Centro fiduciario de seguridad

ProcessMaker sigue las mejores prácticas establecidas y las normas del sector para cumplir los requisitos generales de seguridad y privacidad. Este enfoque, en efecto, ayuda a nuestros clientes a cumplir sus normas de conformidad específicas.

Nuestro marco de gobernanza garantiza una toma de decisiones transparente y responsable, orientando nuestra organización hacia prácticas éticas y eficaces. Entre los elementos clave se incluyen:

• Estructura de liderazgo: Funciones y responsabilidades claramente definidas para los puestos de liderazgo.
• Políticas y procedimientos: Establecimiento de directrices documentadas para la toma de decisiones y las operaciones.
• Cumplimiento: Cumplimiento de las leyes, reglamentos y normas industriales aplicables.
• Transparencia: Comunicación abierta y divulgación de información relevante a las partes interesadas.
• Rendición de cuentas: Garantizar que las personas y los equipos respondan de sus acciones y decisiones.
• Prácticas éticas: Respetar las normas morales y éticas en todos los aspectos de las operaciones.
• Gestión de riesgos: Identificar, evaluar y mitigar los riesgos potenciales para la organización.
• Participación de las partes interesadas: Implicación y consideración de los intereses de las partes interesadas pertinentes.
• Mejora continua: Revisar y mejorar periódicamente la eficacia de los procesos de gobernanza.

Actualizado - 12 de enero de 2024

En ProcessMaker, damos prioridad a la seguridad y privacidad de nuestras tecnologías de IA. Al integrar la IA generativa, nos adherimos a estándares globales para proteger los datos de los usuarios y garantizar un uso ético de la IA. Además, hemos implementado una política interna, la "Política de seguridad de IA generativa", que describe los procedimientos y controles para gestionar e integrar de forma segura las tecnologías de IA generativa en nuestros productos y servicios.

Seguimos los marcos ISO/IEC 27001 e ISO/IEC 42001 para establecer, implantar y mejorar continuamente nuestro SGSI integrado en nuestro sistema de gestión de la IA, garantizando unas operaciones de IA seguras y éticas.

Nuestras prácticas incluyen:

• Autenticación y autorización sólidas: Autenticación multifactor y estrictos controles de acceso.
• Protección de datos: Anonimización y tratamiento seguro de datos personales.
• Gestión de vulnerabilidades: Escaneo y parcheo periódico de vulnerabilidades.
• Respuesta a incidentes: Planes integrales para abordar y mitigar las infracciones.
• Evaluación de riesgos: Evaluaciones periódicas de riesgos para identificar y abordar posibles riesgos y preocupaciones, garantizando un uso seguro y ético.

Esta declaración refleja el compromiso de Processmaker con la integración segura y ética de la IA, basándose en la norma ISO/IEC 42001 y en las directrices de seguridad de la IA de OWASP.

ProcessMaker utiliza los productos de encriptación más potentes para proteger los datos y las comunicaciones de los clientes, utilizando el algoritmo de encriptación estándar del sector AES-256 y el protocolo Transport Layer Security v1.2.

Encriptación en Tránsito
Todas las interacciones con la interfaz de usuario (UI) de ProcessMaker y las API están protegidas a través de protocolos HTTPS/TLS estándar de la industria, asegurando el cifrado (TLS 1.2 o superior) a través de redes públicas para el tránsito seguro de datos. En cuanto al correo electrónico, nuestro producto utiliza por defecto TLS oportunista, encriptando y entregando correos electrónicos de forma segura, protegiendo contra escuchas entre servidores de correo que soportan este protocolo.

Cifrado en reposo
Los datos de servicio ahora se cifran en reposo tanto en AWS como en Azure utilizando AES-256. Esto garantiza que los datos estén protegidos frente a accesos no autorizados e infracciones.

Los usuarios acceden a Processmaker únicamente con una combinación válida de nombre de usuario y contraseña, que se cifra mediante TLS mientras se transmite. Se utiliza una cookie de identificación de sesión cifrada para identificar de forma exclusiva a cada usuario. Para mayor seguridad, la clave de sesión se codifica automáticamente y se restablece en segundo plano a intervalos regulares.

Process Intelligence utiliza Azure AD Open ID Connect para el inicio de sesión único (SSO) y la autenticación multifactor (MFA). Esto mejora la seguridad al requerir múltiples formas de verificación antes de conceder acceso a datos y sistemas sensibles.

Nuestro robusto modelo de seguridad de aplicaciones preserva las sesiones. ProcessMaker utiliza varias herramientas de seguridad para verificar las mejores prácticas de seguridad a lo largo del ciclo de vida de desarrollo de software (SDLC).

Dentro de los cortafuegos del perímetro, los sistemas están protegidos por la traducción de direcciones de red, la redirección de puertos, el enmascaramiento de IP, los esquemas de direcciones IP no enrutables y más. Los detalles específicos de estas características están patentados.

ProcessMaker aplica una estricta seguridad a nivel de sistema operativo utilizando un número mínimo de puntos de acceso a todos los servidores de producción. Protegemos todas las cuentas del sistema operativo con contraseñas fuertes y autenticación de dos factores. Todos los sistemas operativos se mantienen en los niveles de parches recomendados por cada proveedor para la seguridad y se refuerzan deshabilitando y/o eliminando cualquier usuario, protocolo y proceso innecesario.

Siempre que es posible, el acceso a la base de datos se controla a nivel del sistema operativo y de la conexión a la base de datos para mayor seguridad. El acceso a las bases de datos de producción está restringido a un número limitado de puntos, y las bases de datos de producción no comparten una base de datos con contraseña maestra. Todos los volúmenes de la base de datos están cifrados.

Todos los datos introducidos en la aplicación Processmaker por un cliente son propiedad de ese cliente. Los empleados de ProcessMaker no tienen acceso directo a los entornos de producción de ProcessMaker, excepto cuando es necesario para la gestión del sistema, el mantenimiento, la supervisión y las copias de seguridad.

ProcessMaker mantiene una página web processmaker-status a disposición del público, que incluye detalles de disponibilidad del sistema, mantenimiento programado, historial de incidentes de servicio y eventos de seguridad relevantes.

ProcessMaker emplea clústeres de servicio y redundancias de red para eliminar los puntos únicos de fallo. Nuestro estricto régimen de copias de seguridad y/o nuestro ejercicio de recuperación ante desastres para ProcessMaker alojado en AWS y Azure nos permite ofrecer un alto nivel de disponibilidad del servicio, ya que los datos del servicio se replican en todas las zonas de disponibilidad.

Nuestro ejercicio de Recuperación de Desastres para ProcessMaker alojado en AWS y Azure garantiza que nuestros servicios permanezcan disponibles y sean fácilmente recuperables en caso de desastre.
Esto se consigue mediante la creación de un entorno técnico sólido, la creación de planes de recuperación ante desastres y actividades de prueba.

La Política de Recuperación de Desastres de ProcessMaker, parte de nuestro Programa de Continuidad de Negocios, cubre diferentes tipos de escenarios de desastre, incluyendo:

• Corrupción de datos de aplicación
• Corrupción de la base de datos
• Cuestiones de red
• Desastre total

ProcessMaker dispone de medidas técnicas para cada tipo de desastre, incluida una restauración total del sistema, que incluye la restauración de todos los componentes de la infraestructura y los datos de los clientes a una región AWS alternativa, si es necesario.

Como parte del Programa de Continuidad de las Actividades, una vez al año se realizan ejercicios de recuperación en caso de desastre, lo que brinda a los participantes la oportunidad de recibir capacitación práctica para responder a una emergencia, que va desde pequeñas interrupciones hasta un fallo completo del sistema; y la posibilidad de seguir mejorando la Política de Recuperación en caso de Desastre.

Nuestro plan de Continuidad de Negocio y Recuperación ante Catástrofes establece metas para el Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO).

Todos los componentes de la red, las instancias de NAT, los equilibradores de carga y los servidores de aplicaciones se despliegan con características de alta disponibilidad y redundancia. Todos los datos de los clientes se almacenan en volúmenes cifrados y tolerantes a fallos. Todos los datos de la base de datos de producción de los clientes son respaldados automáticamente desde la última transacción comprometida, junto con instantáneas que se toman diariamente y se almacenan en un cubo AWS S3 con características de encriptación y georreplicación habilitadas.

Processmaker utiliza tanto AWS como Azure para nuestras soluciones de fiabilidad y copia de seguridad, junto con MongoDB Atlas. Esta combinación proporciona mecanismos de copia de seguridad sólidos y garantiza la integridad y disponibilidad de los datos en diferentes entornos.

• Certificación TX-RAMP Nivel 2
• Certificados ISO 27001:2013

Obtener recursos

Los siguientes recursos pueden requerir un acuerdo de confidencialidad. Haga clic en el botón para acceder.

• Informe SOC 2 Tipo II
• Informe ISO 27001
• Resumen anual de las pruebas de penetración
• Resumen de las pruebas de continuidad de las actividades y recuperación en caso de catástrofe
• Acuerdo de Tratamiento de Datos (APD)

Obtener recursos

Instalaciones
ProcessMaker aloja Service Data principalmente en centros de datos de AWS y Azure que están certificados como ISO 27001, PCI DSS Service Provider Level 1, y/o SOC 2 compliant. Más información sobre la conformidad en AWS, Más información sobre la conformidad en Azure.

Los servicios de infraestructura de AWS y Azure incluyen energía de reserva, sistemas de climatización y equipos de extinción de incendios para ayudar a proteger los servidores y, en última instancia, sus datos. Más información sobre los controles del centro de datos en AWS, Más información sobre los controles del centro de datos en Azure.

Seguridad in situ
La seguridad in situ de AWS incluye características como guardias de seguridad, vallado, alimentación de seguridad, tecnología de detección de intrusos y otras medidas de seguridad. Más información sobre la seguridad física de AWS.

Data Hosting Location
ProcessMaker’s cloud services are hosted on secure infrastructure provided by leading cloud service providers such as AWS and Azure. These providers offer globally distributed data centers with strict security protocols, ensuring compliance with regional regulations and customer requirements. Customers may select preferred data hosting locations based on their compliance needs and data residency policies.

For more details on data center locations and security measures, refer to:

• AWS Data Center Locations: https://aws.amazon.com/about-aws/global-infrastructure/
• Azure Data Center Locations: https://azure.microsoft.com/en-us/explore/global-infrastructure/geographies/

ProcessMaker minimiza los riesgos asociados a los proveedores externos realizando revisiones de seguridad de todos los proveedores con cualquier nivel de acceso a nuestros sistemas o Datos de Servicio.

Supervisión de sistemas
Nuestras prácticas de monitorización de sistemas combinan herramientas nativas de monitorización de proveedores en la nube, soluciones centralizadas de recopilación de registros y medidas de protección de puntos finales. Este enfoque multicapa garantiza una supervisión y protección exhaustivas de nuestra red y sistemas, aprovechando las últimas tecnologías y herramientas disponibles tanto en AWS como en Azure.

ProcessMaker AI ensures that all data processed through AI models is encrypted both in transit and at rest. Industry-standard encryption protocols are used to protect sensitive information, and access controls are strictly enforced to limit exposure to authorized personnel only.

The AI models used by ProcessMaker are regularly evaluated for security vulnerabilities. Mechanisms such as adversarial testing, monitoring for model drift, and automated threat detection help prevent exploitation and unauthorized access to AI-powered functionalities.

ProcessMaker AI models are trained using diverse, high-quality datasets that adhere to ethical AI principles. Training data is carefully curated to minimize bias, and robust validation mechanisms ensure that models perform reliably across various scenarios. Updates and retraining are performed periodically to maintain performance and security.

To ensure the highest levels of accuracy, ProcessMaker AI models undergo continuous testing, validation, and fine-tuning. Performance metrics are monitored in real-time to identify discrepancies and refine the model accordingly. Transparency in AI decision-making is prioritized to build trust and improve outcomes.

ProcessMaker AI services are hosted on secure cloud environments, with options for data residency based on customer preferences. Data is stored and processed in compliance with relevant legal and regulatory frameworks, ensuring alignment with jurisdictional requirements.

User data privacy is paramount in ProcessMaker AI. Personally identifiable information (PII) and sensitive data are handled according to strict privacy policies and compliance standards, including GDPR, CCPA, and other applicable regulations. AI models are designed to minimize the retention and usage of personal data to protect user confidentiality.

ProcessMaker AI leverages OpenAI technologies to power advanced natural language processing and automation capabilities. These integrations enhance user interactions, document analysis, and workflow intelligence while maintaining strict security and compliance standards. OpenAI-powered features are designed to function within enterprise security frameworks, ensuring safe and responsible AI deployment.

• PI is fully compliant with the General Data Protection Regulation (GDPR). Personal data is hosted securely in Microsoft Azure West Europe and MongoDB Atlas, with strict access controls and encryption practices in place.
• Data collected by the PI platform is anonymized by design, ensuring that no Personally Identifiable Information (PII) is captured or stored unless explicitly configured by the customer.
• Advanced security features, including pseudonymization and encryption (AES-256), protect all data at rest and in transit.

• PI leverages Microsoft Azure and MongoDB to provide highly secure, scalable, and reliable infrastructure.
• All communications are secured using TLS 1.2 or higher, ensuring data integrity and confidentiality during transfers.
• The platform supports Multi-Factor Authentication (MFA) and integrates with Azure AD OpenID Connect for seamless Single Sign-On (SSO) capabilities.

• The PI platform incorporates Privacy by Design and Privacy by Default principles. Data collection is configurable to exclude sensitive information and optimize security for customer-specific needs.
• Robust access control ensures data is accessible only to authorized personnel, with role-based permissions for enhanced security.

• ProcessMaker is certified under ISO 27001 and SOC 2 Type 2. These certifications validate our commitment to maintaining high standards for security, availability, and confidentiality.
• Regular third-party penetration tests and internal security audits are conducted to ensure the platform’s ongoing compliance and resilience.

• Data Encryption: All data is encrypted using Advanced Encryption Standard (AES) 256 for storage and TLS for transmission.
• Environment Separation: PI instances (production, staging, and development) are separated by resource groups, ensuring granular access control.
• Health Monitoring: PI uses a Healthcheck API to continuously monitor agent functionality, license usage, and system performance.
• Incident Response: Security incidents are promptly managed and reported within 12 hours as per GDPR and SOC 2 requirements.

• Customers have full control over data collection settings via the PI Web Dashboard. This includes defining which applications and data points are included in the analysis, as well as the granularity of data collection.
• Data deletion requests and configurations can be managed directly by the customer in compliance with GDPR and other regulatory requirements.

Formación en Código Seguro
En relación con nuestra política de desarrollo de software, Processmaker realiza una formación anual sobre código seguro para todos los ingenieros, basada en los 10 principales riesgos de seguridad de OWASP.

Controles de Seguridad de Framework
ProcessMaker aprovecha modernos y seguros frameworks de código abierto con controles de seguridad para limitar la exposición a los 10 principales riesgos de seguridad OWASP. Estos controles inherentes reducen nuestra exposición a SQL Injection (SQLi), Cross Site Scripting (XSS) y Cross Site Request Forgery (CSRF), entre otros.

Control de calidad
Nuestro departamento de control de calidad revisa y prueba nuestro código base. Nuestros ingenieros especializados en seguridad de aplicaciones identifican, prueban y eliminan las vulnerabilidades de seguridad del código.

Entornos separados
Los entornos de prueba y ensayo están lógicamente separados del entorno de producción. No se utilizan datos de servicio en nuestros entornos de desarrollo o prueba.

ProcessMaker realiza pruebas de penetración anuales para identificar y abordar posibles vulnerabilidades, reforzando nuestro compromiso de mantener una plataforma segura. Solicite nuestro resumen anual de pruebas de penetración.

If you identify a potential security vulnerability in our systems, please report it to us at [email protected] with the following details for each vulnerability:

• Name and a clear description of the vulnerability.
• Steps to reproduce the issue
• Severity/risk assessment.
• Any supporting screenshots or logs, if applicable

• We encourage good-faith security research and will not take legal action against ethical researchers following responsible disclosure practices.
• We will acknowledge receipt of a report within 10 business days and provide an initial assessment within 30 days.
• ProcessMaker does not require indefinite non-disclosure but may request a reasonable timeframe for remediation before public disclosure.
• If a vulnerability qualifies for a reward under our Bug Bounty Program, the researcher will be informed, and the report will be evaluated under the terms outlined in the ProcessMaker Bug Bounty Policy.

In Scope:

• Web applications and APIs managed by ProcessMaker.
• Cloud infrastructure security vulnerabilities.

Out of Scope:

• Social engineering, phishing, or DDoS attacks.
• Physical security vulnerabilities.
• Systems not managed by ProcessMaker.

ProcessMaker operates a Bug Bounty Program that offers monetary rewards for valid security vulnerability reports based on severity. Not all vulnerabilities qualify for a bounty, but we recognize and appreciate all responsible disclosures. Researchers reporting through the VDP may be eligible for a bounty if their findings meet the criteria outlined in our Bug Bounty Policy.

For more details on potential rewards, please contact us at [email protected].

• All vulnerability reports will be treated confidentially.
• Researchers must maintain the confidentiality of any accessed information until the vulnerability has been fixed and publicly disclosed.
• ProcessMaker will work with the researcher to coordinate public disclosure after remediation.

For any security concerns, please contact us at [email protected]. Thank you for helping us maintain a secure environment!

Políticas
ProcessMaker ha desarrollado un amplio conjunto de políticas de seguridad que cubren una serie de temas. Estas políticas se comparten y se ponen a disposición de todos los empleados y contratistas con acceso a los activos de información de ProcessMaker.

Formación
Todos los empleados asisten a una formación de concienciación sobre seguridad, que se imparte en el momento de la contratación y, posteriormente, una vez al año. Todos los ingenieros reciben formación anual sobre código seguro. El equipo de Seguridad proporciona actualizaciones adicionales de concienciación sobre seguridad por correo electrónico, entradas de blog y en presentaciones durante eventos internos.

Verificación de antecedentes
ProcessMaker comprueba los antecedentes de todos los nuevos empleados de acuerdo con la legislación local. Estas comprobaciones también son necesarias para los contratistas. La comprobación de antecedentes incluye la verificación de antecedentes penales, educativos y laborales. Se incluyen los equipos de limpieza.

Acuerdos de confidencialidad
Todas las nuevas contrataciones deben firmar acuerdos de confidencialidad y no divulgación.

ProcessMaker proporciona un conjunto avanzado de funciones de acceso y cifrado para ayudar a los clientes a proteger eficazmente su información. No accedemos a los datos de los clientes ni los utilizamos para ningún otro fin que no sea proporcionar, mantener y mejorar los Servicios de ProcessMaker y según lo exija la legislación aplicable.

ProcessMaker ha logrado una serie de certificaciones y acreditaciones reconocidas internacionalmente que demuestran el cumplimiento de los marcos de garantía de terceros. Las certificaciones de seguridad se describen aquí. Solicite nuestras Certificaciones.

ProcessMaker ha implementado una estrategia de cumplimiento del GDPR en toda la empresa. Nuestros expertos legales y de seguridad han evaluado rigurosamente los requisitos del GDPR, manteniéndose constantemente informados sobre la evolución de las mejores prácticas. Hemos actualizado nuestros productos, contratos y políticas para alinearnos con el GDPR, no solo para el cumplimiento, sino también para ayudar activamente a nuestros clientes a cumplir con estas normas. Más información sobre nuestros esfuerzos de cumplimiento del Reglamento General de Protección de Datos (RGPD).

Puede revisar, completar y / o ejecutar nuestro DPA compatible con GDPR solicitando nuestro Anexo de Procesamiento de Datos del Cliente de ProcessMaker.

Este documento describe cómo recopilamos, utilizamos y protegemos sus datos de conformidad con la legislación sobre privacidad. Nuestro compromiso es ser transparentes sobre la información que recopilamos, garantizando que se maneja de forma responsable y segura. Por favor, revise nuestra Política de Privacidad para entender cómo priorizamos su privacidad, dándole el conocimiento que necesita para tomar decisiones informadas sobre sus datos en nuestra plataforma.

ProcessMaker emplea cookies en nuestros Servicios y Sitios Web asociados para mejorar la funcionalidad, proporcionar análisis y almacenar preferencias. Estas cookies, clasificadas como de sesión y persistentes, están organizadas alfabéticamente dentro de cada Servicio o Sitio Web. Para una visión general concisa, consulte nuestra Política de Cookies.

ProcessMaker collects and processes service data strictly to improve performance, enhance security, and refine platform capabilities. No user data is shared with third parties without explicit consent. Service data retention policies align with global compliance frameworks to ensure privacy and security.