Preguntas frecuentes del Centro de confianza

Elastic es un "customer zero" (cliente cero) entusiasta de todas nuestras soluciones, en especial de Elastic Security. Estamos comprometidos con proporcionarte productos y servicios que se han probado en un entorno de producción real antes de distribuirse ampliamente. Usamos nuestros productos en todos los lugares en los que podemos, y para más que solo logs. El equipo InfoSec de Elastic usa las características de Elasticsearch Platform para crear, monitorear, detectar y responder a eventos de seguridad a diario.

Visita Elastic on Elastic (Elastic en Elastic) y Elastic Security para obtener más información.

Elastic adoptó formalmente un sistema de gestión de seguridad de la información (ISMS) con certificación ISO 27001, incluidas ISO 27017 e ISO 27018. Nuestra Política de gobernanza de seguridad de la información es el pilar de todas las políticas, los estándares y las pautas de seguridad de la información. Nuestro ISMS incluye medidas organizativas y técnicas adecuadas e integrales diseñadas para proteger tus datos del cluster frente a accesos, modificaciones o eliminaciones no autorizadas.

Establecimos controles de acceso para autenticar la identidad de los individuos que acceden a los sistemas que procesan los datos del cluster de nuestro cliente. Diseñamos estos controles para ayudar a asegurar que los usuarios no autorizados no obtengan acceso a tales sistemas y que los individuos autorizados puedan acceder solo a lo adecuado para su rol. Tales controles incluyen, sin limitación, la autenticación multifactor, los estándares de seguridad de la contraseña y redes privadas virtuales (VPN) para acceso administrativo. También implementamos un registro centralizado, que incluye logs de proxies, logs de acceso, logs de Elasticsearch y logs de Auditbeat, para registrar el acceso a los datos del cluster del cliente y los sistemas en los que residen.

Las soluciones impulsadas por la búsqueda de Elastic Cloud se hospedan en plataformas en el cloud certificadas gestionadas por proveedores de infraestructura como servicio (IaaS) líderes en la industria, entre los que se incluyen Amazon Web Services (AWS), Google Cloud y Microsoft Azure. Elastic revisa las prácticas y certificaciones de seguridad de nuestros subprocesadores con el objetivo de garantizar la existencia de medidas de seguridad físicas adecuadas en las instalaciones en las que se procesarán y almacenarán los datos de Elastic Cloud.

Un aviso de seguridad de Elastic (ESA) es un aviso de Elastic a sus usuarios en el que les informa problemas de seguridad con los productos de Elastic. Elastic asigna tanto un identificador CVE como uno ESA a cada aviso y proporciona un resumen y detalles de corrección y mitigación. Anunciamos todos los avisos nuevos en el foro Security Announcements (Anuncios de seguridad), y puedes hacer un seguimiento a través de una fuente RSS.

Elastic agradece la asociación con la comunidad de seguridad y comparte el objetivo de mantener la seguridad de los usuarios (e internet). Reporta potenciales vulnerabilidades de seguridad que afecten a cualquiera de nuestros productos de Elastic, el servicio de Elastic Cloud o el sitio web de elastic.co a través de nuestro programa de recompensa por errores de HackerOne. Para conocer en detalle el alcance y las reglas de participación, consulta la política del programa de HackerOne.

Conforme a los principios de Divulgación de vulnerabilidades coordinada, Elastic analiza potenciales vulnerabilidades de seguridad para identificar cualquier mitigación o actualización de producto recomendada y coordina las divulgaciones a través de anuncios de seguridad de Elastic (ESA) y el programa CVE. No publiques ni compartas información sobre potenciales vulnerabilidades en cualquier foro público hasta que hayamos investigado el problema y brindado una respuesta.

Los usuarios y clientes pueden reportar cualquier otro potencial problema de seguridad a security@elastic.co. Puedes usar esta dirección para enviar inquietudes sobre productos relacionadas con la seguridad o solicitudes sobre otros temas de seguridad que no se mencionen explícitamente aquí. (En esta dirección solo aceptamos cuestiones relacionadas con la seguridad). Debes dirigir los reportes de errores a la base de datos de errores del proyecto correspondiente o al Soporte de Elastic. Si deseas encriptar el mensaje que nos envías, usa nuestra clave PGP. La huella es la siguiente:

1224 D1A5 72A7 3755 B61A 377B 14D6 5EE0 D2AE 61D2

La clave está disponible a través de servidores de clave. Busca 'security@elastic.co'. Ejemplo en OpenPGP

En Elastic, sabemos que la seguridad es responsabilidad de todos. Es por eso que incorporamos la seguridad en el desarrollo de los productos y en las bases de Elastic Cloud.

La seguridad y privacidad de tus datos de Elastic Cloud también dependen de que mantengas una configuración segura del cluster de Elasticsearch y mantengas la confidencialidad de tus credenciales de inicio de sesión de Elastic Cloud.

Esta es una breve lista de comprobación que puede ayudarte:

• No compartas tus credenciales con otros.
• Actualiza el perfil de tu cuenta para asegurarte de que la información sea correcta y esté actualizada.
• Agrega contactos operativos según corresponda.
• Asegúrate de haber configurado contraseñas seguras.
• Ten precaución al habilitar plugins personalizados en tus despliegues de Elastic Cloud.
• Considera configurar la opción para solicitar los nombres de los índices al iniciar acciones de destrucción.

Si necesitas realizar cambios que no estén disponibles en la consola de Elastic Cloud, crea un caso en Soporte de Elastic. Si crees que tu cuenta se vio comprometida, envía un correo electrónico a security@elastic.co. Y si debes realizar una solicitud de eliminación, comunícate con el equipo de Privacidad de los datos de Elastic aquí.

Sí, los datos se encriptan at rest mediante AES-256 y en tránsito mediante TLS 1.2.

Evaluamos detenidamente a cada uno de nuestros proveedores para asegurarnos de que cumplan con los estándares de seguridad y cumplimiento de Elastic. Elastic se asocia con proveedores importantes de IaaS para brindar Elastic Cloud. Cada uno se somete con regularidad a auditorías de terceros independientes, incluidas la auditoría SOC 2 y la certificación ISO 27001 como mínimo, para demostrar la seguridad de sus servicios. Luego revisamos estos reportes de auditoría y certificaciones como parte de nuestro programa de gestión de riesgos de terceros.

Elastic también revisa el código de terceros y publica listados de dependencias open source de terceros de los productos de Elastic.

Terceros realizan pruebas de penetración en las aplicaciones y la red de Elastic Cloud de forma anual, como mínimo. Trabaja con tu representante de cuenta o comunícate con el equipo de seguridad de Elastic para obtener una copia del resumen ejecutivo de prueba.

Mantenemos un marco de trabajo de desarrollo de software seguro (SSDF) basado en NIST 800-218 y seguimos las mejores prácticas de seguridad de diseño y arquitectura para producir software que sea "seguro por diseño" y "seguro de forma predeterminada". Nuestro SSDF guía el proceso para diseñar, desarrollar, desplegar, hacer seguimiento y mantener de forma segura todo el software de Elastic. También incluye los requisitos para proteger nuestros sistemas de compilación y mitigar los riesgos de compromiso en la cadena de compilación.

Los datos que nos confías siguen siendo tuyos. Solo usamos tus datos para los fines especificados en el acuerdo, como brindarte el servicio por el que pagas. Implementamos medidas de seguridad rigurosas para proteger tus datos y brindarte las herramientas y características que te permitan controlar tus datos conforme a tus términos.

Procesamos tus datos de Elastic Cloud para cumplir con nuestra obligación contractual de brindar nuestros servicios.

• Los datos de los clientes son tus datos. Solo procesamos tus datos conforme al acuerdo.
• Nunca venderemos tus datos a terceros.
• Estamos comprometidos con la transparencia, el cumplimiento de las normas, incluido el Reglamento General de Protección de Datos (GDPR), la Ley de Protección del Consumidor de California (CCPA) y las mejores prácticas de privacidad.
• Priorizar tu privacidad significa proteger los datos que nos confías. La seguridad y la privacidad son criterios principales de diseño para todos nuestros productos.

Comprendemos la importante responsabilidad de brindar experiencias de búsqueda líderes y proteger tus datos; y trabajamos con diligencia para ganarnos tu confianza. Desde la supervisión de la junta y la responsabilidad ejecutiva en lo más alto de la organización hasta cómo incorporamos y capacitamos de forma continua a cada Elastician, la seguridad es fundamental en todo lo que hacemos. Obtuvimos un amplio conjunto de certificaciones y auditorías de cumplimiento líderes en la industria para el servicio Elastic Cloud y el Sistema de gestión de seguridad de la información (ISMS). Estas auditorías y certificaciones demuestran que las prácticas de seguridad efectivas son inherentes en todas nuestras actividades, incluido el desarrollo y despliegue de productos, la gestión de vulnerabilidades, la gestión de incidentes y los procesos de manejo de amenazas.

Elastic no tiene acceso a los datos dentro de tus despliegues autogestionados. Para brindar nuestra oferta de Elastic Cloud, una cantidad limitada de empleados de Elastic tienen acceso privilegiado a nuestro entorno de producción. Mantenemos este acceso únicamente para la gestión, el mantenimiento y el soporte de la plataforma.

Elastic adhiere al principio de privilegio mínimo al provisionar el acceso a los usuarios internos. Los empleados de Elastic solo reciben el nivel de acceso necesario para sus roles de trabajo. Revisamos con frecuencia los derechos de acceso y modificamos los permisos en caso de un cambio de trabajo u otra circunstancias en las que el acceso de un usuario ya no se necesita.

Nuestro equipo de Seguridad de la información, detección de amenazas y respuesta también ha desarrollado e implementado detecciones de acceso no autorizado y actividad sospechosa en cuentas internas, lo que incluye el monitoreo de la integridad de archivos e indicadores de apropiación de cuenta. Estas detecciones son parte de flujos de trabajo automatizados que alertan al equipo de Detección de amenazas y respuesta sobre la actividad sospechosa y desencadenan la investigación por parte de analistas.

Los productos de Elastic también ofrecen Controles de Acceso basado en roles a fin de permitir a nuestros clientes implementar la gestión de acceso detallada para los usuarios dentro de sus despliegues de Elastic y la plataforma de gestión Elastic Cloud.

Sí, usamos ciertos subprocesadores de soporte al cliente e infraestructura para brindar servicios a nuestros clientes. Los subprocesadores relevantes para ti dependerán en última instancia de la ubicación del centro de datos, los servicios y las funcionalidades que elijas usar. (Ve las listas de nuestros subprocesadores externos o internos).

Cuando transferimos tus datos fuera de los límites nacionales, lo hacemos conforme a la ley aplicable. Implementamos protecciones adecuadas para ayudar a proteger tus datos cuando los procesan nuestros subprocesadores, lo cual incluye celebrar acuerdos de procesamiento de datos y mecanismos de transferencia aprobados (como las SCC), al igual que implementar medidas complementarias. Contamos con procesos sólidos para revisar la privacidad y los controles de seguridad de todos los subprocesadores que tienen acceso a los datos personales de los clientes.

Las características de Elastic Cloud brindan soporte para el cumplimiento con GDPR y otras leyes de protección de datos globales:

• Priorizamos la seguridad de tus datos personales a través de medidas organizativas y técnicas predeterminadas efectivas, que se someten a pruebas y validación regulares.
• Ofrecemos un Data Processing Addendum (Anexo de procesamiento de datos) que cumple con GDPR, para ayudarte a cumplir con tus obligaciones contractuales de GDPR.
• Tienes el control de qué proveedor de servicios en el cloud hospedará tus datos almacenados en Elastic Cloud y la capacidad de seleccionar la región de despliegue de Elastic Cloud.
• Ofrecemos recursos integrales para ayudarte a adherir a los requisitos relevantes para tus actividades de procesamiento. Para obtener más información sobre cómo asegurarte de que tus despliegues de Elastic cumplan con GDPR, visita https://www.elastic.co/es/gdpr.

Además de estas características, Elastic mantiene equipos de seguridad y privacidad dedicados. Estos equipos supervisan nuestro cumplimiento con GDPR y otras leyes de privacidad aplicables al mismo tiempo que procesan datos personales en nombre de nuestros clientes.

Elastic es una empresa global y podemos transferir datos que se originan en el EEE, Suiza o el Reino Unido a afiliados no europeos de Elastic, además de a organizaciones de terceros necesarias para proporcionar nuestros servicios. (Puedes encontrar estas ubicaciones en la sección anterior sobre subprocesadores). En tales casos, nos apoyamos en las SCC, que incluyen el módulo de controlador-procesador o procesador-procesador (según corresponda) con nuestros clientes y el módulo de procesador-procesador con nuestros subprocesadores, además de sólidas medidas complementarias.

Estamos dedicados a ayudarte a garantizar el cumplimiento de las normas y leyes globales. En vista de las directrices del Comité Europeo de Protección de Datos (EDPB) tras el fallo de Schrems II, examinamos detenidamente nuestras prácticas con el objetivo de asegurar que las transferencias de datos internacionales cumplan con los requisitos de protección de datos:

• Las transferencias de datos de Elastic no se encuadran en el foco típico de la ley de supervisión de los EE. UU. y, hasta ahora, nunca recibimos por parte de autoridades públicas la solicitud de datos de clientes, incluso conforme a leyes como FISA, EO12333 o la Ley CLOUD.
• En caso de recibir una solicitud de datos de clientes que provenga de una autoridad pública, contamos con políticas y procesos para manejar dichas solicitudes, lo que incluye protocolos para objetar la solicitud, notificar a las partes relevantes y solicitar exenciones de prohibiciones en la notificación.
• Brindamos medidas complementarias sólidas para proteger tus datos, que incluyen la encriptación de datos tanto en tránsito como at rest a fin de garantizar la confidencialidad e integridad de tus datos en todo su recorrido.
• Los clientes de Elastic Cloud tienen la opción de seleccionar servidores de la UE para el hospedaje con el objetivo de cumplir mejor sus necesidades de soberanía de datos. Los backups también se configuran en la misma región que seleccionas para el despliegue.
• Se pueden usar cláusulas contractuales estándares para proteger las transferencias de datos. Esto incluye situaciones en las que los clientes optan por hospedaje en los EE. UU. o interactúan con nuestra entidad en EE. UU., y para transferencias de Elastic a nuestros subprocesadores.
• Evaluamos y desarrollamos de forma continua nuestras protecciones contractuales, técnicas y organizativas para proteger las transferencias de datos.

Ofrecemos varias medidas complementarias para garantizar que tus datos se mantengan protegidos en Elastic Cloud. Estamos comprometidos con limitar el procesamiento de los datos de los clientes tanto como sea posible en la provisión de nuestros servicios. Desarrollamos procesos, estructuras organizativas y medidas técnicas en toda la empresa con el objetivo de asegurarnos de cumplir con los principios de privacidad globales (o superarlos).

Elastic se compromete contractualmente a medidas de privacidad y protección de datos adecuadas conforme al Data Processing Addendum (Anexo de protección de datos), que incluye las SCC, y al Information Security Addendum (Anexo de seguridad de la información). Revisamos y actualizamos con frecuencia nuestro Data Processing Addendum (Anexo de protección de datos) con el objetivo de reflejar los requisitos de privacidad de los datos aplicables, incluidas las disposiciones siguientes:

• El procesamiento de datos personales solo se lleva a cabo bajo tu indicación.
• Solo hospedamos datos en la región que seleccionas.
• Todo personal autorizado para procesar datos personales está sujeto a rigurosos acuerdos, procedimientos y políticas de confidencialidad.
• Puedes recuperar, corregir o eliminar cualquier dato personal que cargues en Elastic Cloud en cualquier momento.
• Te notificaremos en caso de que recibamos una solicitud de divulgación para tus datos, a menos que esté prohibido por ley.
• Nuestros subprocesadores están sujetos a los mismos estándares estrictos y requisitos organizativos. Somos responsables de los actos y las omisiones de nuestros subprocesadores en la misma medida que si realizáramos los servicios nosotros mismos.

Diseñamos nuestros productos para ayudarte a proteger los datos de tu organización, cumplir con las normas globales y generar confianza. Implementamos estándares de seguridad líderes en la industria:

• Encriptación en transferencia y at rest: Elastic implementa procedimientos de gestión de claves de encriptación y encripta datos del cliente en tránsito y at rest usando un mínimo de cifrado AES de 128 bits.
• Actualizaciones y parches del sistema regulares: con el objetivo de ayudar a reducir la probabilidad de incidentes relacionados con vulnerabilidades, las instancias de Elasticsearch se despliegan según los kernels del sistema operativo más recientes, sujetas a los parches correspondientes cuando se descubre una vulnerabilidad y exposición común en el software de cualquier componente.
• Uso de proveedores de servicios líderes en la industria: los servicios de Elastic se hospedan en centros de datos que mantienen proveedores de servicios líderes en la industria, que ofrecen medidas de seguridad organizativas y técnicas de vanguardia diseñadas para proteger los datos que hospedan.
• Controles de acceso: Elastic mantiene controles administrativos, lógicos y técnicos diseñados para limitar el acceso a los datos a usuarios autorizados, incluidos procesos de autenticación multifactor. Además, Elastic implementa un registro centralizado, que incluye logs de proxies, logs de acceso, logs de Elasticsearch y logs de Auditbeat, para registrar el acceso a los datos del cluster del cliente y los sistemas en los que residen.

Implementamos estructuras organizativas sólidas en toda la empresa, lo que demuestra nuestro compromiso inquebrantable de cumplir y superar los principios de privacidad globales:

• Programas de seguridad y privacidad: mantenemos programas integrales de privacidad de datos y seguridad de la información que incluyen medidas adecuadas diseñadas para proteger tus datos.
• Política de solicitud de acceso de la autoridad pública: contamos con políticas y procesos para manejar cualquier solicitud de acceso a datos personales realizada por autoridades públicas, lo que incluye protocolos para objetar tales solicitudes, notificar a las partes relevantes y solicitar exenciones de prohibiciones en la notificación.
• Otras políticas internas: mantenemos políticas internas que rigen el uso y el acceso a datos personales, las cuales aseguran un manejo correcto de las filtraciones de datos, solicitudes de acceso de los interesados, retención de datos y políticas de control de acceso.
• Estándares de la industria: Elastic adoptó formalmente un programa de seguridad de la información que cumple con ISO 27001, incluidas ISO 27017 e ISO 27018. Nuestra Política de gobernanza de seguridad de la información de Elastic es el pilar de todas las políticas, los estándares y las pautas de seguridad de la información. Y un tercero independiente auditó y certificó los servicios de Elastic Cloud conforme a SOC 2 Tipo 2.
• Pruebas regulares: realizamos pruebas de vulnerabilidades de aplicaciones y de red periódicas, e implementamos procedimientos para documentar y abordar vulnerabilidades detectadas durante las pruebas de penetración y vulnerabilidades.
• Capacitación de empleados: requerimos que todos los empleados completen la capacitación de protección de datos y seguridad de la información al momento de la contratación y luego, como mínimo, de forma anual.

Establecimos políticas y procedimientos para responder a las solicitudes de acceso de la autoridad pública a los datos del cliente. Estos adhieren a las leyes de protección de datos aplicables y a tu acuerdo del cliente. Elastic solo divulgará o proporcionará acceso a tus datos si así lo requiere estrictamente la ley y nunca divulgaremos tus datos de una forma masiva, desproporcionada o indiscriminada que exceda lo necesario en una sociedad democrática.

Sin perjuicio de lo anterior, Elastic nunca recibió ninguna solicitud de autoridades públicas para acceder a datos del cliente, incluso conforme a la Sección 702 de FISA y la Ley CLOUD. Tampoco tenemos conocimiento de ningún acceso directo a los datos del cliente conforme al EO 12333. Nunca creamos una llave maestra o puerta trasera para cualquiera de nuestros productos o servicios, y nunca permitimos a ninguna autoridad gubernamental acceso irrestricto o directo a los servidores.

Como se mencionó antes, Elastic nunca recibió una solicitud de una autoridad pública para divulgar datos del cliente. Si alguna vez recibimos una de estas solicitudes, comenzaremos a publicar reportes de transparencia.

Para obtener más información sobre cómo Elastic recopila y usa los datos personales, consulta nuestros avisos de privacidad a continuación:

Declaración general de privacidad

Product Privacy Statement (Declaración de privacidad del producto)

Declaración de privacidad del solicitante

California Privacy Rights Statement (Declaración de derechos de privacidad de California)

Elastic Cookie Privacy Statement (Declaración de privacidad de cookies de Elastic)

Estamos comprometidos a adherir a las normas de privacidad globales, incluidos el GDPR y la CCPA. Para enviar una solicitud de interesado, comunícate con el equipo de Privacidad de los datos de Elastic aquí.

Elastic Cloud cumple con ISO 27001, ISO 27017, ISO 27018, SOC 2 Tipo II, CSA CCM 4.0, PCI-DSS, HIPAA y otros marcos de trabajo de la industria, como TISAX. Para obtener más información, navega a nuestra página de cumplimiento.

Elastic Cloud tiene autorización de FedRAMP de nivel de impacto moderado, desplegable en AWS GovCloud (EE. UU.). Los usuarios gubernamentales federales, estatales y locales, y los usuarios e instituciones de educación superior con datos gubernamentales, pueden registrarse hoy.

Nuestro compromiso con los estándares éticos más rigurosos es cumplir con todas las leyes correspondientes y proteger todos los datos que se nos confían. Visita nuestra página de ética y cumplimiento corporativos para conocer detalles adicionales, incluido el Código de conducta y ética empresarial, el Código de conducta para proveedores y las políticas de Denuncia de irregularidades.

Elastic es una empresa de tecnología y estamos comprometidos a manejar nuestro negocio con honestidad, integridad y en total cumplimiento con las leyes y regulaciones de los Estados Unidos que restringen las exportaciones y gobiernan las actividades comerciales internacionales, entre las que se incluyen las sanciones comerciales, el control de las exportaciones y las leyes y regulaciones de boicot. Nuestros clientes y posibles clientes preguntan a menudo por el ECCN asignado a nuestros productos. Por lo general, todos nuestros productos pagos están clasificados bajo el ECCN 5D002.c.1 y son aptos para la exportación bajo la Excepción de Licencia ENC de acuerdo con la Sección 740.17 (b)(1) del Reglamento de Administración de Exportaciones.

La lista actualizada y detallada de los ECCN de los productos está disponible aquí. Esta información puede cambiar a medida que desarrollamos productos nuevos o agregamos características nuevas, por lo que siempre debes consultar el cuadro de ECCN más reciente que publica Elastic. También te recomendamos que consultar a tu asesor de exportación para determinar cómo afecta esta información a tus transacciones de exportación o al uso de los productos de Elastic.

Elastic Cloud está disponible en los proveedores de servicios en el cloud más importantes a nivel mundial. Inicia despliegues en Elastic Cloud en cualquiera de las regiones en las que brindamos soporte a través de Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP). Echa un vistazo a nuestra oferta más reciente aquí.

Visita la página de estado de Elastic Cloud para ver la información del tiempo de actividad.