Seguridad y cumplimiento

El cumplimiento de SOC2 (Service Organization Control 2) es un estándar de seguridad reconocido internacionalmente que ayuda a las organizaciones, incluidos los proveedores de servicios en la nube, a proteger los datos de los clientes y demostrar el cumplimiento de las regulaciones aplicables. El estándar fue desarrollado por el American Institute of Certified Public Accountants (AICPA) y se basa en los AICPA's Trust Services Criteria del AICPA. El cumplimiento de SOC2 requiere que las organizaciones cumplan requisitos específicos de seguridad y privacidad relacionados con el almacenamiento, el procesamiento y la transmisión de datos. El cumplimiento implica la implementación de controles técnicos, físicos y administrativos apropiados que se supervisan de forma continua.

ISO/IEC 27001 (International Organization for Standardization / International Electrotechnical Commission) es un estándar internacional que describe los requisitos para un sistema de gestión de seguridad de la información (ISMS). Proporciona un marco de controles de seguridad para ayudar a las organizaciones a gestionar los riesgos de seguridad de la información. Está diseñado para ayudar a proteger a las organizaciones de amenazas a la seguridad, como filtraciones de datos, software malicioso y ataques cibernéticos. ISO/IEC 27001 es un estándar ampliamente reconocido para la gestión de la seguridad de la información y aceptado por muchas organizaciones en todo el mundo.

FedRamp (Federal Risk and Authorization Management Program) es un programa gubernamental que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua para productos y servicios en la nube. Se ha diseñado para ayudar a las agencias a evaluar y autorizar productos y servicios en la nube de forma más eficiente y rentable. FedRamp fue desarrollado por la General Services Administration (GSA) en colaboración con el Department of Homeland Security (DHS), el Department of Defense (DoD), el National Institute of Standards and Technology (NIST) y otras agencias federales.

Authorization to Operate (ATO) es la aprobación de seguridad para lanzar un nuevo sistema de TI en el gobierno federal. Las agencias gubernamentales determinan si otorgan autorización a un sistema de información para operar durante un periodo de tiempo evaluando si el riesgo de seguridad es aceptable.
Ivanti ha recibido ATO de Air Force, Army, Department of Defense (DoD), Defense Health Agency (DHA), Department of Homeland Security (DHS), National Guard, Navy, Pacific Air Forces (PACAF), United States Special Operations Command (SOCOM) y U.S Strategic Command (STRATCOM).

Como Common Criteria Compliance es un conjunto de estándares que se utilizan para evaluar la seguridad de los productos y servicios de TI. Proporciona un marco común para que las organizaciones midan y comparen las características de seguridad de diferentes productos y servicios de TI. Los estándares los establece un comité internacional y los utilizan las organizaciones para evaluar la seguridad de los productos y servicios de TI que están considerando adquirir. Los estándares cubren áreas como la autenticación, la autorización, el cifrado, la auditoría y otros temas relacionados con la seguridad.

508 VPATs (Voluntary Product Accessibility Template) son documentos que ofrecen información detallada sobre lo accesible que es un producto o servicio para personas con discapacidad. Los documentos se desarrollan de acuerdo con la Sección 508 de los EE.UU. Rehabilitation Act de 1973, que exige que las agencias federales garanticen que su tecnología electrónica y de la información sea accesible para las personas con discapacidades. Los VPAT los suelen utilizar los organismos gubernamentales a la hora de adquirir software, hardware y otros productos y servicios tecnológicos.

A partir de 2014, el Reino Unido ha exigido al gobierno central del propio país que los proveedores que manejan ciertos tipos de información personal y confidencial obtengan la certificación Cybersecurity Essentials. Esta certificación garantiza a los clientes que Ivanti comprende nuestro nivel de seguridad cibernética y trabajamos para proteger nuestra TI frente a ataques cibernéticos. Puede buscar nuestra certificación actualizada visitando el sitio web de IASME y buscando «Ivanti».

La certificación Australian Information Security Registered Assessors Program proporciona garantía de que los sistemas de ICT cumplen con los estrictos estándares de seguridad cibernética del gobierno australiano.

El proceso de evaluación utiliza la guía de seguridad detallada en Australian Attorney-General’s Department’s (AGD) Protective Security Policy Framework (PSPF), the Australian Government Information Security Manual (ISM), produced by the Australian Cyber Security Centre (ACSC) y Digital Transformation Agency’s (DTA) Secure Cloud Strategy y otras guías de ciberseguridad. La evaluación cubre los componentes modulares de Ivanti Neurons para ITSM y servicios SaaS complementarios.

Todos los controles han sido evaluados y certifican que existen controles de seguridad adecuados y efectivos para el procesamiento, el almacenamiento y la transmisión de datos clasificados hasta el nivel de PROTEGIDO incluido.