La confianza de nuestros clientes es importante para nosotros y por eso mejoramos continuamente nuestros productos y servicios en términos de seguridad y privacidad.
Microblink cuenta con la certificación ISO 27001, lo que significa que hemos establecido nuestro Sistema de Gestión de la Seguridad de la Información de acuerdo con los requisitos de la norma correspondiente. Garantizar la confidencialidad, integridad y disponibilidad de los sistemas y datos está integrado en todo lo que hacemos y nos sometemos periódicamente a rigurosas auditorías para demostrarlo. La gestión del acceso, el cifrado y los activos, combinada con prácticas seguras de desarrollo y operaciones informáticas, se evalúan y revisan constantemente de acuerdo con la gestión de riesgos.
El alcance del certificado ISO 27001 de Microblink, que abarca nuestras oficinas de EE.UU. y Croacia, incluye el desarrollo, la integración, el soporte, la venta y la gestión de servicios en el campo de la tecnología de visión por ordenador para escanear y verificar documentos utilizando redes neuronales avanzadas y técnicas de aprendizaje profundo.
Si tiene más preguntas sobre nuestra postura y prácticas de seguridad o desea informar de una posible vulnerabilidad, póngase en contacto con nosotros directamente en security@microblink.com.
Desde 2023, Microblink ha incluido la ampliación de la norma ISO 27701 en nuestro ámbito de certificación y auditoría. Esto significa que somos conscientes de lo valiosa que es la información personal identificable y queremos garantizar los derechos de las personas restringiendo el acceso, la recuperación, la recogida, la divulgación, la transmisión y otras formas de tratamiento de datos. Identificamos continuamente los riesgos para la privacidad y reevaluamos los controles para mitigarlos, y tratamos de reducir la probabilidad de que se produzcan violaciones de datos e incidentes de privacidad.
Los principios de privacidad desde el diseño y privacidad por defecto, que son un requisito de la norma, se incluyen en todos nuestros procesos internos, incluido el desarrollo de productos. El alcance del certificado ISO 27701 es el mismo que para ISO 27001 en el papel de Microblink como procesador de PII. Si aún le preocupa compartir los datos de sus clientes o tiene algún requisito de cumplimiento, póngase en contacto con nuestro equipo de ventas para consultar nuestras distintas opciones de productos en relación con el tratamiento de la IIP.
Para más información sobre nuestra dedicación a la protección de datos y el cumplimiento de la privacidad, consulte nuestra Política de privacidad.
Puedes encontrar más información sobre nuestras mejores prácticas de seguridad implementadas y el cumplimiento general en nuestro Centro de Confianza, donde también puedes descargar documentos sobre nuestros certificados ISO, políticas u otra documentación sobre el cumplimiento de los productos.
Microblink dispone de una Política de Seguridad de la Información formal que se basa en la norma internacional ISO 27001:2022 para la seguridad de la información, y en la extensión de la norma ISO 27701:2019 relativa a la privacidad. Microblink está certificada conforme a esas normas, que garantizan que la política de seguridad de la información y los objetivos de seguridad de la información están establecidos y son compatibles con la dirección estratégica de la organización, y que los requisitos del sistema de gestión de la seguridad de la información están integrados en los procesos de la organización.
Microblink dispone de un departamento de Seguridad de la Información y Operaciones Informáticas, cuyo responsable es también responsable del Sistema de Gestión de la Seguridad de la Información conforme a la norma ISO 27001:2022. Las tareas del Jefe de Seguridad de la Información y Operaciones Informáticas incluyen proporcionar liderazgo y experiencia en seguridad de la información, apoyar a los equipos en la implantación de controles de seguridad y la supervisión de dichos controles, y cooperar con los miembros del Consejo en temas relacionados con la seguridad de la información de forma periódica.
Microblink ha nombrado a un Responsable de Protección de Datos y Gestor del Sistema de Gestión de la Información sobre Privacidad (PIMS, por sus siglas en inglés), responsable de implantar, gestionar y mantener el PIMS en Microblink de acuerdo con la norma ISO 27701:2019, y de las obligaciones relacionadas con la normativa sobre privacidad, como el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés).
Microblink tiene un Ciclo de Vida de Desarrollo de Software Seguro bien establecido. Consiste en la identificación y gestión de riesgos en el proceso de desarrollo, la definición de requisitos de seguridad, el análisis de módulos de terceros, el proceso de revisión del código y la gestión de vulnerabilidades mediante pentests externos periódicos y un programa de recompensas por fallos. Los hallazgos críticos relevantes y de alto riesgo se resuelven antes de su despliegue en producción, mientras que otros hallazgos relevantes se discuten con el Director de Ingeniería y el Jefe de Seguridad de la Información responsables o se resuelven durante el ciclo de vida de desarrollo regular.
La revelación de vulnerabilidades suele definirse contractualmente con el cliente. Tras la revelación de una posible vulnerabilidad a Microblink, que puede hacerse a través del Servicio de Atención al Cliente, la corrección de los riesgos relevantes de gravedad crítica relacionados con el producto suministrado se mitiga lo antes posible, pero normalmente en un plazo no superior a treinta días desde la fecha de descubrimiento; las vulnerabilidades relevantes de alto riesgo se mitigan en un plazo de sesenta días desde la fecha de descubrimiento, mientras que otras vulnerabilidades relevantes se resuelven durante el ciclo de vida normal de desarrollo del software. Una vez resueltas, las nuevas versiones desplegadas para corregir dichas vulnerabilidades críticas y de alto riesgo relevantes pueden darse a conocer a los clientes mediante notas de la versión y notificaciones del Servicio de Atención al Cliente.
Nuestro código fuente se gestiona mediante Git Source Code Management en la nube Bitbucket, y los permisos para la fusión en las ramas principales se establecen de modo que sólo los desarrolladores senior puedan realizar la fusión tras asegurarse de que los cambios en el código cumplen los estándares de calidad requeridos y de que se superan las pruebas de CI. Las pruebas de CI se ejecutan siempre tanto en la «compilación de producción» (optimizaciones completas) como en las «compilaciones de desarrollo» (la mayoría de las optimizaciones, aserciones activadas, sanitizador de direcciones y comportamientos indefinidos activado) para detectar errores de memoria y garantizar que el código aportado está libre de errores. Además de cumplir las normas de calidad, los desarrolladores principales también deben comprobar si la contribución contiene alguna comprobación sensible desde el punto de vista de la IP o de la seguridad, como comprobaciones de licencia. A continuación, los desarrolladores tienen que validar que todas estas comprobaciones se realizan utilizando mecanismos de comprobación internos que están diseñados para ser robustos frente al craqueo y la descompilación binarios, es decir, que ofuscan las decisiones sensibles en el código y la información sensible codificada en duro que podría ayudar a la descompilación (por ejemplo, los mensajes de error).
Microblink ha definido un Plan de Continuidad de Negocio y un Plan de Recuperación de Desastres para los sistemas críticos internos, que se prueban regularmente al menos una vez al año. Los aspectos de seguridad de la información de la gestión de la continuidad del negocio en Microblink cumplen los requisitos de la norma ISO 27001:2022. Cuando Microblink desempeña el papel de proveedor de servicios en el caso de productos del tipo API en la nube, el servicio API en la nube se configura en modo de Alta Disponibilidad en una infraestructura de computación en la nube de terceros. En el caso de otros tipos de productos, como SDK para móviles o navegadores, o API autoalojadas, el cliente es responsable de las soluciones BCM y DR.
Microblink emite licencias para sus productos de forma que cada licencia está vinculada a un identificador único para garantizar que si alguien se ha hecho con tu clave de licencia, no podrá utilizarla. Como identificador único para los SDK móviles utilizamos identificadores de aplicaciones, para las aplicaciones dentro del navegador nombres de dominio, y para los sistemas Linux el UUID DBUS del sistema. Todos nuestros productos envían los datos de la licencia a nuestro servidor de licencias para que los valide antes de escanearlos, y así proteger a los clientes y a Microblink del uso indebido de las licencias.
Microblink no realiza auditorías basadas en los requisitos PCI DSS y SOC 2 porque no desarrollamos soluciones de pago y no participamos directamente en el procesamiento, almacenamiento o transmisión de datos de titulares de tarjetas en nombre de otra empresa. En el caso de los productos SDK y Self-Hosted API, los resultados del procesamiento de datos y la información PII / del titular de la tarjeta nunca salen del dispositivo del usuario final (SDK) o del servidor del cliente (Self-Hosted), y nunca se comparten con Microblink. Además, creemos que nuestros certificados ISO, por los que somos auditados regularmente, proporcionan la garantía de que nuestras prácticas de seguridad y privacidad están bien fundamentadas y se mejoran continuamente.
Exploring our solutions is just a click away. Try our products or have a chat with one of our experts to delve deeper into what we offer.
Introduction to ISO27k and ISO 27001 ISO/IEC 27000-series, or ISO27k in short, is a family of standards that set a comprehens…
Identity document verification ensures the authenticity of presented documents, which helps to mitigate the risk of fraudulen…
In the fast-paced digital world we live in, ensuring the safety and security of customer identity is of the utmost importance…
