Seguridad

Todos los servidores que ejecutan el software de PandaDoc en producción son sistemas Linux recientes que se parchean constantemente. Los servicios de alojamiento adicionales que utilizamos, tales como Amazon RDS, S3 y otros, son plataformas de infraestructura como un servicio (IaaS) de AWS ampliamente reforzadas.

PandaDoc almacena datos de los documentos, como los metadatos, la actividad, los archivos originales y los datos de clientes, en diferentes ubicaciones. Todos los datos de cada ubicación están cifrados con AES-256 y una sofisticada gestión de claves de cifrado.

PandaDoc utiliza técnicas de programación estándar, como tener un desarrollo documentado y procesos de garantía de calidad, y también seguir directrices como el informe OWASP, para garantizar que las aplicaciones cumplen con los estándares de seguridad.

Seguimos el principio del mínimo privilegio en el desarrollo, así como en el nivel de acceso que los empleados utilizan para diagnosticar y resolver problemas en nuestro software y en el soporte a cliente.

Los segmentos de la red de producción están lógicamente aislados de otros segmentos corporativos, de control de calidad y de desarrollo.

PandaDoc utiliza un sistema de procesamiento de pagos externo y seguro y no procesa, almacena, ni transmite datos de tarjetas de pago.

En PandaDoc, la aplicación de producción y los componentes de infraestructura subyacentes están supervisados 24/7/365 días al año por sistemas de supervisión especializados. Las alertas críticas generadas por estos sistemas se envían a los miembros del equipo de DevOps disponibles 24/7/365 y se escalan apropiadamente a la gestión de operaciones.

Utilizamos distintas tecnologías para lograr un tiempo de actividad cada vez más fiable, incluyendo el uso de autoescalado, balanceo de carga, colas de tareas y despliegues continuos. Hacemos copias de seguridad diarias, automáticas y encriptadas, de nuestras bases de datos.

La seguridad de las aplicaciones es evaluada por el equipo de desarrollo en cada ciclo de lanzamiento. Estas pruebas de vulnerabilidad incluyen el uso de herramientas y escáneres de seguridad para identificar las vulnerabilidades de las aplicaciones antes de que se publiquen en producción.

La aplicación web está dividida en segmentos lógicos (front-end, mid-tier y base de datos), cada uno de ellos separado de forma independiente en una configuración DMZ. Esto garantiza la máxima protección e independencia entre capas.

PandaDoc es consciente de que la protección de la privacidad requiere una estrategia de seguridad integral. Para ello, hemos implementado todos los mecanismos y recursos necesarios para cumplir con el RGPD, que puedes consultar en nuestra política de privacidad.

PandaDoc cuenta con la certificación SOC 2 Tipo II. Podemos proporcionar un informe SSAE 18 SOC 2 y certificados de conformidad. Nuestros servicios están alojados en Amazon AWS y de este modo aprovechamos las enormes inversiones en seguridad de Amazon, en beneficio de nuestros clientes.

En la actualidad, PandaDoc colabora con terceras empresas para proporcionar distintos servicios. Todos los acuerdos con terceros se realizan después de realizar una auditoría para evaluar su capacidad y firmar un acuerdo en el que se exige el cumplimiento de unas prácticas de seguridad mínimas aceptables.

Los centros de datos de PandaDoc (gestionados por Amazon AWS) son de última generación y utilizan enfoques de arquitectura e ingeniería innovadores. Amazon tiene gran experiencia en el diseño, construcción y gestión de centros de datos a gran escala. Esta experiencia se ha aplicado a la plataforma e infraestructura de AWS.