Protección de datos y seguridad de la información
La protección de los datos de clientes y socios es una responsabilidad crucial y una prioridad absoluta en Twist. Nuestros clientes y socios nos confían información confidencial que podría convertirse en la base de su propiedad intelectual. Para Twist, la protección de los datos cruciales de los clientes implica la implementación de rigurosas medidas de seguridad para salvaguardar la información sensible y confidencial frente a accesos no autorizados, infracciones y amenazas cibernéticas, así como el uso de cifrado, sistemas de almacenamiento seguro y estrictos controles de acceso. Hemos establecido políticas transparentes de tratamiento de datos, formamos periódicamente a nuestros empleados en las buenas prácticas de seguridad y nos mantenemos al día, e incluso por delante, de las normativas nacionales e internacionales de protección de datos en vigor. Las auditorías de seguridad y las actualizaciones periódicas de los sistemas son esenciales para hacer frente a las vulnerabilidades emergentes.
El programa de Seguridad de la información de Twist, al igual que nuestros programas de Calidad, Privacidad y Bioseguridad, se basa en las normas internacionales y los expertos en el campo lo supervisan y escudriñan de manera minuciosa y continua.
Twist cuenta con la certificación ISO 27001 conforme a la revisión más reciente de 2022 de la norma. Un organismo de certificación acreditado e independiente audita a Twist cada año para asegurarse de que todas las partes del programa de Seguridad de la información (nuestro personal, nuestros procesos y nuestra tecnología) cumplen o superan la norma. Nuestro Consejo de administración supervisa todas las iniciativas al nivel más alto de la empresa.
Personas
Todos los empleados de la empresa reciben formación en nuestro programa de concienciación sobre ciberseguridad, que incluye la suplantación de identidad (phishing) y la ingeniería social. El programa incluye formación anual, pruebas trimestrales y campañas informativas semanales para mantener la seguridad digital muy presente en la conciencia de nuestro equipo.
Verificamos los antecedentes de los empleados, delimitamos claramente las funciones y responsabilidades, aplicamos una estricta filosofía de mínimos privilegios que rige el control de acceso e incorporamos la segregación de funciones a nuestras políticas y operaciones.
Establecemos asociaciones con expertos en cumplimiento de normativas, probadores de penetración, equipos de centros de operaciones de seguridad, bufetes de abogados especializados en ciberseguridad, y organismos nacionales y mundiales como el Centro de seguridad de internet (CIS), MITRE, el Equipo de preparación para emergencias informáticas de Estados Unidos (US-CERT), la Agencia de ciberseguridad y seguridad de infraestructuras (CISA) y la Oficina federal de investigaciones (FBI).
Nuestro Equipo de liderazgo ejecutivo (ELT), el Comité de auditoría (AC) y el Comité de aprobación de productos (PAC) reciben regularmente información sobre la postura de la empresa en materia de ciberseguridad y proporcionan orientación sobre la estrategia y las prioridades.
El Consejo recibe semestralmente información sobre nuestro panorama y hoja de ruta en materia de ciberseguridad.
Proceso
- Auditorías anuales y renovación de la certificación ISO 27001 para garantizar que las prácticas de protección de datos cumplan la legislación aplicable y las mejores prácticas de ciberseguridad.
- Evaluación anual de riesgos realizada por el equipo de Seguridad de la información y promovida por el director de tecnologías de la información (CIO).
- Pruebas de penetración anuales realizadas por una agencia externa acreditada.
- Escaneo y mitigación continuos de vulnerabilidades tanto en nuestro código como en nuestros servicios.
- Revisiones trimestrales del control de acceso a todas las aplicaciones importantes.
- Políticas y procedimientos de respuesta a incidentes, continuidad de negocio y recuperación ante desastres para hacer frente a incidentes de ciberseguridad o desastres naturales.
- Gestión de la cadena de suministro con evaluaciones de seguridad de selección de proveedores y evaluaciones de proveedores.
- Política de privacidad de la empresa y prácticas de privacidad conforme a las leyes y normativas de protección de datos personales en vigor.
Tecnología
Infraestructura de producción alojada en centros de datos auditados por los controles de organización y sistemas (SOC) de los servicios web de Amazon (AWS).
Protección de puntos finales y seguridad de puertas de enlace basadas en inteligencia artificial (IA).
Gestión del ciclo de vida de la identidad.
Inicio de sesión único, autenticación multifactor y red privada virtual (VPN).
Gestión de secretos y accesos privilegiados.
Cifrado en reposo y en tránsito con un sistema de gestión del conocimiento (KMS).
Tecnología de cortafuegos de última generación, redes segmentadas y autenticación basada en certificados.
