Prácticas de seguridad

Monitoreo del acceso: Notion permite el registro en todos los sistemas críticos. Entre los registros se incluyen los inicios de sesión que fallaron y los que se realizaron correctamente, además de los de acceso a las aplicaciones, cambios de administradores y cambios en el sistema. Nuestra solución SIEM de gestión de incidentes de seguridad y observabilidad ingiere los registros y automatiza las capacidades de registro y alertas.

Habilitación de copias de seguridad: Notion está alojado en AWS y almacena los datos de los clientes mediante una combinación de bases de datos. De forma predeterminada, AWS brinda una infraestructura duradera para almacenar los datos importantes y está diseñada para mantener la durabilidad del 99,9 % de los objetos. Están habilitadas las copias de seguridad automatizadas de todos los datos de los clientes y el sistema, y los datos se respaldan al menos una vez por día. Las copias de seguridad están cifradas de la misma forma que los datos de producción en tiempo real, y se monitorean y están sujetos a alertas.

Borrado de datos: los clientes de Notion controlan sus datos. Cada cliente es responsable de los datos que crea, usa, almacena, procesa y destruye. Los clientes de Notion pueden solicitar el borrado de datos o hacerlo por su propia cuenta, en caso de que los datos no estén sujetos a requisitos regulatorios o jurídicos de periodicidad de retención. Consulta nuestra Política de privacidad y el Anexo de procesamiento de datos para leer más sobre el tema.

Cifrado en reposo: los datos de los clientes se cifran en reposo mediante el algoritmo AES-256. Se cifran los datos de los clientes que están en las redes internas de Notion, en reposo en el almacenamiento en la nube, en las tablas de bases de datos y en las copias de seguridad.

Cifrado en tránsito: los datos que se envían en tránsito se cifran mediante el protocolo TLS 1.2 o superior.

Seguridad física: Notion aprovecha Amazon Web Services (AWS) para alojar la aplicación, y difiere a AWS todos los controles de seguridad física del centro de datos. Consulta aquí los controles de seguridad física de AWS.

Divulgación responsable: Notion cuenta con un programa de caza de errores. Consulta nuestra Política de divulgación responsable.

Análisis de código: los equipos de seguridad y desarrollo de Notion llevan a cabo modelos de amenazas y revisiones de diseño seguro para las actualizaciones y las versiones nuevas. Una vez que se completa el código para el lanzamiento de funciones importantes, auditamos y revisamos el código, y hacemos escaneos de seguridad de nuestra base de código.

Ciclo de vida de desarrollo de software (SDLC): Notion usa un SDLC definido para asegurarse de que el código se escriba de forma segura. En la etapa de diseño, se modelan amenazas de seguridad y se revisa el diseño seguro de las actualizaciones y las versiones nuevas. Una vez que se completa el código para el lanzamiento de funciones importantes, auditamos el código, trabajamos con empresas proveedoras de servicios o realizamos una prueba interna de intrusión, y hacemos escaneos de seguridad de nuestra base de código. Después del lanzamiento, organizamos una caza de errores y contamos con un programa de gestión de la vulnerabilidad para abordar los problemas graves de seguridad.

Gestión de credenciales: Notion usa un servicio de administración de claves (KMS) de terceros, que gestiona de forma automática la generación de claves, el control del acceso, el almacenamiento seguro, las copias de seguridad y la rotación de claves. Las claves criptográficas se asignan a roles específicos según el acceso con mínimo privilegio, y las claves rotan todos los años de forma automática. El uso de las claves se monitorea y queda registrado.

Gestión de los parches y la vulnerabilidad: Notion realiza continuamente el escaneo de vulnerabilidades y el monitoreo de paquetes de todos los hosts relacionados con la infraestructura, así como del producto de la empresa. Los servicios externos e internos reciben un parche con regularidad. Todos los problemas identificados se clasifican y resuelven según su gravedad dentro del entorno de Notion.

Cortafuegos de aplicaciones web (WAF): todos los puntos de conexión públicos usan un cortafuegos de aplicaciones web administrado para impedir los intentos de explotación de vulnerabilidades comunes.

Nivel de acceso de datos: interno (es decir, los empleados de Notion solo accederán a tus datos con el fin de solucionar problemas o de recuperar contenido por ti).

Dependencia de terceros: sí. Consulta nuestra lista de subencargados del procesamiento de datos aquí.

Hospedaje: Notion se aloja en Amazon Web Services (AWS), uno de los principales proveedores de servicios de nube.

Tiempo objetivo de recuperación: se estima en 2 horas.

Punto objetivo de recuperación: se estima en 24 horas.

Capacitación de los empleados: es necesario que los empleados se capaciten en seguridad durante el proceso de incorporación y, luego, que lo sigan haciendo todos los años. Los empleados también deben leer y aceptar el Código de conducta de Notion y la Política de seguridad.

Seguridad de RR. HH.: de conformidad con las leyes y las regulaciones locales, Notion verifica los antecedentes de todos los empleados al momento de la contratación.

Respuesta frente a incidentes: Notion cuenta con un plan de gestión de incidentes, que se revisa y prueba al menos una vez por año; en él, se detalla una serie de pasos para preparar, identificar, contener, investigar, erradicar y recuperar los incidentes, y para el seguimiento y la revisión posincidentes.

Evaluaciones internas: las auditorías internas de seguridad en Notion se realizan por lo menos una vez al año.

Inicio de sesión único interno: la autenticación por múltiples factores es necesaria para que todos los empleados de Notion inicien sesión en el proveedor de identidad de Notion.

Acceso a los datos: internamente, Notion usa el principio de mínimo privilegio para el acceso a los datos. El acceso se otorga en función del puesto de trabajo, los requisitos de la empresa y según se necesite. Los permisos de acceso se revisan con una frecuencia establecida para garantizar que tales personas sigan necesitando el acceso continuo a los sistemas críticos.

Registro: Notion usa una solución SIEM para la ingesta de registros y la automatización de las capacidades de registro y alertas. Los registros se ingieren desde los sistemas críticos y se usan reglas para asegurarse de que las alertas de eventos de seguridad se generen cuando y donde sea necesario.

Seguridad de la contraseña: Notion exige habilitar la autenticación por múltiples factores en todos los sistemas que ofrezcan esa opción. Cuando esto no sea posible, Notion mantendrá una política interna y rigurosa de gestión de contraseñas, que incluirá la complejidad y la longitud.

Anti DDoS: Notion usa aplicaciones de terceros para la protección contra los ataques DDoS.

Centro de datos: Notion se aloja en AWS, que se ocupa de la seguridad física de los centros de datos. Consulta aquí la documentación de seguridad de AWS.

Seguridad de la infraestructura: la infraestructura de Notion se aloja en un entorno completamente redundante y seguro. Los datos de los clientes de Notion se alojan en AWS. AWS lleva una lista de los registros, las certificaciones y las evaluaciones de terceros con el fin de garantizar las mejores prácticas de seguridad. Para obtener más información sobre los requisitos de AWS, consulta esta página.
La infraestructura de AWS se ubica en centros de datos de todo el mundo controlados por Amazon. A su vez, los centros de datos se protegen con distintos controles físicos para prevenir el acceso sin autorización. Puedes leer más información sobre los centros de datos de AWS y sus controles de seguridad aquí.

Entorno de producción independiente: los datos de los clientes nunca se almacenan en entornos que no sean de producción. Las cuentas de los clientes se encuentran separadas de forma lógica en nuestro entorno de producción. Tenemos distintos entornos para el desarrollo, las pruebas y la producción.

Cifrado de disco: las computadoras portátiles de los clientes tienen habilitado el cifrado de disco por motivos de protección.

Detección y respuesta de los puntos de conexión: todos los puntos de conexión tienen instalado software de detección. Además, Notion ha implementado varios controles para garantizar la seguridad de las soluciones y los datos de los clientes. Con estos controles, nos aseguramos tener una visibilidad continua de lo que hace nuestro punto de conexión para poder detectar y reaccionar rápido a cualquier amenaza o alteración, y llevar controles de registro y cumplimiento.

Gestión de dispositivos móviles: los miembros de los equipos de TI y seguridad administran mediante software de gestión de dispositivos móviles, y de forma remota, los dispositivos de los empleados y la configuración del software.

Detección de amenazas: Notion usa software de protección del punto de conexión de terceros para la detección de amenazas específicamente allí. El software para puntos de conexión detecta intrusiones, malware y actividades maliciosas en los puntos de conexión, y ayuda a brindar una respuesta rápida para eliminar y mitigar las amenazas.

Cortafuegos: las redes de oficina de Notion están configuradas con un cortafuegos de red. Los servicios de redes accesibles por WAN no deben alojarse dentro del entorno de oficina.

IDS/IPS: Notion usa una combinación de sistemas de tipo de detección de intrusos (IDS) y prevención de intrusos (IPS) basados en red y en host como parte de un enfoque de defensa profunda para proteger la organización. Se incluye el monitoreo de actividades sospechosas mediante una combinación de detecciones basadas en firmas y basadas en anomalías.

Gestión de eventos e información de seguridad (SIEM): Notion usa una solución SIEM para la gestión de eventos e incidentes. Las notificaciones de eventos se comunican a nuestro personal de seguridad en tiempo real.

Seguridad inalámbrica: las oficinas de Notion usan un cifrado sólido para las redes inalámbricas de las oficinas. Notion no mantiene ninguna red inalámbrica que pueda afectar los datos de los clientes o los sistemas de producción.

Administración de dominios: el dominio hace referencia al dominio de la dirección de correo electrónico asociado a una cuenta de Notion. La verificación del dominio les permite a los propietarios de los espacios de trabajo reclamar la propiedad de un dominio, lo cual desbloquea los ajustes de la administración de ese dominio.

Inicio de sesión único de SAML: Notion ofrece a los clientes con el plan Business o Enterprise una funcionalidad de inicio de sesión único (SSO) para acceder a la app mediante una sola fuente de autenticación.

Aprovisionamiento y revocación de SCIM: los espacios de trabajo de Notion cuentan con el sistema de administración de identidades entre dominios (SCIM), que es un estándar API.

Registro de auditoría: Notion otorga a los propietarios del espacio de trabajo acceso a datos sobre seguridad y actividades relacionadas, como identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar problemas de acceso.

Verificación en dos pasos (2FA/MFA): Notion ofrece verificación en dos pasos para agregar una capa de protección adicional a tu cuenta de Notion. Esta función está disponible para todos los planes y es fácil de activar desde la configuración de tu cuenta.

Administración de permisos: como propietario, Notion te concede el control de tus niveles de permisos para garantizar que los usuarios vean tu contenido e interactúen con él como tú quieras.

Administración de espacios de equipo: los propietarios de espacios de trabajo pueden obtener una vista general de todos los espacios de equipo dentro del espacio de trabajo, modificar la configuración y acceder a herramientas de gestión adicionales.

Integraciones SIEM y DLP: Notion puede integrarse con tu DLP o SIEM de elección para detectar eventos.