave nueva. Las claves de cifrado de archivos de datos son diferentes en cada sitio regional, al igual que las claves a nivel de discos. El uso compartido de claves está prohibido y los procedimientos de gestión de claves se revisan anualmente.
-
¿Los clientes puede subir sus propias claves?
-
El cliente no puede configurar la gestión de claves. Tenable gestiona las claves y su rotación.
-
¿Tenable ha logrado alguna certificación en materia de privacidad o seguridad, como por ejemplo, Privacy Shield o CSA STAR?
-
Tenable recibió las siguientes certificaciones:
- Cloud Security Alliance (CSA) STAR
- Privacy Shield Framework
- ISO 27001
- Programa Nacional de Garantía de la Información (NIAP)
- FedRAMP authorization for Tenable One Vulnerability Management and Tenable One Web App Scanning
-
¿Cómo protege Tenable la información personal identificable (PII)?
-
The Tenable One Vulnerability Management platform makes every effort not to collect PII data types in a format that would require additional certifications or security measures. Los datos recopilados en nuestra nube no incluyen ningún dato de escaneo que contenga información personal identificable (PII) ni datos personales. En el caso de los datos de escaneo que utilizamos para realizar análisis entre sectores, cualesquiera datos que pudieran identificar potencialmente a un cliente se omiten o se anonimizan en la plataforma Tenable One antes de su uso. Esto incluye números de tarjetas de crédito, números del Seguro Social y otras verificaciones personalizadas. Cuando los complementos de Tenable capturen cadenas de caracteres que puedan contener información confidencial o personal, la plataforma hará que no se pueda tener acceso a al menos el 50 % de los caracteres para proteger datos que pueden ser confidenciales.
-
¿Se separan los datos del cliente?
-
Each customer's data is marked with a “container ID” that corresponds to a specific customer subscription. This container ID assures access to a customer's data is limited to only that customer.
-
Which security controls protect Tenable One Vulnerability Management?
-
Tenable aprovecha sus propias soluciones para realizar escaneos diarios, semanales o mensuales de todas las computadoras portátiles corporativas, la infraestructura y los entornos en la nube. All findings are analyzed, ticketed and tracked in accordance with the Tenable One Vulnerability Management policy. Tenable's vulnerability management program encompases authenticed, agent, web application and database scanning. Además, cuenta con los siguientes controles:
- Firewalls y la segmentación de red controlan el acceso.
- Automated tools and processes monitor the Tenable One Vulnerability Management platform for uptime, performance and to detect anomalous behavior.
- Los registros se monitorean mediante automatización las 24 horas del día, los 7 días de la semana, los 365 días del año y el personal de Tenable está disponible de ese modo para responder a los eventos.
- Pruebas de penetración de nuestras aplicaciones, servicios y negocios en general realizadas por terceros.
- Tenable cuenta con una junta de informes de vulnerabilidades para recibir toda deficiencia o vulnerabilidad identificada por la amplia comunidad de investigadores de seguridad y responder a ella. A medida que los informes identificados se clasifican y se responden, Tenable publica boletines de seguridad en beneficio de los clientes, los clientes potenciales y la comunidad en general.
- Tenable revisa a todos los proveedores externos a través de un riguroso programa de gestión de riesgo.
-
How are Tenable One Vulnerability Management sensors secured?
-
The sensors that connect to the platform play a major role in a customer's security, collecting vulnerability and asset information. Protecting this data and ensuring the communication paths are secure is a core function of Tenable One Vulnerability Management. Tenable One Vulnerability Management supports several sensors today: escáneres de vulnerabilidades Nessus, escáneres pasivos y agentes Nessus.
These sensors connect to the Tenable One Vulnerability Management platform after cryptographically authenticating and linking to Tenable One Vulnerability Management. Once linked, Tenable One Vulnerability Management manages all updates (plugins, code, etc.) to ensure the sensors are always up to date.
E tráfico desde los sensores a la plataforma siempre es iniciado por el sensor y es saliente solamente en el puerto 443. El tráfico se cifra mediante la comunicación SSL usando TLS 1.2 con una clave de 4096 bits. Esto elimina la necesidad de cambios en el firewall y permite a los clientes controlar las conexiones a través de reglas del firewall.
- Autenticación del escáner a la plataforma
- La plataforma genera una clave aleatoria de 256 bits de largo para cada escáner conectado al contenedor y pasa esa clave al escáner durante el proceso de vinculación.
- Los escáneres emplean esta clave para autenticarse frente al controlador al solicitar tareas, realizar actualizaciones de complementos y del binario del escáner.
- Comunicación de la tarea del escáner a la plataforma
- Los escáneres se contactan con la plataforma cada 30 segundos.
- Si existe una tarea, la plataforma genera una clave aleatoria de 128 bits.
- El escáner solicita la política a la plataforma.
- El controlador usa la clave para cifrar la política, que incluye las credenciales a usar durante el escaneo.
-
How is Tenable One Vulnerability Management availability managed?
-
The Tenable One Vulnerability Management services strive to provide a 99.95% or better uptime, and have delivered 100% uptime on the majority of services. Tenable ha publicado un SLA que describe nuestro compromiso para garantizar que la plataforma esté disponible para todos los usuarios y cómo ofrecemos crédito a los clientes en caso de un tiempo de inactividad imprevisto.
El estado de actividad se determina simplemente mediante pruebas de disponibilidad públicas hospedadas por un tercero que prueba con regularidad la disponibilidad de los servicios. El tiempo de actividad para los servicios (tanto actual como histórico) está disponible en https://status.tenable.com/.
Tenable One Vulnerability Management makes extensive use of the AWS platform and other leading technologies to ensure our customers experience the best possible service and overall quality. A continuación, encontrará una lista de las soluciones que ofrecieron los beneficios a los clientes:
- Clústeres ElasticSearch: los clústeres Elasticsearch cuentan con una disponibilidad elevada y pueden recuperarse de la pérdida de nodos maestros, nodos lb y al menos un (1) nodo de datos, sin que esto afecte la disponibilidad del servicio.
- Elastic Block Stores: se emplean para tomar snapshots diarias y almacenar ocho (8) copias
- Ecosistema Kafka: Kafka y Zookeeper replican datos en el agrupamiento para ofrecer tolerancia al error en caso de la falla catastrófica de cualquier nodo.
- Instancias Postgres: gestionan el marco del microservicio administrativo para mantener 30 días de snapshots
-
¿Dónde se replican los datos?
-
Los datos replicados se almacenan dentro de la misma región.
-
¿Qué capacidades de recuperación ante desastres se encuentran implementadas?
-
Desastres son eventos que generan la pérdida irrecuperable de datos o equipos en una o más regiones.
Tenable One Vulnerability Management disaster recovery procedures have several levels and are designed to react to situations that may occur from anywhere between once in five years to once in 50 years. En función del alcance del desastre, los procedimientos de recuperación varían en tiempo de 60 minutos a 24 horas.
-
¿Quién puede acceder a los datos del cliente?
-
Los clientes controlan quién tiene acceso a sus datos, incluso mediante la asignación de roles y permisos a su personal y la concesión provisoria de acceso por parte del personal de soporte de Tenable.
-
¿Cómo se gestionan los roles y permisos para los usuarios?
-
Tenable One Vulnerability Management customer administrators can assign user roles (basic, scan operator, standard, scan manager, administrator and disabled) to manage permissions for major functions in Tenable One Vulnerability Management such as access to scans, policies, scanners, agents and asset lists. Los clientes también pueden asignar grupos de acceso para permitir que grupos de su organización vean activos específicos y vulnerabilidades relacionadas en resultados globales de escaneos, y realizar escaneos con objetivos específicos y ver los resultados individuales del escaneo.
-
¿El personal de Tenable puede acceder a los datos del cliente?
-
Sí. Tenable Technical Support restricts the Tenable One Vulnerability Management impersonation privilege to a subset of authorized senior roles. With customer permission, authorized senior members of Tenable's global support staff can impersonate user accounts, which allows them to perform operations in Tenable One Vulnerability Management as another user without needing to obtain that user's password.
El personal de soporte de Tenable, o el cliente, puede solicitar activar la función. If Tenable Technical Support needs to impersonate a Tenable One Vulnerability Management user, a ticket is opened and tracked until closure. El soporte técnico enviará un correo electrónico al cliente después de identificar la necesidad comercial de representación. El cliente tiene la obligación de confirmar por correo electrónico que el soporte técnico está autorizado para representar al usuario. El soporte técnico no representará al usuario hasta que se reciba la aprobación el cliente. Los permisos deben concederse por cada problema registrado ante soporte. El seguimiento de las aprobaciones se realiza dentro del ticket inicial. Tenable no operará conforme a una aceptación general para representar cuentas en cualquier momento.
Tenable cuenta con un proceso de contratación y desvinculación laboral definido. Es obligatorio que todos los empleados firmen acuerdos de confidencialidad como parte de su contratación, y todas las cuentas y claves de acceso se revocan tras su desvinculación. All Tenable One Vulnerability Management operations staff are also required to pass a third-party background check.
-
¿Quién puede usar la función de representación?
-
Solo el administrador de la cuenta y los miembros del personal de soporte sénior de Tenable tienen permitido emplear la función de representación. Todas las cuentas con la capacidad de realizar representaciones requieren de una autenticación mediante dos factores por motivos de seguridad. Tenable audita internamente las representaciones, y los clientes también pueden auditar las representaciones realizadas en su cuenta. All impersonations are logged in audit logs, and all Tenable One Vulnerability Management customers can audit impersonations through the API. Tenable documents how to pull the audit logs in the following public document, https://developer.tenable.com/reference#audit-log. Tenga en cuenta que existe una cuenta automatizada, ([email protected]), que a veces puede aparecer en estos registros de auditoría.
-
¿Los datos salen del país cuando Tenable está realizando la resolución de un problema técnico?
-
Tenable hace todos los esfuerzos posibles para garantizar que los datos de los clientes se encuentren protegidos y garantizamos que se cumplan sus políticas al trabajar con ellos para asegurarnos de que los datos permanezcan en la región donde son necesarios. No obstante, la representación de un usuario puede dar lugar a que los datos salgan de la ubicación principal. Hay instancias en las que los casos deben utilizar un proceso las 24 horas del día cuando el trabajo en el caso debe continuar por fuera del horario comercial local. También existen instancias en las cuales los clientes pueden enviar un informe por correo electrónico a Tenable o quebrantar su propia política enviando correos electrónicos fuera de su región.
Para los clientes que utilizan un producto Tenable autorizado por FedRamp, estos datos siempre permanecen dentro de los EE. UU.
-
Will Tenable support staff have access to a customer's internal network?
-
No. El escáner inicia todo el tráfico y solo es saliente. The scanners are installed behind the customer's firewall and customers can control access of the scanners via their firewall.
-
What is the Tenable One Vulnerability Management Data Retention Policy?
-
The data retention policy for Tenable One Vulnerability Management and other Tenable-hosted products is 12 months of retention for existing customers. Los datos de los clientes que finalizan la suscripción de un producto se conservarán durante treinta (30) días desde la fecha de finalización. Tenable's data retention policy with respect to PCI scans matches then-current requirements set forth by the PCI Security Standards Council.
-
¿Durante cuánto tiempo se conservan los datos de escaneos activos?
-
The ability to measure progress over time is a core function of the Tenable One Vulnerability Management platform. Tenable One Vulnerability Management will automatically store customer data for 12 months to allow customers to report over a one (1) year period of time.
-
If a customer discontinues the Tenable One Vulnerability Management service, how long is data retained?
-
En caso de que caduque o venza la cuenta de un cliente, Tenable conservará los datos como estaban al momento del vencimiento durante no más de 30 días. Pasado ese tiempo, estos datos pueden eliminarse y no podrán recuperarse.
-
¿Durante cuánto tiempo se conservan datos relacionados con PCI?
-
Los datos que están involucrados en un proceso de validación de cumplimiento de PCI no se eliminan hasta al menos tres años después de la fecha de la certificación de PCI, conforme los requisitos de las normativas de PCI. Tenable retains this data for this time period, even if the customer chooses to delete their scans or account or terminates their Tenable One Vulnerability Management service.
-
How long is Tenable One Vulnerability Management usage data retained?
-
Para garantizar la mejor experiencia posible, Tenable recopila esta información siempre que el contenedor del cliente permanezca activo. Una vez que el cliente interrumpa el servicio, los datos no se conservarán durante un plazo mayor a 30 días.
-
Does Tenable One Vulnerability Management have Common Criteria certification?
-
Por lo general, la certificación Common Criteria no se aplica a una solución SaaS, ya que la frecuencia de las actualizaciones no se presta a un proceso de certificación cuya realización demanda entre seis a nueve (6 a 9) meses. Tenable logró la certificación Common Criteria en los productos Tenable Security Center, Nessus Manager, Nessus Agents y Log Correlation Engine (LCE).
Tenable One
Solicite una demostración
La plataforma de gestión de exposición con tecnología de IA líder en el mundo.
Gracias
Gracias por su interés en Tenable One.
Un representante se pondrá en contacto con usted en breve.
Form ID: 7469
Form Name: one-eval
Form Class: c-form form-panel__global-form c-form--mkto js-mkto-no-css js-form-hanging-label c-form--hide-comments
Form Wrapper ID: one-eval-form-wrapper
Confirmation Class: one-eval-confirmform-modal
Simulate Success