Mantener la seguridad y la accesibilidad de sus datos son nuestras mayores prioridades. Lo logramos gracias a un planteamiento integral. Este incluye todo, desde los protocolos de seguridad y los mecanismos antipiratería más avanzados hasta las redundancias estructurales que defienden sus centros de datos contra las adversidades.

Aunque ningún sistema puede protegerle de todos los riesgos potenciales, la línea de defensa de MINDBODY es notablemente avanzada y la supervisa en todo momento un equipo de profesionales altamente cualificados. Si tiene alguna pregunta acerca de la seguridad de MINDBODY, escríbanos a privacy@mindbodyonline.com.

  • Centros de datos seguros

    MINDBODY es sinónimo de seguridad, gracias a los centros de datos Tier 4 en Irvine (California) y Las Vegas (Nevada). Cada centro de datos lo supervisa en todo momento un equipo de profesionales de TI altamente cualificados y con gran experiencia.

    • Conformidad con SSAE tipos II y III
    • Estructura reforzada para zonas sísmicas de nivel 4
    • Sistema de supervisión que ofrece datos en tiempo real de las operaciones del equipo, lo que permite la identificación instantánea de problemas
    • Múltiples módulos SAI en paralelo N+1 configurados en sistemas redundantes para permitir configuraciones de alimentación A/B
    • 20 megavatios ampliables de potencia N+1 de respaldo mediante generadores
    • Una alarma de detección precoz de humo (VESDA) con sistemas activos de tubería seca para extinción de incendios
    • Múltiples entradas de rutas de fibra a las estructuras
    • Sistemas de control de acceso (escáner biométrico y acceso con número de identificación personal [PIN]) con cerraduras separadas para cada armario de servidor de MINDBODY.

    Protección de red

    Las redes de MINDBODY se supervisan para proteger nuestro perímetro contra posibles amenazas. Entre ellas se incluyen la piratería informática, las brechas de datos, adware, spyware, mensajes emergentes, vulnerabilidades de navegadores e intentos de suplantación de identidad.

    • Todos los servidores seguros cuentan con protección de nivel 7, la mejor tecnología de routers de su clase, cifrado TLS, supervisión de integridad de archivos y detección de acceso no deseado a la red que identifican el tráfico malintencionado y los ataques a la red. Los análisis de seguridad de la red nos ayudan a identificar rápidamente los sistemas que han dejado de cumplir la normativa.
    • Todas las redes se supervisan usando un sistema SIEM (gestión de eventos de incidencias de seguridad) que recopila registros de todos los sistemas de red y crea alertas basadas en eventos correlacionados.
    • Además de nuestras capacidades y de las de nuestros proveedores de alojamiento, contratamos los servicios de proveedores de limpieza de DDoS (ataque distribuido de denegación de servicio) bajo demanda, que nos permiten mitigar los ataques DDoS.
    • Los sensores de detección de acceso no deseado en toda nuestra red informan de los eventos al sistema SIEM para crear registros, alertas e informes.

    Recuperación de desastres (DR)

    Para garantizar la disponibilidad de nuestros sistemas en caso de problemas graves en nuestros centros de datos principales, hemos diseñado un centro de datos DR que realiza pruebas regularmente.

    • El centro de datos DR no se encuentra en el mismo Estado que la sede de MINDBODY, tiene acceso a Internet y alimentación y no se vería afectado si se produjera alguna catástrofe en California.
    • Realizamos replicaciones en disco de archivos en tiempo real en cada centro de datos, y replicaciones en tiempo casi real entre los centros de datos de producción y el centro de recuperación de desastres.
    • Las pruebas de recuperación de desastres verifican nuestros tiempos de recuperación proyectados y la integridad de datos de los clientes.
    • Nuestro diseño permite restaurar rápidamente todos los servicios de MINDBODY en caso de pérdida provocada por una catástrofe.

    Análisis e informes de vulnerabilidad

    MINDBODY y su infraestructura de seguridad de datos de respaldo se revisan con frecuencia en busca de vulnerabilidades potencialmente peligrosas.

    • Todos los analistas de seguridad de MINDBODY cuentan con certificación CISSP (Profesional certificado de seguridad de sistemas de información).
    • Utilizamos especialistas de seguridad externos reconocidos en el sector, soluciones de seguridad de clase empresarial y herramientas internas personalizadas para analizar regularmente la infraestructura de producción y aplicaciones para garantizar la detección de todas las vulnerabilidades y su mitigación urgente.
    • Utilizamos diversas herramientas de seguridad externas y cualificadas para ofrecer un análisis dinámico regular de nuestra aplicación y análisis estático continuo de nuestro código base.
    • Un proveedor de servicios externo analiza continuamente la red externamente y nos alerta de cambios en la configuración de nuestra línea base.
    • Consulte nuestro análisis trimestral más reciente.
  • Transmisión y sesiones seguras

    Usamos TLS (seguridad de la capa de transporte), una forma de cifrado de datos, para garantizar la privacidad de todas las comunicaciones a través de Internet.

    • Las sesiones de usuarios individuales se identifican mediante un nombre de usuario exclusivo al iniciar sesión.
    • Varias capas de dispositivos de supervisión, incluido el firewall de aplicaciones web (WAF)
    • Funciones del sistema de prevención de acceso no deseado

    Conformidad con PCI-DSS y HIPAA

    Nos tomamos muy en serio la seguridad, razón por la cual nuestros protocolos de red existentes superan los estándares más exigentes: PCI DSS, Tier 1. Para conservar nuestra certificación PCI Level 1, MINDBODY se somete a una auditoría anual. MINDBODY también realiza una evaluación de riesgos HIPAA anual que es analizada y aprobada por el programa de seguridad HITRUST CSF.

    Cumplimos estrictamente las seis mejores prácticas recomendadas de seguridad para la protección de información sanitaria electrónica protegida (ePHI) y los datos de tarjetas de crédito, que incluyen, entre otros:

    1. Mantenimiento de una red segura
    2. Cifrado y protección de datos ePHI y de titulares de tarjetas de crédito
    3. Mantenimiento de un programa de gestión de vulnerabilidades
    4. Aplicación de medidas de control de accesos
    5. Supervisión y prueba de las redes de producción y desarrollo
    6. Mantenimiento de programas y políticas de seguridad

    Obtenga más información sobre cómo validamos nuestra conformidad con PCI mediante VISA.

    Copias de seguridad de datos

    MINDBODY trabaja para respaldar los datos de los suscriptores de diversas formas, para protegerlos contra posibles daños o pérdidas de datos. Cada copia de seguridad se almacena en un servidor seguro y cifrado.

    • Todos los datos de los clientes se guardan en un servidor seguro o en un directorio de copias de seguridad que requiere autenticación de acceso.
    • La información de cada cliente se guarda en su propia base de datos asignada y respaldada para protegerla de daños o eliminación de datos accidentales o malintencionados.
    • Para proteger contra la pérdida de datos, se realizan instantáneas de todos los datos de suscriptores cada 15 minutos. Se realizan copias de seguridad de archivos de todos los suscriptores diaria y mensualmente, y se conservan durante 30 días y 13 meses, respectivamente.

    Notificación de incidentes y brechas

    El contenido relativo a las líneas de defensa de MINDBODY está bien documentado y a disposición de los clientes que lo soliciten.

    • MINDBODY mantiene un sistema runbook para responder a las alertas y otros eventos del sistema, incluidos los eventos de seguridad.
    • Mantenemos un plan de comunicaciones críticas para toda la empresa que incluye instrucciones de comunicación de eventos a gran escala a los clientes.
    • Cualquier acceso no confirmado y ni autorizado que ponga en riesgo los datos genera un equipo de respuestas a incidentes que utiliza un proceso de notificación definido y auditado.
    • MINDBODY elabora un informe brechas de ePHI y tarjetas de crédito con todos los hechos de que dispone sobre el alncade de la brecha en conformidad con la Regla de notificación de brechas PCI-DSS y HIPAA, 45 CFR §§ 164.400-414.

    GDPR

    The EU General Data Protection Regulation (GDPR) is a comprehensive data protection law designed to strengthen and unify data protection for individuals within the EU, essentially giving EU residents and citizens more control of their personal data. The GDPR took effect on May 25, 2018.

    This law impacts any organization with a presence in an EU country, or any company that processes personal data of EU residents and citizens.

    MINDBODY has worked hard to ensure that our practices are GDPR compliant. It is equally important that you, our customers and partners, understand what the GDPR means to you and your business so you can ensure your own processes are compliant as they relate to data protection and the new regulations.

    Nuestro artículo FAQ de preguntas frecuentes responde diferentes cuestiones que pueda tener acerca del Reglamento General de Protección de Datos (GDPR).

Consulte nuestra Política de seguridad si desea más información