Customer Trust Portal

Acceso a información y recursos sobre políticas de seguridad de la información, estándares y programas de garantía de protección de datos de clientes de Symantec.

Resúmenes de los programas de seguridad

La confianza es fundamental en nuestro negocio

Compromiso con la protección de la privacidad y los datos personales

La protección de sus activos más valiosos es fundamental en nuestro negocio. Symantec vela por la seguridad de sus datos y la privacidad de las personas a las que hacen referencia.

  • Los datos y su protección son nuestra razón de ser. Nuestra actividad profesional se basa en la seguridad, el cumplimiento y la responsabilidad, lo que nos permite proteger los activos más valiosos de nuestros clientes
  • Nos adherimos al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la protección de los derechos de privacidad.
  • La privacidad es un derecho humano fundamental. La protección de los datos personales, tanto los nuestros como los de nuestros clientes o socios, es parte de nuestro compromiso con la responsabilidad corporativa.
Administración de certificaciones globales

Customer Trust Office

La acción de Customer Trust Office es imprescindible para que Symantec atienda a los clientes con la diligencia debida durante las ventas y la posventa. A partir de entonces, se garantiza que los clientes estén bien informados sobre las políticas de seguridad de la información, las prácticas y las garantías de los productos de Symantec. Integrado en la Global Security Office (GSO), este equipo se coordina con los equipos de Sales, Legal y Product para responder a las preguntas de los clientes sobe evaluación de seguridad de la información («ISA»). Asimismo, proporciona documentación sobre la garantía de productos (por ejemplo, certificaciones ISO 27001, informes de auditoría SOC, pruebas de intrusión o resultados de análisis de vulnerabilidades).

Obtener más información

Certificaciones de seguridad

Declaración de privacidad

La declaración de privacidad de Symantec describe los tipos de información que recopilamos desde los sitios web de Symantec, cómo usaremos dicha información y cómo la compartiremos. Nuestra declaración de privacidad describe las medidas que tomamos para proteger la información. Asimismo, le informamos sobre cómo puede ponerse en contacto con nosotros para actualizar su información, eliminar su nombre de las listas de correo u obtener respuestas a preguntas acerca de nuestras prácticas de privacidad en Symantec.

Learn More

Políticas y estándares de seguridad de la información

Las políticas y los estándares de seguridad de la información de Symantec se adecuan a los estándares del sector como ISO, CSA, NIST /IEC 27001, SOC 2 y PCI. Las políticas y los estándares se revisan anualmente y se actualizan si es preciso. Las políticas y los estándares de seguridad de la información de Symantec abarcan los ámbitos siguientes de seguridad de la información:

  • Cumplimiento de normas y gestión del riesgo
  • Concienciación y formación sobre seguridad
  • Seguridad del personal de la empresa
  • Clasificación y protección de datos
  • Administración de claves y cifrado
  • Gestión de incidentes de seguridad y respuesta
  • Gestión del riesgo de la cadena de suministro
  • Control de acceso lógico
  • Seguridad en el entorno laboral y el centro de datos
  • Seguridad para puntos finales
  • Arquitectura y seguridad en la nube
  • Administración de cambios
  • Administración de activos
  • Desarrollo de productos y seguridad de operaciones
  • Resiliencia del negocio y recuperación en caso de desastre
  • Copia de seguridad y recuperación de datos
  • Uso aceptable y gestión de soportes
  • Administración de parches y vulnerabilidades
  • Supervisión de seguridad

Misión

El personal internacional de Symantec dedicado a las certificaciones promueve la concienciación de prácticas recomendadas globales sobre certificación. Además, ofrece asesoramiento y asistencia a nuestros equipos de productos, con el propósito de orientarles en las actividades y los canales técnicos necesarios para obtener y mantener las certificaciones de los productos de Symantec.

 

Certificaciones de Symantec

Criterios comunes

El CCRA (Common Criteria Recognition Arrangement) (CCRA) es un acuerdo de reconocimiento mutuo internacional suscrito por 26 países que aceptaron un enfoque unificado sobre las evaluaciones de productos de tecnología de la información y los perfiles de protección, con el fin de proporcionar seguridad y proteger la información. Este acuerdo beneficia a los gobiernos de los países firmantes y a otros clientes de productos informáticos mediante unas decisiones de adquisición más claras, unas evaluaciones más precisas, una mejor alineación de las funciones y la seguridad, y un acceso más rápido a los productos del sector.

Como base de las normas internacionales ISO/IEC15408 e ISO/IEC 18045, Common Criteria es una plataforma en la cual:

  • el Gobierno, los ministerios de Defensa y otros usuarios pueden especificar sus requisitos de funcionamiento y garantía de la seguridad mediante el uso de perfiles de protección.
  • De este modo, los proveedores pueden implementar y declarar los atributos de seguridad de sus productos.
  • Por su parte, los laboratorios de pruebas pueden evaluar dichos productos para determinar si realmente cumplen lo que se indica en las afirmaciones.

Fuente: Common Criteria IT Security Evaluation y National Information Assurance Partnership

Consulte también National Information Assurance Policy y Common Criteria para obtener más información.

Ver más

 

FICAM (Federal Identity, Credential and Access Management)

El FICAM TFS es la plataforma de identidades federadas del Gobierno federal de Estados Unidos. Incluye una infraestructura de asesoramiento, asistencia y procesos para que las empresas y las personas proporcionen y reciban servicios online eficientes y seguros.

Se ha conseguido la certificación IDEF de NSL. IDEF o Identity Ecosystem Framework versión 1.0. Es una certificación válida y en vigor aplicable al sector público y a los mercados comerciales.

Los siguientes paquetes de certificación e Inicio de sesión seguro de Norton son aplicables a un programa de la FICAM ejecutado por GSA (General Services Administration).  Consulte aquí para obtener una lista de proveedores de identidad aprobados.

Para obtener más información, póngase en contacto con Adam Madlin.

Publicación del Estándar Federal de Procesamiento de la Información 140-2 (FIPS 140-2)

FIPS 140-2 Product Status

La validación del Estándar Federal de Procesamiento de la Información 140-2 (FIPS 140-2) es importante para cualquier proveedor que venda criptografía al nicho del mercado federal. Si su producto informático utiliza cualquier forma de cifrado, probablemente requerirá la validación respecto a los criterios del FIPS 140-2 del CMVP (Cryptographic Module Validation Program, Programa de validación de módulos de cifrado), que ejecutan conjuntamente el NIST (National Institute of Standards and Technology) de Estados Unidos y el CSE (Communications Security Establishment) de Canadá, antes de poderse vender e instalar en una agencia federal o en una instalación del Departamento de Defensa.

El FIPS 140-2 describe los requisitos del Gobierno federal de Estados Unidos que los productos deben cumplir para el uso de datos confidenciales no clasificados. Este estándar, publicado por el NIST, lo ha adoptado el CSE y lo administran conjuntamente ambos organismos bajo el auspicio del CMVP.

Este estándar define los requisitos de seguridad que debe cumplir un módulo de cifrado que se utiliza en un sistema de seguridad que protege información no clasificada en sistemas informáticos. Hay cuatro niveles de seguridad, que van del nivel uno 1, el más bajo, al nivel 4, el más alto. El objetivo de estos niveles es abarcar la amplia gama de entornos y aplicaciones potenciales en los que se pueden implementar módulos de cifrado. Los requisitos de seguridad se ocupan de áreas relacionadas con la creación y la implementación seguras de un módulo de cifrado. Estas áreas incluyen diseño básico y documentación, interfaces de módulos, roles y servicios autorizados, seguridad física, seguridad del software, seguridad del sistema operativo, administración de claves, algoritmos de cifrado, compatibilidad con interferencias electromagnéticas/electromagnética (EMI/EMC) y pruebas automáticas.  Consulte aquí para obtener más información sobre los requisitos del FIPS 140-2, así como vínculos del NIST.

Lista de productos validados de Symantec

A continuación, se presenta una lista de productos de Symantec cuyo estado de producto es:

  • Validado para FIPS 140-2
    • El producto utiliza un módulo de cifrado (de Symantec o de otro proveedor) y ha superado un proceso de validación de «private label»
  • Cumple con las normas
    • El producto utiliza un módulo validado de otro proveedor, pero el NIST no le ha otorgado una validación de «private label»
  • N/D
    • El producto no contiene un módulo de cifrado
  • Por el momento no
    • El producto tiene un módulo de cifrado, pero por ahora no cuenta con la validación del FIPS 140-2

La instantánea de tiempo siguiente implica una línea de productos cambiante, por lo que no se garantiza su precisión. No obstante, sin embargo, procuramos tenerlo al día con el estado actual o el FIPS 140-2 según el producto. Symantec no certifica que todos sus productos de software y hardware, servicios ni soluciones de dispositivos cumplan con las normas o hayan recibido la validación según los requisitos del FIPS 140-2.

Si tiene preguntas relativas al contenido o a los estados que aparecen aquí o para avisar sobre el estado actualizado de un producto FIPS, póngase en contacto con nosotros.

Productos de Symantec que cumplen con el FIPS

Nombre del producto de Symantec Estado Tiene módulo de cifrado Tipo de módulo de cifrado
Data Center Security 6.6 Cumple con FIPS OpenSSL con BSAFE (núm. certificado 1058)
IT Management Suite 8.0 Cumple con FIPS  
Critical System Protection 7.x Cumple con FIPS  

Ver más

 

Productos de Symantec validados para FIPS

Nombre del producto de Symantec Estado Tiene módulo de cifrado Tipo de módulo de cifrado
Data Loss Prevention 12.5 Validado para FIPS Symantec Java Cryptographic Module (núm. de certificado de validación2138)
Symantec DLP Cryptographic Module (núm. de certificado de validación2318)
Data Loss Prevention 14.0 Validado para FIPS Symantec Java Cryptographic Module (núm. de certificado de validación2138)
Symantec DLP Cryptographic Module (núm. de certificado de validación2318)
Data Loss Prevention 15.0 Validado para FIPS Symantec Java Cryptographic Module (núm. de certificado de validación3082)
Symantec DLP Cryptograhic Module (núm. de certificado de validación2318)
Encryption - Desktop Email Encryption 10.3 Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 684)
Encryption - Drive Encryption 10.3 Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 1684)  
Encryption - Endpoint Encryption 11.1.1 Validado para FIPS PGP Cryptographic Engine 4.3
Encryption - File Share Encryption 10.3 Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 1684)  
Encryption - Gateway Email Encryption 3.3 Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 684)
Encryption - Management Server 3.3 Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 684)
Encryption - Mobile Encryption Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 684)
Encryption - PGP Command Line 10.3 Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 684)
Encryption - PGP Key Management Client Access 10.3 Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 684)
Encryption - PGP Key Management Server 3.3 Validado para FIPS Symantec PGP SDK 4.2.1 (núm. de certificado 684)
Endpoint Protection 12.1 Validado para FIPS Symantec Java Cryptographic Module Version 1.2 (núm. de certificado 2138) BSAFE
(núm. de certificado 1786)
Endpoint Protection Small Business Edition 12.1 Validado para FIPS Java Cryptographic Module 1.3
Messaging Gateway 10.5 Validado para FIPS Symantec Scanner Cryptographic Module; Symantec Control Center Cryptographic Module
OpenSSL & RSA B-safe wrapper
Mobility Suite - Alojado Validado para FIPS OpenSSL
Mobility Suite - En servidores locales Validado para FIPS OpenSSL
Symantec Insight for Private Cloud Validado para FIPS Utiliza dos OpenSSL

Ver más

 

Productos de Symantec que no cumplen con FIPS

Nombre del producto de Symantec Estado Tiene módulo de cifrado Tipo de módulo de cifrado
Control Compliance Suite - AM N/D No  
Cyber Security DeepSight Intelligence Datafeed N/D No  
Cyber Security DeepSight Intelligence Portal N/D No  
Endpoint Protection Small Business Edition 2013 N/D No Open SSL 0.98
Mail Security for Domino 8.1 N/D No  
Mail Security for MS Exchange 7.5 N/D No  
Inicio de sesión seguro de Norton Por el momento no Criptografía de Java
Protection Engine 7.5 N/D No  
Protection for Sharepoint Servers 6.0 N/D No  
Symantec Embedded Security: Critical System Protection 1.0 Por el momento no OpenSSL
Validation and ID Protection Service (VIP) Por el momento no FIPS-mode OpenSSL

Ver más

FedRAMP (Federal Risk and Authorization Management Program)

Producto de Symantec Estado
Symantec VIP En curso
Email Security for Government: SMG Autorizado

 

El FedRAMP o Federal Risk and Authorization Management Program es un programa de ámbito gubernamental que proporciona un enfoque estandarizado para la evaluación de seguridad, la autorización y la supervisión continua de servicios y productos en la nube. Dicho enfoque se basa en «realizar un proceso una sola vez y utilizarlo muchas otras», que supone un ahorro aproximado del 30 al 40 % de gasto público, así como de tiempo y de personal dedicado a efectuar evaluaciones innecesarias de la seguridad en las agencias y los organismos oficiales. El FedRAMP es el fruto de la colaboración de expertos en seguridad informática y de la nube procedentes de los siguientes organismos: GSA (General Services Administration, Administración de Servicios Generales), NIST (National Institute of Standards and Technology, Instituto Nacional de Ciencia y Tecnología), DHS (Department of Homeland Security, Departamento de Seguridad Nacional), DOD (Department of Defense, Departamento de Defensa), NSA (National Security Agency, Agencia de Seguridad Nacional), OMB (Office of Management and Budget, Oficina de Gestión del Presupuesto), el CIO (Oficial Jefe de Información Federal) y sus grupos de trabajo, además del sector privado.

Objetivos

  • Acelerar la adopción de soluciones seguras en la nube mediante la reutilización de evaluaciones y autorizaciones
  • Incrementar la confianza en la seguridad de las soluciones en la nube y conseguir autorizaciones de seguridad coherentes mediante una serie básica de estándares consensuados que se utilicen para la aprobación de productos en la nube dentro y fuera del FedRAMP
  • Asegurar la aplicación coherente de los métodos actuales de seguridad e incrementar la confianza en las evaluaciones de seguridad
  • Incrementar la automatización y los datos en tiempo casi real para la supervisión continua

Beneficios

  • Incremento de la reutilización de las evaluaciones de seguridad actuales entre las agencias y los organismos
  • Ahorro considerable de costes, tiempo y recursos: «realizar un proceso una sola vez y utilizarlo muchas otras»
  • Mejora de la visibilidad de la seguridad en tiempo real
  • Enfoque uniforme respecto a la administración basada en riesgos
  • Mejora de la transparencia entre el gobierno y los proveedores de servicios en la nube
  • Mejora de la fiabilidad, la confianza, la coherencia y la calidad de los procesos de autorización de seguridad a escala federal

Agentes principales

Dentro del proceso del FedRAMP intervienen tres agentes principales: las agencias, los proveedores de servicios en la nube y las organizaciones de evaluaciones de otros fabricantes. Las agencias se encargan de seleccionar un servicio en la nube, aplicar el proceso del FedRAMP y obligar a los proveedores de servicios en la nube a que cumplan los requisitos del FedRAMP. Los proveedores de servicios en la nube son quienes prestan el servicio en la nube a una agencia. Antes de implementar sus servicios, deben cumplir todos los requisitos del FedRAMP. Las organizaciones de evaluaciones de otros fabricantes realizan la evaluación inicial y las evaluaciones periódicas de los sistemas de los proveedores de servicios en la nube conforme a los requisitos del FedRAMP. Además, tienen la misión de asegurar continuamente que dichos proveedores cumplan los requisitos.  Las autorizaciones provisionales del FedRAMP (P-ATO) deben incluir la evaluación de una organización acreditada de evaluaciones de otros fabricantes para asegurar un proceso de evaluación coherente.

Procesos clave

El FedRAMP autoriza a los sistemas en la nube siguiendo un proceso que consta de tres pasos:

  1. Evaluación de la seguridad: el proceso de evaluación de la seguridad emplea un conjunto estandarizado de requisitos conforme a la FISMA (Federal Information Security Modernization Act) mediante una serie básica de controles NIST 800-53 para otorgar autorizaciones de seguridad.
  2. Aplicación y autorización: las agencias federales examinan los paquetes de autorización de seguridad en el repositorio del FedRAMP. A continuación, aplican los paquetes de autorización de seguridad para otorgar una autorización de seguridad a la propia agencia.
  3. Evaluación y autorización continuas: después de otorgarse la autorización, para mantener la autorización de seguridad es preciso completar la evaluación y autorización continuas.

Control

El FedRAMP es un programa de ámbito gubernamental en el que participan una gran cantidad de departamentos, agencias y organismos gubernamentales. El principal órgano rector del programa es la JAB (Joint Authorization Board, Junta de Autorizaciones Conjuntas), integrada por los responsables de información del Departamento de Defensa, el Departamento de Seguridad Nacional y la Administración de Servicios Generales.  Además de la Junta de Autorizaciones Conjuntas, en la ejecución del FedRAMP desempeñan roles clave la Oficina de Gestión del Presupuesto, el Consejo Federal de Jefes de información, el Instituto Nacional de Ciencia y Tecnología, el Departamento de Seguridad Nacional y la Oficina de Administración del FedRAMP.

 

Plantillas Voluntary Product Accessibility

Symantec se compromete a desarrollar soluciones tecnológicas aptas para usuarios con diferentes niveles de capacidad. Con ese fin, utilizamos la tecnología Voluntary Product Accessibility Template (VPAT™),  desarrollada por el Information Technology Industry Council para ayudar a funcionarios públicos y otros compradores a evaluar la accesibilidad de nuestros productos y servicios.

Ahora bien, la VPAT no implica que Symantec certifique que la adquisición de cualquier tecnología electrónica e informática cumplirá los requisitos de la sección 508 de la Ley de rehabilitación (Rehabilitation Act) de 1973 (29 U.S.C. § 794 (d)).

Para obtener más información sobre el programa VPAT de Symantec, póngase en contacto con nosotros.