La dedicación de Keeper Security a la protección de los datos de los usuarios está presente en todo lo que hacemos. Keeper® posee las certificaciones SOC
No. Keeper nunca ha sido hackeado ni vulnerado. En este artículo, analizaremos por qué millones de consumidores y miles de empresas de todo el mundo confían en Keeper a la hora de proteger sus contraseñas y otra información privada.
¿Qué es Keeper Security?
Keeper Security está transformando la forma en que las organizaciones y los particulares protegen sus contraseñas y recursos digitales confidenciales al reducir significativamente las violaciones de datos y las amenazas cibernéticas relacionadas con las contraseñas.
Keeper es el proveedor líder de software de seguridad y cifrado de conocimiento cero que abarca contraseñas, claves de acceso, secretos, conexión y gestión del acceso privilegiado, así como monitoreo de la dark web, almacenamiento de archivos digitales, mensajería cifrada y mucho más. Protegemos tanto a consumidores como a empresas de todos los tamaños pertenecientes a los principales sectores industriales. Keeper cuenta con los certificados SOC 2 e ISO 27001 más antiguos del sector, y estamos autorizados por el programa FedRAMP y el estándar de seguridad de ordenadores FIPS 140-2 del gobierno de EE. UU.
Keeper ha sido reconocido como mejor gestor de contraseñas y selección del editor por la revista PC Magazine, mejor gestor de contraseñas en general por la revista U.S. News & World Report, líder empresarial de la plataforma G2, empresa puntera en gestión de identidades y accesos (IAM), solución más innovadora en seguridad de terminales y empresa de seguridad más vanguardista del año. Keeper tiene más de 275 000 reseñas de 5 estrellas en las tiendas de aplicaciones.
Keeper para consumidores y familias
Keeper Password Manager para consumidores y familias almacena todas sus contraseñas, códigos MFA y otros datos sensibles en una bóveda web digital segura con la capacidad de autocompletar sus credenciales de inicio de sesión en todos sus sitios web y aplicaciones. Nuestras soluciones para consumidores utilizan el mismo cifrado zero-knowledge que nuestros productos comerciales, lo que brinda a este tipo de usuarios una seguridad de nivel empresarial. Solo el usuario puede acceder y descifrar sus contraseñas y archivos almacenados. Nadie más puede acceder a las contraseñas maestras, las claves de cifrado o los contenidos del cofre de nuestros usuarios, ni siquiera los propios empleados de Keeper.
Keeper para organizaciones
Plataforma de Keeper para la gestión de contraseñas y la seguridad empresariales:
- Proporciona a cada empleado un cofre digital seguro y cifrado en el que almacenar sus contraseñas, archivos y otros datos sensibles. Los empleados pueden acceder a su cofre desde prácticamente cualquier dispositivo y desde todos los principales navegadores web, así como generar automáticamente contraseñas exclusivas y complejas para todas sus cuentas y rellenar automáticamente sus credenciales de inicio de sesión en todos sus sitios y aplicaciones.
- Ofrece a los administradores de TI una visibilidad integral de las prácticas de los empleados en torno a las contraseñas, lo que les permite supervisar el uso de dichas contraseñas y aplicar las políticas de seguridad correspondientes en toda la organización, incluidos los requisitos de complejidad de las contraseñas, la autenticación de dos factores (2FA), el control de acceso basado en roles (RBAC) y otras políticas de seguridad.
¿Es seguro usar Keeper?
El uso de Keeper es completamente seguro. Los propios empleados de Keeper utilizan nuestro gestor de contraseñas de forma interna para proteger las contraseñas y los datos de la empresa, así como para compartir archivos de forma segura.
Keeper es un proveedor de seguridad de confianza cero y conocimiento cero. Todo el cifrado y descifrado se produce solo en el dispositivo del usuario al iniciar sesión en el cofre, lo que significa que el usuario de Keeper es la única persona que puede cifrar y descifrar sus datos.
Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.
Cuando se utiliza una contraseña maestra para iniciar sesión, el dispositivo cliente obtiene una clave de autenticación de 256 bits utilizando PBKDF2-HMAC-SHA256 y una clave aleatoria. Entonces, se genera un “hash de autenticación” al convertir en hash la clave de autenticación con el SHA-256. Para iniciar sesión, el hash de autenticación se compara con un hash de autenticación almacenado en Cloud Security Vault. Después de iniciar sesión, se genera un token de sesión en el servidor y se envía al cliente para que el dispositivo cliente lo utilice para las solicitudes de API posteriores. La sesión debe estar activa para permitir el uso continuo de las comunicaciones de cliente a servidor.
Keeper utiliza módulos de cifrado validados por FIPS 140-2 para abordar los rigurosos requisitos de seguridad gubernamentales y del sector público. El cifrado de Keeper está certificado por el Programa de Validación de Módulos Criptográficos del Instituto Nacional de Estándares y Tecnología de EE. UU. (CMVP y NIST, respectivamente, por sus siglas en inglés), y numerosos laboratorios acreditados de terceros lo han validado según el estándar FIPS 140.
Puede encontrar más información sobre el modelo de autenticación y cifrado de Keeper en nuestra base de conocimientos en línea.
Keeper es compatible con los métodos de autenticación 2FA más populares y seguros disponibles: SMS, aplicaciones de autenticación basadas en TOTP como Google o Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (autenticación de dispositivos ponibles con dispositivos Apple Watch y Android Wear) y dispositivos FIDO2 WebAuthn como Yubikey. Las organizaciones pueden aplicar la autenticación 2FA mediante las políticas de cumplimiento basadas en roles de Keeper.
¿Ha sido Keeper hackeado alguna vez?
No, Keeper nunca ha sido hackeado. En 2017, un investigador en materia de seguridad encontró un error en la extensión para navegador de Keeper, que es una aplicación independiente de la aplicación Keeper Desktop. Parcheamos el error en las 24 horas posteriores a su confirmación, dejamos de utilizar las versiones anteriores de la extensión para navegador de Keeper y compartimos el incidente en nuestro blog. Seguimos con un segundo blog en el que explicamos mejor la situación a nuestros clientes y les aseguramos que no se había producido ninguna violación de seguridad real o notificada ni se había perdido información de los clientes con motive de este error.
Mucho ha cambiado desde 2017. Keeper se ha asociado con Bugcrowd para gestionar nuestro programa de divulgación de vulnerabilidades (VDP, por sus siglas en inglés) y de recompensas por la localización de errores. Puede encontrar información sobre el programa VDP de Keeper Security en https://bugcrowd.com/keepersecurity.
Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.
Keeper también se adhiere a prácticas de seguridad internas muy estrictas que terceros auditan regularmente para ayudar a garantizar que continuamos desarrollando software seguro y proporcionando la plataforma de seguridad cibernética más segura del mundo. Entre ellas, se incluyen las siguientes medidas:
- Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
- Keeper realiza pruebas SAST/DAST con las herramientas CodeQL integradas de Github Enterprise, así como pruebas periódicas con Synopsys y Black Duck. El equipo de ingeniería de Keeper revisa el resultado de los análisis estáticos para determinar las conclusiones válidas.
- Keeper adopta e incorpora las prácticas recomendadas y otras recomendaciones facilitadas en las hojas de referencia y la guía para desarrolladores de OWASP con el objetivo de implementar y mejorar nuestra ingeniería de software segura. Keeper utiliza la guía de pruebas o la guía de revisión de código de OWASP para localizar y mitigar vulnerabilidades en nuestro servicio o aplicación.
- Keeper lleva a cabo todo el desarrollo de software de forma interna, en estaciones de trabajo de desarrollo locales. No damos a terceros acceso técnico a nuestros sistemas.
- Cada proyecto suele consistir en un repositorio de GitHub, un proyecto de Jira, una placa Kanban y una canalización de compilación de GitHub Actions. A medida que se desarrolla el software, el repositorio de GitHub se actualiza con commits regulares. Las compilaciones automatizadas de GitHub Actions se realizan en commit o en intervalos de compilación específicos regulares. Con el objetivo de organizar el desarrollo de los proyectos, se utilizan tickets Jira y tableros kanban.
- Antes de aceptar los controles de calidad, todo el código fuente se somete a una revisión por homólogos de la mano del jefe de equipo, que incluye controles de seguridad, accesos no autorizados, ataques de inyección de datos, etc.
- El refuerzo de la seguridad y la personalización de los sistemas operativos de los servidores, los servidores web, los servidores de aplicaciones y los servidores de bases de datos se estandarizan mediante plantillas de configuración y llamadas a la API con secuencias de comandos a Amazon AWS.
- Keeper realiza análisis de vulnerabilidades con carácter mensual y diario de la infraestructura del sistema de Keeper.
- Keeper lleva a cabo pruebas de penetración internas y externas de forma regular. Las pruebas de penetración se hacen mensualmente mediante una combinación de servicios de terceros y herramientas y sistemas internos.
- Las vulnerabilidades críticas se parchean en un plazo de 48 horas y las no críticas (gravedad media) en 10 días hábiles.
Certificaciones y conformidad y Keeper
Keeper es la plataforma de seguridad de contraseñas más segura, certificada, probada y auditada del mundo. Keeper cuenta con los certificados SOC 2 e ISO 27001 más antiguos del sector. Keeper está autorizado por FedRAMP y StateRAMP y está certificado por TrustArc para la privacidad en línea de acuerdo con el marco de privacidad de los datos (DPA). Los clientes empresariales pueden obtener copias de nuestros informes SOC 2 e ISO 27001 poniéndose en contacto con nuestro equipo de ventas.
Keeper cumple con el Reglamento General de Protección de Datos (GDPR), la Ley de privacidad del consumidor de California (CCPA), el Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS), y la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de EE. UU. También contamos con la licencia oportuna en cuanto a Normas de la Administración de Exportaciones (EAR) del Departamento de Comercio de EE. UU. Cumplimos con todos los requisitos locales de seguridad de datos y estamos certificados por TrustArc en lo que respecta a la privacidad en línea.
El RGPD distingue entre dos identidades que pueden tratar datos personales: por un lado, un responsable del tratamiento de los datos que decide qué datos recopilar y qué tratamiento de datos personales se va a realizar; por el otro, un encargado del tratamiento de los datos que actúa bajo la dirección de un responsable del tratamiento para recopilar, almacenar, recuperar o eliminar datos personales. Keeper Security es responsable del tratamiento de los datos cuando vendemos nuestro gestor de contraseñas directamente a los consumidores. Pero es encargado del procesamiento de los datos cuando vendemos a empresas, que a su vez se considerarían responsables del control de los datos.
Si quiere obtener más información sobre el cumplimiento del RGPD por parte de Keeper o descargar acuerdos sobre tratamiento de datos, visite https://www.keepersecurity.com/GDPR.html
Como proveedor de servicios de nube autorizado por el programa FedRAMP (nivel de impacto moderado), Keeper se encuentra en una posición única para poder ayudar a las organizaciones a cumplir el Reglamento Internacional sobre el Tráfico de Armas (ITAR, por sus siglas en inglés), que regula las importaciones y exportaciones de artículos y servicios relacionados con el espacio y la defensa en EE. UU.
Si desea obtener más información sobre nuestras certificaciones de conformidad, visite https://www.keepersecurity.com/security.html?s=compliance
Keeper está autorizado por el programa FedRAMP
Keeper Security Government Cloud (KSGC) está autorizado por el programa FedRAMP en el nivel de impacto moderado. ¿Qué significa esto?
El gobierno de EE. UU. creó el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) para lograr un enfoque estandarizado respecto a la seguridad, la autorización y el control continuo de los productos y servicios en la nube. Para las agencias federales, es obligatorio utilizar los servicios de nube certificados por el programa FedRAMP.
Para que los incluyan en la lista comercial del programa FedRAMP, los proveedores de servicios de nube (CSP, por sus siglas en inglés) como Keeper deben someterse a un proceso de autorización riguroso y largo en el que se lleva a cabo también una auditoría muy exhaustiva de todos los sistemas. Incluso después de obtener la autorización de FedRAMP, el trabajo del CSP no está terminado. Estos deben llevar a cabo un mantenimiento continuo de sus sistemas para cumplir con los requisitos del programa. El programa FedRAMP lo verifica exigiendo al CSP oportuno que facilite mensualmente recursos de supervisión a las agencias que utilizan su servicio, incluido un informe actualizado sobre su plan de medidas e hitos, así como informes y resultados de análisis. Además, el CSP también debe someterse a una evaluación anual de seguridad.
Si bien FedRAMP se diseñó para agencias gubernamentales federales, elegir una solución de gestión de contraseñas autorizada por FedRAMP y StateRAMP, como Keeper Security Government Cloud, también es beneficioso para las agencias gubernamentales estatales y locales, así como para las organizaciones del sector privado en industrias altamente reguladas.