Protegemos tus datos y los nuestros mediante un sistema de gestión de riesgos caracterizado por altos niveles de seguridad informática.
Hemos reunido toda la documentación e información sobre los sistemas de gestión y soporte adoptados en Aruba Cloud, como prueba concreta y garantía adicional de nuestro compromiso con la seguridad en el suministro de servicios.
Sabemos lo importante que es para cualquier organización poder confiar con tranquilidad en la protección de los datos y los recursos digitales. Por eso, una de nuestras prioridades es ofrecer servicios seguros, proporcionados respetando plenamente los estándares y normativas sobre la protección y seguridad de los datos, la información y las infraestructuras de TI.
La protección de la información en Aruba es un aspecto fundamental que empieza con el análisis de los entornos en los que se procesan, evalúa las interrelaciones entre los activos, las amenazas y las vulnerabilidades, y determina los riesgos informáticos potencialmente asociados, con el objetivo de definir un programa de seguridad eficaz para proteger el negocio de la empresa.
Aplicamos los controles recomendados por el estándar ISO 27001 con el objetivo de reducir riesgos y garantizar la cobertura total de la gestión de la seguridad de la información, las soluciones tecnológicas ofrecidas, así como los procesos organizativos y el personal involucrado.
El Sistema de Gestión de la Seguridad de la Información (SGSI).
El Grupo Aruba ha definido el enfoque adoptado por la organización para la gestión de sus objetivos de Seguridad de la Información dentro de una política empresarial específica. Este documento ha sido aprobado por la Dirección y publicado en la intranet corporativa. En apoyo de dicha política, se han desarrollado otras políticas y procedimientos específicos que delinean el Sistema de Gestión de Seguridad de la Información de Aruba.
Figuras, roles, competencias y responsabilidades asociadas a los procesos, conforme a los principios de segregación de funciones (segregation of duties), least privilege e dual control.
Dentro del ámbito de responsabilidad de Aruba como Cloud Service Provider (CSP), tal como se define en la página dedicada al modelo de responsabilidad compartida, Aruba ha establecido los roles, figuras, competencias y responsabilidades relacionadas con los procesos, de acuerdo con los principios de segregación de funciones (Segregation of Duties), privilegio mínimo (Least Privilege) y control dual (Dual Control).
En los procesos operativos de los servicios, una secuencia de procedimientos es ejecutada por varias personas, nunca por una sola, garantizando que el control del proceso completo no recaiga en un único individuo.
Los permisos de acceso a espacios, equipos, datos, funcionalidades, etc., se conceden al personal encargado de los servicios únicamente en la medida necesaria para realizar las tareas asignadas, “least privilege”, pero no más allá de lo estrictamente requerido.
Las operaciones más críticas desde el punto de vista de la seguridad requieren la participación conjunta de al menos dos personas.
Formación del personal, concienciación (Awareness) y acuerdos de confidencialidad (Non Disclosure Agreement - NDA).
El personal del servicio cuenta con la competencia y experiencia adecuadas, y recibe capacitación específica ante cada actualización importante del sistema.
De forma periódica, el personal es sensibilizado sobre temas de seguridad, delitos cibernéticos en general y las mejores prácticas a adoptar, mediante cursos de formación específicos.
A los nuevos empleados se les solicita la firma de un acuerdo de confidencialidad para proteger el conocimiento interno (know-how) y demás información confidencial de la empresa
Incluye todos los procedimientos relacionados con el ciclo de vida de las máquinas físicas y virtuales utilizadas, desde su instalación hasta su eliminación.
Se dispone de un inventario actualizado de activos, donde se registran las máquinas virtuales y físicas que prestan servicios, junto con su ubicación física dentro de la infraestructura de Aruba.
Tras cada instalación de una nueva máquina en la infraestructura, el inventario de activos se actualiza. Además, se realizan escaneos automáticos diarios en las redes para detectar cualquier nuevo activo y verificar discrepancias.
El inventario incluye una categorización de los activos, detallando sus características, como el tipo de máquina (virtual o física), infraestructura a la que pertenece, propiedad interna, entre otros.
Existen procedimientos internos que formalizan las actividades relacionadas con la preparación y gestión de nuevas máquinas, como la ejecución de cambios, actualizaciones del sistema, etc..
El registro regular de los componentes del sistema permite identificar y gestionar cada uno con precisión, detallando aspectos como el modelo de hardware y la versión del software.
Los componentes de hardware (HW) clave para la continuidad del servicio están cubiertos por contratos de mantenimiento que garantizan reparación o reemplazo por parte del proveedor, además de contar con un stock de piezas de repuesto si fueran necesarias. Para los softwares comerciales (SW), hay contratos de soporte que aseguran asistencia técnica en caso de fallos.
Aruba asegura que, tanto en sus data centers propios como en aquellos en colocation en el extranjero, se apliquen procedimientos específicos para la destrucción y eliminación de hardware retirado. Esto incluye la eliminación completa y definitiva de los datos almacenados en dispositivos que han llegado al final de su vida útil.
Gestión de los accesos lógicos del personal y las políticas de contraseñas.
Antes de acceder a los sistemas internos, el personal autorizado debe identificarse y autenticarse mediante nombre de usuario, contraseña y tarjeta inteligente (smartcard). El personal de Aruba solo puede acceder, previa autenticación, a los recursos (sistemas, datos, etc.) que le hayan sido explícitamente autorizados, según los requisitos específicos de su rol. La gestión de usuarios se realiza mediante controladores de dominio Active Directory (AD). Para garantizar el principio de "Segregación de funciones" (Segregation of Duty), los accesos lógicos al entorno de producción se gestionan a través de un AD en un dominio exclusivo. Este dominio contiene usuarios con privilegios y permisos diferenciados según la función laboral del empleado, respetando el principio de privilegio mínimo. Todas las cuentas son individuales, sin cuentas grupales o compartidas, y son revisadas periódicamente por el Departamento de Seguridad de manera independiente.
En línea con las políticas de seguridad corporativas y conforme a la normativa de privacidad ("medidas mínimas", disposiciones del Garante), se aplica una política estricta para la gestión de contraseñas.
Al crear una cuenta nueva, se exige un cambio obligatorio de contraseña en el primer inicio de sesión y, posteriormente, un cambio periódico obligatorio después de un intervalo de tiempo definido.
Las metodologías que utilizamos para proteger los datos: AES, certificados SSL, cifrado "en reposo".
Canal seguro TLS
Los flujos de datos hacia y desde los sistemas están protegidos mediante un canal seguro TLS, configurado adecuadamente en los servidores para garantizar:
Este mecanismo cubre tanto flujos generados de manera interactiva (web browsing) como aquellos creados automáticamente (por ejemplo, consultas de servicios web).
El algoritmo simétrico de cifrado más comúnmente utilizado es actualmente AES.
TLS está habilitado en su versión más avanzada posible, de acuerdo con las capacidades del software cliente utilizado.
Los certificados SSL Server instalados en los servidores expuestos a internet son emitidos por una Autoridad de Certificación (CA) reconocida como confiable por los principales navegadores y sistemas operativos.
El detalle de los certificados en uso en los paneles cloud y los protocolos utilizados en la red pública está disponible en la base de conocimiento (KB) de Aruba, en la página dedicada a los certificados utilizados en los paneles cloud.
Los datos en reposo más críticos desde el punto de vista de la seguridad, como contraseñas, seeds de tokens OTP y otros datos que deben permanecer confidenciales para garantizar la confiabilidad de los procesos, se almacenan mediante encriptación simétrica utilizando un algoritmo considerado suficientemente seguro.
En lo que respecta específicamente a la protección de credenciales, las contraseñas se almacenan en el repositorio en un formato irreversiblemente "hasheado" (huella o digest del dato), utilizando el algoritmo de hashing SHA-512.
Descripción de todos los data centers de nuestra red y de las medidas de seguridad adoptadas.
Los sistemas que suministran los servicios Cloud están alojados en los Data Centers de Arezzo IT1 e IT2, ubicados respectivamente en Via Gobetti 96 y Via Ramelli 8, así como en los Data Centers IT3 DCA y DCB en Ponte San Pietro (BG), en Via San Clemente 53. Además de los data centers en Italia, Aruba utiliza una red internacional de infraestructuras, tanto propias como de socios calificados:
Los data centers de Aruba cumplen con la normativa antisísmica vigente.
El acceso a los edificios está permitido únicamente a quienes lo necesitan por razones justificadas, previa inscripción en recepción. El ingreso a las salas técnicas está restringido a personal autorizado, que debe identificarse mediante una tarjeta con PIN. El sistema de gestión de accesos permite activar o desactivar credenciales según áreas, horarios y otros parámetros, garantizando la máxima seguridad y fluidez.
Los data centers cuentan con barreras, cristales blindados, puertas reforzadas y portones motorizados. También están equipados con sistemas de videovigilancia (CCTV) y detectores de movimiento. Las alarmas antiintrusión funcionan automáticamente por zonas.
Los centros de datos están organizados internamente en múltiples zonas, cada una gestionada por sistemas avanzados de protección contra intrusiones. Todas las áreas están equipadas con sensores de movimiento que detectan la presencia de personas. Además, en las zonas críticas, como las salas de datos, los centros de energía y los almacenes, se utilizan sensores adicionales para monitorear la apertura de puertas. El acceso a estas áreas está controlado mediante el uso de tarjetas de identificación (badges), que son necesarias tanto para entrar como para salir.
Cumple con normativas legales y estándares técnicos. Los sensores de detección de incendios están instalados en todos los pisos de los edificios.
Diseñado para detectar la presencia de líquidos en todas las áreas. Además, los edificios están ubicados en terrenos llanos y elevados con respecto al suelo.
Este sistema está implementado en los data centers, con redundancia en todos los niveles (grupos de transformación, centros de energía, UPS, generadores eléctricos, cuadros de distribución, etc.) para garantizar la continuidad del suministro eléctrico en cualquier situación prevista. También incluye medidas diseñadas para mitigar los efectos de descargas eléctricas de origen atmosférico, picos en la red eléctrica, entre otros.
Asegura las condiciones ambientales y microclimáticas ideales para el funcionamiento óptimo de los servidores alojados en los data centers.
La conectividad en los edificios es redundante, con al menos el doble de capacidad necesaria.
Los data centers son vigilados las 24 horas por personal calificado, asegurando el monitoreo constante de las infraestructuras y la respuesta inmediata en caso necesario.
La empresa ha contratado pólizas de seguro que cubren los riesgos no mitigados por las demás medidas de seguridad.
Procedimientos operativos y técnicas de seguridad para la gestión de equipos
Los procedimientos que definen los comportamientos operativos están documentadas, disponibles y son conocidas por el personal correspondiente.
Los servidores que alojan componentes críticos para la seguridad de los servicios son sometidos a intervenciones sistemáticas que minimizan su vulnerabilidad, incluyendo la eliminación de software innecesario, desactivación de servicios y protocolos no requeridos, instalación de parches de seguridad recomendados, aplicación de políticas de complejidad de contraseñas, activación de registros de seguridad, entre otros.
El tráfico de datos entrante es analizado para identificar anomalías, bloqueando, siempre que sea posible, los paquetes potencialmente maliciosos.
Se recopilan y conservan los registros de los accesos privilegiados a los sistemas de los servidores de infraestructura, cumpliendo con los requisitos legales. Estos registros son verificados periódicamente por el equipo de seguridad mediante auditorías internas. Los clientes también tienen acceso a los registros de las operaciones realizadas en los servicios.
Además, las actividades de los administradores de sistemas son revisadas al menos una vez al año por parte de los responsables del tratamiento, con el objetivo de verificar su conformidad con las medidas organizativas, técnicas y de seguridad establecidas para el tratamiento de datos personales, según lo dispuesto por la normativa vigente.
Los sistemas críticos del servicio son supervisados por un sistema de monitoreo continuo que genera alertas mediante correo electrónico o SMS, notificando inmediatamente al personal encargado de incidentes o interrupciones para implementar acciones correctivas de inmediato.
Los componentes necesarios para los servicios de Aruba, la gestión de usuarios y otros elementos arquitectónicos del servicio siguen procedimientos de backup definidos a nivel corporativo, los cuales se verifican y prueban periódicamente.
Todos los dispositivos de la red de Aruba están supervisados, monitorizados y protegidos mediante sistemas EDR (Endpoint Detection and Response). Esta tecnología permite realizar un seguimiento en tiempo real y de manera proactiva de las amenazas, tanto conocidas como desconocidas, que puedan afectar a los endpoints y servidores de la empresa. Un equipo especializado, disponible 24/7, se encarga de analizar los eventos anómalos e intervenir de forma inmediata.
Aruba realiza escaneos regulares de su perímetro con herramientas automáticas y expertos especializados para detectar vulnerabilidades, incluso potenciales. Las incidencias se comunican al equipo responsable, que inicia un proceso de solución mediante un nuevo despliegue o mitigación (como virtual patching). Para asegurar la efectividad de las acciones tomadas, se realiza un nuevo escaneo para confirmar que la vulnerabilidad haya sido completamente mitigada.
Para garantizar la correcta entrega y funcionamiento de los servicios, se realiza un monitoreo continuo y detallado de los recursos disponibles y sus capacidades, adoptando las medidas necesarias para optimizar su uso y asegurar el funcionamiento normal de los servicios.
Los niveles de conectividad, la ocupación de los recursos, el espacio en disco y el dimensionamiento de la infraestructura son supervisados por el equipo de operadores de Control Room, 24/7. Este equipo también se encarga de detectar cualquier evento anómalo.
Las herramientas de monitoreo permiten configurar controles específicos para cada servicio, detectando anomalías y anticipándose a la necesidad de realizar cambios.
Los cambios necesarios derivados del monitoreo y la gestión de capacidad son gestionados de forma controlada, permitiendo verificar los resultados y registrar todas las actividades realizadas.
Los sistemas son actualizados y parcheados regularmente mediante herramientas especializadas y conforme a procedimientos internos establecidos. Dichos procedimientos contemplan una fase de pruebas en entornos de desarrollo antes de proceder a la implementación en el entorno de producción.
Se utiliza el sistema NTP para sincronizar los relojes y garantizar la coherencia de los eventos. La fuente autoritativa para la sincronización horaria es el INRiM (http://www.inrim.it <https://www.inrim.it/en>). En todos los sistemas se emplea el huso horario CEST, salvo en el Reino Unido, donde se utiliza GMT. Todas las máquinas virtuales proporcionadas operan con el huso horario CEST y sincronizan sus relojes con el del host en el que se alojan.
Aruba asegura un sistema de multi-tenancy que separa las instancias de los clientes individuales entre sí y de las instancias del Proveedor de servicios Cloud.
El panel de cloud público ha sido diseñado por Aruba en modalidad multi-tenant siguiendo las directrices de programación segura, permitiendo únicamente el acceso y la gestión de la propia infraestructura cloud. Además, en los servicios PRO, VPS y Virtual Private Cloud, así como en los casos en los que se utilicen softwares externos, la multi-tenancy está garantizada por los sistemas de virtualización utilizados.
Cuando el servicio se da de baja o se agota el crédito, según lo establecido en el contrato, Aruba realiza la eliminación completa y definitiva de los datos de los servicios cloud de acuerdo con lo descrito en la página dedicada al agotamiento de crédito. La eliminación puede llevarse a cabo mediante APIs, paneles técnicos, scripts o software específicos, según el servicio.
Aruba tiene establecido un procedimiento automático para la eliminación periódica de los archivos temporales de sus sistemas cloud.
Firewall, IPS y VPN
Los portales web expuestos para los servicios están protegidos por el firewall del data center del servicio cloud y por sistemas IPS.
En cuanto a los servicios de computing, todas las máquinas virtuales proporcionadas por Aruba se crean y se ponen a disposición en forma de imágenes. Estas imágenes son producidas y probadas por los técnicos de Aruba. Específicamente, después de instalar el sistema operativo y realizar la configuración inicial, se habilita el sistema de firewall otorgando los privilegios mínimos necesarios y abriendo únicamente los puertos requeridos.
El acceso remoto a la red (LAN) empresarial está permitido únicamente al personal autorizado que lo necesite. Este acceso remoto se realiza exclusivamente a través de una VPN, que garantiza la confidencialidad de la comunicación, la autenticación fuerte del servidor y la autenticación de dos factores (2FA) del usuario.
Gestión de modificaciones en el software de aplicación
Las modificaciones al software de la aplicación se evalúan y aprueban antes de ser implementadas. Luego, se someten a pruebas para garantizar que las nuevas funcionalidades se implementen correctamente y que no haya regresiones. Además, todo el software desarrollado se gestiona mediante un sistema de control de versiones.
Políticas de evaluación, gestión y seguridad en las relaciones con los proveedores
La política empresarial que regula las relaciones con los proveedores establece que, para una correcta definición y gestión de una nueva relación de suministro, se deben tener en cuenta siempre los siguientes aspectos, con especial atención a la seguridad de la información:
Además, los suministros externos necesarios para el desarrollo, mantenimiento y prestación del servicio están sujetos a verificaciones para mitigar el riesgo de incidentes de seguridad causados por materiales no conformes o por acciones inapropiadas por parte de los proveedores. Todos los proveedores de servicios profesionales deben firmar un acuerdo de confidencialidad (NDA).
Los modelos contractuales utilizados por Aruba para la prestación del servicio incluyen la posibilidad de que Aruba utilice terceros para llevar a cabo sus actividades. Esta colaboración se basa en el compromiso, contractual con los posibles subcontratistas, por parte de Aruba, de verificar que estos, según el tipo de servicio prestado, tengan la capacidad de cumplir con los mismos requisitos y niveles de seguridad a los que Aruba se compromete. Aruba lleva un listado de sus subcontratistas, el cual está disponible a solicitud de los clientes. Además, en el caso de que nuevos o adicionales subcontratistas se integren, Aruba se compromete a informarlo a sus clientes con suficiente antelación para permitir que los mismos puedan oponerse o rescindir el contrato.
Un enfoque estructurado y programático para gestionar los incidentes de seguridad de la información
El sistema de gestión de seguridad de la información de Aruba se caracteriza por un enfoque estructurado y programático en la gestión de eventos e incidentes de seguridad de la información que puedan ocurrir en las operaciones de las empresas del Grupo, basándose en las directrices ISO 27035 sobre el flujo de gestión de incidentes de seguridad de la información.
Este proceso se lleva a cabo a través de un plan detallado, que establece las acciones operativas que deben adoptarse cuando se identifiquen incidentes de seguridad de la información.
Se ha definido un flujo de gestión de incidentes y se han identificado las responsabilidades asociadas a su aplicación, tanto en términos de gestión y resolución de los incidentes, como de apoyo estratégico para la adopción rápida de decisiones necesarias frente a los incidentes de seguridad más importantes (por ejemplo, major incident, incidentes desconocidos, data breach).
También se han definido plazos y procedimientos para la preparación y envío de las comunicaciones relacionadas con los incidentes de seguridad de la información hacia autoridades, clientes y terceros
Implementación de controles conforme a la certificación ISO 27001 para mitigar riesgos y garantizar la continuidad y seguridad operativa.
Aruba ha formalizado un plan de Business Continuity, una Política y planes específicos de BC para los data centers, relacionados con los servicios esenciales para su funcionamiento, tales como energía eléctrica, climatización y conectividad.
Los data centers están certificados con la ISO 27001 y se implementan las principales medidas para garantizar la seguridad física y la continuidad operativa de las instalaciones.
En concreto, los data centers IT1, IT3 DCA y DCB de Aruba cumplen con el nivel más alto (Rating 4) de los establecidos por la normativa ANSI TIA 942-B-2017. Este resultado, que indica la capacidad de evitar interrupciones en los servicios incluso ante fallos graves (fault-tolerance), se ha alcanzado gracias a una serie de consideraciones de diseño y ejecución que han afectado a todos los aspectos del data center: elección del sitio, aspectos arquitectónicos, seguridad física, sistemas contra incendios, instalaciones eléctricas, instalaciones mecánicas y red de datos.
Un data center de Rating 4 (anteriormente Tier 4) tiene componentes redundantes siempre activos, además de múltiples rutas de alimentación y refrigeración para los hardware
Por último, los data centers están diseñados para resistir fallos en cualquier punto de la instalación sin causar tiempo de inactividad y están protegidos contra eventos físicos, incluidos desastres naturales (por ejemplo, incendios, inundaciones, terremotos, etc.). Los Data Centers IT3 DCA y DCB de Aruba están certificados con la norma ISO/IEC 22237, un estándar internacional de referencia para todo el ciclo de vida del data center, desde la planificación estratégica hasta la construcción y operación, alineados con las normativas ANSI/TIA 942 (normativa estadounidense) y EN 50600 (normativa europea).
El entorno cloud está compuesto por una infraestructura de múltiples data centers, cuyos servicios están interconectados mediante una red IPSEC de alta capacidad y protección.
Dado que la estructura está diseñada para ser multi-data center, está preparada de forma nativa para el Disaster Recovery, ya que todos los data centers son lógicamente independientes entre sí.
Las máquinas virtualizadas de los clientes no se encuentran sujetas a un plan de Disaster Recovery geográfico, ya que se les proporcionan a los propios clientes todas las herramientas necesarias para construir a medida sus sistemas y procedimientos de Disaster Recovery.
Cumplimiento del RGPD: Respeto de las normativas y auditorías periódicas para garantizar la seguridad de los datos.
Todos los servicios se prestan en pleno cumplimiento de la normativa vigente en materia de protección de datos personales, según el Reglamento UE 2016/679 (“GDPR”), el Decreto Legislativo 196/2003, tal y como se indica en el Decreto Legislativo 101/2018, y las disposiciones de la Autoridad Garante para la protección de los datos personales.
Los eventos registrados con seguimiento, especialmente aquellos que puedan indicar una amenaza para la seguridad, se analizan de forma periódica.
El responsable de las auditorías e inspecciones asegura que se realicen verificaciones de conformidad del servicio cloud con lo estipulado en este documento y con la normativa vigente, con una periodicidad mínima anual.
Ofrecemos a nuestros clientes herramientas y funcionalidades útiles para mejorar las operaciones relacionadas con la seguridad en el cloud, bajo la responsabilidad del cliente, según lo dispuesto en el modelo de responsabilidad compartida.
Descripción y lugares de prestación del servicio, con un modelo de responsabilidad compartida
La descripción general del servicio de Aruba está disponible en la Knowledge Base (KB), en la página dedicada a la descripción general del servicio, junto con la tabla de lugares de provisión de servicios y la tabla del modelo de responsabilidad compartida entre Aruba como proveedor de servicios cloud y sus clientes.
Formación continua del personal con recursos educativos y documentación sobre los servicios y API de Aruba.
Aruba pone a disposición una Knowledge Base que contiene información relacionada con los servicios de Aruba. En ella se incluyen detalles sobre los servicios, guías, tutoriales, documentación sobre las Application Programming Interface (API), el glosario y el registro de cambios de los servicios.
Asignación, eliminación y clasificación de los activos según las directrices de Aruba.
En el marco del modelo de responsabilidad compartida, Aruba ha identificado para cada servicio las asignaciones de propiedad respecto a la infraestructura, las licencias, las direcciones IP, el software proporcionado por Aruba, el software, los datos y los contenidos introducidos por el cliente.
La información relacionada con la propiedad de los activos de los servicios está disponible para los clientes dentro de la KB pública en la página dedicada.
A través de la técnica de "disk wipe" en el entorno Cloud de Aruba, para los servicios Cloud VPS, Cloud Server y Virtual Private Cloud, el cliente tiene la posibilidad de eliminar permanentemente los datos contenidos en su máquina, haciéndolos irrecuperables. Los pasos operativos para realizar esto están disponibles en la página dedicada de la KB.
Los servicios de Aruba permiten a los clientes nombrar y clasificar los activos bajo su control. Las guías publicadas dentro de la Knowledge Base proporcionan instrucciones detalladas sobre cómo realizar estas operaciones y qué restricciones existen.
Gestión autónoma de los accesos de los usuarios y permisos administrativos para un control personalizado.
Se garantiza al cliente en todo momento la posibilidad de registrar, modificar, suspender, reactivar y eliminar sus perfiles de usuario, así como gestionar los aspectos comerciales (créditos, umbrales, perfiles asociados, etc.).
A nivel de permisos, cada cliente tiene la capacidad de gestionar, desde el punto de vista administrativo, sus propios activos, estableciendo niveles de seguridad y gestionando los privilegios de acceso. En concreto, los clientes tienen la posibilidad, según el servicio de:
Los permisos están organizados de manera jerárquica.
Recomendaciones sobre la adopción de controles criptográficos basados en el riesgo y descripción del servicio de cifrado avanzado de los datos de Cloud Backup.
Recomendamos a los clientes adoptar un enfoque basado en el riesgo e implementar controles criptográficos adicionales en las áreas bajo su responsabilidad (ver el Modelo de responsabilidad compartida) en caso de que los datos procesados dentro del servicio de Aruba sean particularmente sensibles.
El servicio ofrece la opción de cifrar los datos que se guardan, incluso antes de la transferencia, utilizando una contraseña compleja (estándar AES-256).
Sistemas de copias de seguridad y registro, gestión de capacidades, multi-tenancy y sincronización.
Backup
Los servicios Cloud de Aruba permiten a los clientes crear y configurar sus propias copias de seguridad automatizadas mediante la solución Cloud Backup y Bare Metal Backup, eligiendo sus políticas en cuanto a cifrado, periodicidad, tipo (completas o incrementales) y otras necesidades específicas.
Además, el servicio opcional de Disaster Recovery as a Service (DRaaS) permite probar los procedimientos de failover sin interrupciones.
Todos los procedimientos de gestión de los servicios de backup y restore se realizan de forma autónoma por los usuarios y están descritos en la Knowledge Base (KB) del servicio en la página dedicada, donde también se describen los diversos métodos que pueden ser utilizados para realizar backups de sus datos.
Ninguna otra copia de seguridad de los datos es realizada por Aruba, aparte de las definidas autónomamente por los usuarios.
Aruba pone a disposición de los clientes los registros de eventos generados por sus aplicaciones durante el uso de los servicios.
En lo que respecta a la gestión de la capacidad a cargo del cliente, Aruba permite que el cliente realice un seguimiento constante del consumo de los recursos económicos y técnicos a su disposición, permitiéndole también hacer previsiones.
Además, en la fase de compra del servicio, se describen los casos en los que existen limitaciones a la expansión de los recursos.
Cuando se considera que la sincronización de los relojes pueda ser un elemento de dificultad para el cliente, se proporcionan detalles en la Knowledge Base pública (por ejemplo en la página dedicada a las operaciones planificadas) o en los paneles de gestión.
La multi-tenancy está garantizada:
La multi-tenancy está garantizada:
Son recursos dedicados a cada tenant individual. La multi-tenancy se garantiza a través del panel de cloud público desarrollado por Aruba en modalidad multi-tenant y de las API públicas autenticadas. Estas soluciones permiten únicamente el acceso y la gestión de la propia infraestructura cloud.
La multi-tenancy está garantizada:
La multi-tenancy está garantizada:
La multi-tenancy está garantizada:
La multi-tenancy está garantizada:
La multi-tenancy está garantizada por el panel de cloud público desarrollado expresamente en modo multi-tenant por Aruba y las API públicas autenticadas. Estas soluciones permiten únicamente el acceso y la gestión de la propia infraestructura cloud.
La multi-tenancy está garantizada:
La multi-tenancy y la segregación se garantizan mediante varias medidas:
La multi-tenancy está garantizada por el panel de cloud público desarrollado expresamente en modo multi-tenant por Aruba y las API públicas autenticadas. Estas soluciones permiten únicamente el acceso y la gestión de la propia infraestructura cloud.
La multi-tenancy está garantizada mediante dos métodos:
La multi-tenancy está garantizada por el panel de cloud público desarrollado expresamente en modo multi-tenant por Aruba y las API públicas autenticadas. Estas soluciones permiten únicamente el acceso y la gestión de la propia infraestructura cloud.
Firewall, Virtual Switch Virtual Switch y gestión geográfica de datos para la seguridad y conformidad de las comunicaciones.
El cliente actúa como administrador de su servidor y, por lo tanto, tiene la capacidad de modificar las configuraciones de firewall. Las guías y tutoriales disponibles en la KB ofrecen información sobre cómo segmentar y proteger la seguridad de la red y configurar un firewall en su Aruba Cloud.
El cliente puede adquirir el servicio de Virtual Switch, que consiste en una VLAN dedicada y no compartida con otros clientes, lo que permite interconectar sus máquinas para lograr la máxima segmentación. Además, tiene la posibilidad de crear redes privadas dedicadas y exclusivas para diseñar su arquitectura (Virtual Private Cloud).
A solicitud, las redes públicas también pueden configurarse como dedicadas y no compartidas con otros clientes.
Los servicios de Aruba pueden configurarse en función de un data center específico o de una región geográfica (que coincide con un país).
El cliente tiene la opción de seleccionar el data center o los data centers donde se activarán sus servicios y se almacenarán sus datos. Para los servicios basados en regiones, el cliente puede elegir el país donde desea activar el servicio.
Aruba no traslada sistemas ni contenidos fuera de las ubicaciones geográficas (data centers o regiones) seleccionadas por los clientes bajo ninguna circunstancia.
Registro de cambios para lanzamientos, correcciones, ajustes y actualizaciones de los servicios ofrecidos a los clientes.
Aruba proporciona a sus clientes un changelog para informar sobre los lanzamientos, correcciones, ajustes y actualizaciones de los servicios ofrecidos.
El servicio DRaaS de Aruba Cloud: continuidad empresarial mediante la replicación y recuperación rápida de las infraestructuras de TI.
Aruba ofrece el servicio de Disaster Recovery as a Service, diseñado para garantizar la business continuity de las empresas. Este servicio permite replicar y restaurar rápidamente el acceso y las funcionalidades de la infraestructura de TI tras una interrupción causada por un ciberataque, un fallo técnico o un evento catastrófico.
Mediante un panel web self-service con conexión segura, el cliente puede establecer de manera autónoma políticas de disaster recovery, eligiendo origen (sitio primario) y destino (sitio secundario) entre sus propias infraestructuras virtuales VMware on-premise o en los data centers de Aruba habilitados para el servicio Virtual Private Cloud.
Aspectos de seguridad en nuestro cloud computing - Norma ISO 27001:2017
