La misión de Keeper es darle la mejor seguridad en línea

Keeper utiliza la mejor seguridad de su clase con un marco de confianza cero y también con una arquitectura de seguridad de conocimiento cero para salvaguardar su información y mitigar el riesgo de sufrir una filtración de datos.

La seguridad líder del sector de Keeper

Contraseña maestra privada

SOLO el usuario conoce y tiene acceso a su contraseña maestra y la clave que se usa para cifrar y quitar el cifrado de su información.

Cifrado más potente

Keeper protege su información con cifrado AES de 256 bits y PBKDF2, ampliamente reconocido como el cifrado más potente que existe.

Cifrado de nivel profundo

Los datos del usuario se codifican y decodifican en los dispositivos y no en los servidores de Keeper ni en la nube.

Autenticación con múltiples factores

Keeper es compatible con la autenticación de varios factores, las claves de seguridad de hardware FIDO2, el inicio de sesión biométrico y Keeper DNA, que utiliza un dispositivo Apple Watch o Android Wear para confirmar su identidad.

FIPS 140-2 validado

Keeper utiliza una criptografía certificada y validada por el Programa de verificación de módulos criptográficos de NIST para la norma FIPS 140-2.

caja fuerte en la nube segura y fiable

Keeper utiliza Amazon AWS en varias ubicaciones geográficas para el alojamiento y funcionamiento de los almacenes y la arquitectura de Keeper, para así proporcionar a los clientes el almacenamiento en la nube más rápido y seguro. Los datos en reposo y en tránsito están completamente aislados en el centro de datos global preferido del cliente.

Resumen

A Keeper Security, Inc. (KSI) le apasiona proteger la información de sus clientes con el software de seguridad de Keeper para móviles y computadoras. Millones de clientes y empresas confían en Keeper para proteger y acceder a sus contraseñas e información privada.

El software de Keeper es mejorado constantemente para proveer a nuestros cientes con lo último en tecnología y seguridad. Ésta página le muestra un resumen de la arquitectura de la seguridad de Keeper, las metodologías de encriptación y el ambiente de alojamiento en base a nuestra versión corriente. Un resumen de los detalles técnicos estan descritos en este documento.

Nuestra Política de Privacidad y los Términos de Uso están disponibles en nuestro sitio web por medio de estos enlaces:

Privacy Policy Términos & Condiciones

Protección de datos

La confianza cero comienza con la seguridad de las contraseñas. KSI crea sus productos utilizando un marco de seguridad de confianza cero basado en la desconfianza hacia cualquier usuario dentro de la arquitectura. El marco de confianza cero asume que cualquier usuario y dispositivo podría estar potencialmente en peligro y, por ello, se debe verificar y autenticar a cada usuario antes de que pueda acceder a una página web, aplicación o sistema. Este marco de ciberseguridad respalda la plataforma de ciberseguridad de Keeper. La plataforma ofrece a los administradores de TI una visibilidad completa de todos los usuarios, sistemas y dispositivos a los que acceden, lo que ayuda a cumplir con los mandatos reglamentarios del sector. Para poder tener un marco de confianza cero en una organización, se debe tener una seguridad de contraseñas de primera clase apoyada por una arquitectura de seguridad de conocimiento cero.

Arquitectura de confianza cero

Haga clic en los iconos de información i para saber más.

A diagram showing how Keeper's solutions integrate with various identity and access management platforms.

Usuarios finales

Usuarios de Keeper en cualquier dispositivo cliente, incluidos escritorio, móvil, navegador y línea de comandos.

Proveedor de identidades

Un IdP es un servicio que almacena y gestiona las identidades de usuario.

Aplicaciones SAML

Permite que el SSO se extienda por los dominios de seguridad para hacer posible el SSO en el navegador web.

SecOps, DevOps y TI

Usuarios privilegiados con acceso a cuentas, inicios de sesión y secretos altamente sensibles.

Consola de administración de Keeper

Use esta plataforma para configurar y aplicar la política empresarial a los usuarios finales.

Keeper Connection Manager (KCM)

Permite el acceso de red de confianza cero a su infraestructura sin una VPN.

Keeper Secrets Manager (KSM)

Proteja los secretos de infraestructura como las claves API, las contraseñas de bases de datos, las claves de acceso, los certificados y cualquier tipo de dato confidencial.

Gestor de contraseñas de Keeper Enterprise (EPM)

Protege sus contraseñas e información personal frente a los ciberdelincuentes.

Navegadores, equipos y dispositivos cliente

Dispositivos de usuario final que acceden a los almacenes de contraseñas seguros.

Windows, Linux, MySQL, SQL Server, PostgreSQL

Varios puntos de conexión a los que los usuarios privilegiados acceden frecuentemente.

Jenkins, GitHub, Terraform, PowerShell

Herramientas DevOps y de desarrollador que automatizan la creación de aplicaciones y el proceso de desarrollo.

Aplicaciones basadas en contraseñas

Páginas web, aplicaciones y sistemas que requieren inicios de sesión.

Ver vídeo sobre confianza cero

KSI no tiene acceso a la contraseña maestra de los usuarios ni tampoco tiene acceso a los registros almacenados dentro de la caja fuerte. KSI no puede obtener acceso al dispositivo de un cliente de manera remota ni tampoco puede descifrar la caja fuerte del cliente. La única información a la cual Keeper Security tiene acceso es a la dirección de email del usuario, tipo de dispositivo y los detalles de suscripción (e.j. Keeper Unlimited). Si el dispositivo de un usuario se pierde o es robado, KSI puede asistirle en recuperar un archivo encriptado de respaldo para restaurar la caja fuerte del usuario una vez que hayan reemplazado su dispositivo.

La información que es almacenada y accedida dentro de Keeper está disponible solamente para el usuario ya que es encriptada o descifrada instántaneamente en el dispositivo que se está utilizando – aún cuando se utiliza la Aplicación Web de Keeper. El método de encriptación que Keeper utiliza es muy conocido, y utiliza el algoritmo altamente confiable llamado AES (Advanced Encryption Standard por sus siglas en inglés) con una clave de longitud de 256-bit. Según la publicación CNSSP-15 del Committee on National Security Systems, AES con una clave de longitud de 256-bit es suficientemente segura para encriptar datos confidenciales inclusive aquellos marcados como 'TOP SECRET' en la clasificación del Gobierno de los EEUU. Keeper tiene el certificado FIPS 140-2 y ha sido validado por el CMVP de NIST (Certificado #3976 - https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3976)


Las claves de la cifra utilizada para encriptar y descrifrar los registros del usuario no son almacenadas ni transmitidas a la Keeper's Cloud Security Vault. Sin embargo, para poder proveer la habilidad de sincronizar dispositivos múltiples, una versión encriptada de la clave de cifra es almacenada en la Cloud Security Vault y proveída a los dispositivos de la cuenta del usuario. Ésta clave encriptada solamente puede ser descifrada en el dispositivo para su uso subsiguiente.

Cifrado de cliente

Contraseña Maestra Fuerte

Es sumamente recomendable que los usuarios elijan una Contraseña Maestra fuerte para su cuenta

Autenticación de Dos Factores

Keeper también ofrece la autenticación de dos factores para que pueda protegerse de los accesos no autorizados a su almacén, páginas web y aplicaciones. La autenticación de dos factores requiere dos o más de los tres factores de autenticación: un factor conocido, un factor de posesión y un factor de inherencia. Para obtener más información sobre la autenticación de dos factores, acceda a este enlace.


Keeper utiliza algo que el usuario conoce (su contraseña) y algo que tiene (el teléfono que posee) para ofrecerle una seguridad adicional en caso de que la contraseña principal o el dispositivo se vean amenazados. Para ello, generamos contraseñas TOTP (contraseñas de un solo uso y de duración limitada).


Keeper genera una clave secreta de 10 bytes con un generador de números aleatorios criptográficamente seguros. Este código es válido alrededor de un minuto y se envía al usuario por SMS, Duo Security, RSA SecurID, aplicación TOTP, Google Authenticator o dispositivos compatibles con Keeper DNA como Apple Watch o Android Wear.

Autenticación de Dos Factores

Cuando utilice Google Authenticator o una aplicación TOTP en su dispositivo móvil, el servidor de Keeper genera de forma interna un código QR que contiene su clave secreta, la cual nunca se comunica a terceros. Cada vez que el usuario desactive y reactive la autenticación de dos factores, se genera una clave secreta nueva.


Para activar la autenticación de dos factores, acceda a Keeper DNA o a la pantalla de ajustes de la aplicación web de Keeper. De manera opcional, los clientes de Keeper Business pueden forzar el uso de la autenticación de dos factores para iniciar sesión en el almacén y de los métodos 2FA compatibles mediante la funcionalidad de aplicación de roles de Keeper Admin Console.

Llaves de seguridad de FIDO WebAuthn

Keeper es compatible con los dispositivos de llave de seguridad física de FIDO WebAuthn (por ejemplo, YubiKey) como segundo factor. Las llaves de seguridad ofrecen una forma segura y práctica de utilizar la autenticación de dos factores sin tener que requerir al usuario que introduzca manualmente un código de 6 dígitos. Se pueden configurar varias llaves de seguridad para el almacén de un usuario. Para aquellas plataformas que no sean compatibles con los dispositivos de llave de seguridad, los usuarios pueden recurrir a otros métodos de 2FA configurados. Para configurar una llave de seguridad y otros métodos de autenticación de dos factores, acceda a la pantalla "Ajustes" en la aplicación de Keeper.

Llaves de seguridad de FIDO WebAuthn

Acceso de emergencia (legado digital)

Keeper le ofrece la posibilidad de añadir hasta 5 contactos de emergencia para conceder acceso al almacén en caso de emergencia o fallecimiento. Una vez que haya transcurrido el tiempo de espera especificado, el contacto de emergencia podrá acceder al almacén del usuario. El proceso de compartir un almacén es de conocimiento cero y la contraseña principal del usuario no se comparte nunca directamente. Se utiliza cifrado RSA para compartir una clave AES de 256 bits con el contacto de emergencia en el momento en el que transcurre el tiempo de espera establecido por el usuario de origen. Por lo tanto, el contacto de emergencia debe tener una cuenta de Keeper (y un par de claves RSA pública/privada) para poder aceptar la invitación.

Acceso de emergencia (legado digital)

Recuperación de cuenta

Durante el registro de una cuenta, se puede pedir a los usuarios que seleccionen una pregunta y respuesta de seguridad personalizada u otro tipo de método de recuperación. Además, durante el proceso de registro, Keeper genera una clave de datos AES de 256 bits que se utiliza para cifrar y descifrar las claves de registro almacenadas con cada uno de los registros del almacén. La clave de datos del usuario se cifra con una clave derivada de la contraseña principal usando la PBKDF2 con hasta 1.000.000 de iteraciones y cada clave de registro AES-256 se cifra con la clave de datos AES-256. Cada uno de los registros del almacén del usuario tiene claves de registro individuales y diferentes generadas en el lado del cliente.

Con el método de la pregunta de seguridad, la recuperación de cuentas funciona almacenando una segunda copia de la clave de datos del usuario que se cifra con una clave derivada de la respuesta de seguridad seleccionada con hasta 1.000.000 de iteraciones. Para completar la recuperación de un almacén, se requiere que el usuario introduzca un código de verificación enviado por correo electrónico y también un código de autenticación de dos factores (si activado en la cuenta). Es recomendable crear una pregunta y respuesta de seguridad fuerte, así como activar la función de autenticación de dos factores de Keeper en la pantalla de ajustes. La recuperación de una cuenta se puede desactivar en función de la configuración de la cuenta de Keeper Enterprise. También se puede imponer la autenticación de dos factores a los clientes de Keeper Enterprise desde la consola de administración.

A los clientes de Business y Enterprise se les ofrece un método de conocimiento cero para recuperar las cuentas de sus usuarios usando la política de transferencia de cuentas de Keeper.

Cifrado de cliente

Los datos se encriptan y descifran en el dispositivo del usuario, no en la Cloud Security Vault. A esto le llamamos "Encriptación del Cliente" porque el cliente (e.j. iPhone, dispositivos Android, Aplicación Web, etc) está haciendo todo el trabajo de la encriptación. La Cloud Security Vault almacena un binario que es esencialmente inútil para un intruso. Incluso si se toman los datos cuando son transmitidos entre el dispositivo del cliente y la Cloud Security Vault, no se puede descifrar o utilizar para atacar o comprometer los datos privados del usuario.


Romper o hackear una clave de 256-bits simétrica requeriría 2128 veces la potencia de cálculo de una clave de 128 bits. En teoría, esto tomaría 3×1051 años para agotar el espacio de la clave de 256-bit.

Cifrado de cliente

Compartir

Cada usuario tiene un par de claves pública y privada de curva elíptica de 256 bits (ECC secp256r1) utilizada para compartir otras claves (como claves de registro, de carpeta y de equipo) entre usuarios. La información compartida se cifra con la clave pública del destinatario. El destinatario descifra la información compartida con su clave privada. Esto permite al usuario compartir registros solo con el destinatario deseado, ya que solo él puede descifrarlo. Para la compatibilidad con los registros heredados, también puede utilizarse una clave RSA de 2048 bits.

Compartir

Generación de Clave

El método de autenticación predeterminado de Keeper es usar una contraseña principal elegida por el usuario. La función PBKDF2 se utiliza para derivar una clave de la contraseña principal que descifra otras claves del usuario, como la clave de datos AES de 256 bits. Una segunda clave PBKDF2 se genera localmente y se aplica un algoritmo hash con HMAC_SHA256 para derivar un token de autenticación. La posibilidad de autenticarse con una contraseña principal está restringida hasta que el dispositivo del usuario pase la verificación y se verifique también la 2FA. El número predeterminado de iteraciones PBKDF2 es de 1.000.000 de rondas. Los administradores de Keeper también pueden imponer niveles de iteración PBKDF2 en la consola de administración de Keeper.

Almacenamiento de Clave

Todas las claves secretas (como la clave privada de curva elíptica, la clave privada RSA o la clave de datos AES-256 de cada usuario) se cifran antes de almacenarlas o transmitirlas. Para aquellos consumidores y usuarios empresariales que inician sesión con una contraseña principal, se deriva una clave de la contraseña principal para descifrar cualquier clave almacenada. Para aquellos clientes empresariales que inician sesión con un proveedor de identidades de SSO, las claves cifradas se proporcionan al dispositivo tras la correcta autenticación y las claves privadas del usuario se utilizan para descifrar la clave de datos y otras claves del almacén. Como el Cloud Security Vault de Keeper no tiene acceso a la contraseña principal del usuario o a las claves de cifrado, no es posible descifrar los datos o claves que tenga almacenados.

Almacén de seguridad en la nube de Keeper

Cloud Security Vault se refiere al software propiedad de KSI, asi como la arquitectura de la red que se encuentra físicamente alojada dentro de la infraestructura de Amazon Web Services (AWS).
Cuando el usuario sincroniza sus registros de Keeper con otros dispositivos en su cuenta, los datos binarios encriptados son enviados por medio de un túnel encriptado en SSL y luego almacenados en Keeper's Cloud Security Vault en formato encriptado.

Control de versiones de los registros

Keeper mantiene un historial de versiones completamente cifrado de todos los registros guardados en el almacén del usuario, para de este modo proporcionar la seguridad de que nunca se pierdan datos vitales. Desde la aplicación de cliente de Keeper, los usuarios pueden examinar el historial de los registros y restaurar cualquier registro individual del almacén. Si se cambia o elimina una contraseña o un archivo almacenado en Keeper, los usuarios siempre cuentan con la posibilidad de realizar una restauración a un momento en concreto.

Control de versiones de los registros

Keeper Business

A los clientes que compran Keeper Business se les proporciona una capa adicional de control sobre sus usuarios y dispositivos. A los administradores de Keeper se les da acceso a una consola de administración basada en la nube que permite tener un control completo sobre la incorporación y baja de usuarios, los permisos basados en roles, la administración delegada, los equipos, la integración de Active Directory/LDAP, la autenticación de dos factores, el inicio de sesión único y las políticas de cumplimiento de la seguridad. Las políticas de cumplimiento de Keeper se pueden personalizar por completo y son ajustables al tamaño de cualquier organización.

Keeper Business

Cifrado a nivel de registro

Keeper ha puesto en marcha un sistema de cifrado de varias capas basado en las claves generadas en el lado del cliente. Las claves a nivel de registro y carpeta se generan en el dispositivo local y cifran cada registro guardado en el almacén (p. ej., una contraseña). Si, por ejemplo, tiene 10.000 registros en su almacén, también tendrá 10.000 claves de registro AES protegiendo sus datos.


Las claves se generan localmente en el dispositivo para preservar el conocimiento cero y respaldar las funciones avanzadas, como el uso compartido de carpetas y registros. Las claves de registros y carpetas están encapsuladas por otras claves, como la clave de datos y la clave de cliente.

Roles, equipos, carpetas compartidas y administrador delegado

Keeper para empresas proporciona un conjunto de controles seguro y sólido sobre las unidades, los roles, los equipos y las carpetas compartidas de la organización. Los potentes controles back-end de Keeper ofrecen las capas de seguridad más sólidas que permiten un acceso con privilegios mínimos y una administración completamente delegada.


Para los roles que exigen la transferabilidad de la cuenta de un usuario:


La clave de cumplimiento se cifra con la clave de cada administrador al que se permite realizar la transferencia.


(Nota: puede que la transferencia de cumplimientos distintos aplicados a grupos de usuarios distintos se designe a grupos distintos de administradores.)


Las claves de carpeta de cuenta se generan (para los usuarios en un rol al que se aplique el cumplimiento) y se cifran con la clave de cumplimiento. Las claves respectivas de todos los registros y carpetas compartidas proporcionados al usuario se cifran con la clave de carpeta de la cuenta.


Para transferir una cuenta, primero se bloquea y luego se transfiere y elimina la cuenta de un usuario. De este modo se garantiza que la operación no se realice en secreto. Las claves de carpeta de la cuenta y los metadatos permiten la posibilidad de descifrar los datos del registro, pero no permiten el acceso directo. Por lo tanto, una persona solo puede usar los registros una vez que los registros se han asignado a dicha persona, y ninguna otra persona ha podido tener acceso.


Todo el cifrado se realiza en el lado del cliente y en ningún momento Keeper puede descifrar la información que se comparte o transfiere. Además, la clave de un usuario no se comparte nunca. Un usuario que se elimine de un equipo, de una carpeta compartida o de un uso compartido directo no recibirá datos nuevos del equipo, de la carpeta compartida o del registro. Por lo tanto, a pesar de que la clave se ve comprometida con esa persona, dicha clave no puede usarse para obtener acceso a los datos subyacentes.


Se pueden asignar varios privilegios administrativos diferentes a partes de un árbol jerárquico que permite que los miembros del rol con privilegios realicen operaciones en nuestra consola de administración de Keeper.


También se pueden aplicar políticas de cumplimiento del lado del servidor y del lado del cliente a roles para dictar el comportamiento del cliente para grupos de personas.


Los equipos permiten distribuir carpetas compartidas fácilmente entre grupos de usuarios.

Puente de Active Directory/LDAP de Keeper

Keeper Bridge se integra en los servidores de Active Directory y LDAP para el aprovisionamiento y la incorporación de usuarios. La comunicación de Keeper Bridge en primer lugar es autorizada por un administrador con los privilegios suficientes para gestionar el puente. Se genera una clave de transmisión que se comparte con Keeper para todas las comunicaciones subsiguientes. El uso de la clave de transmisión constituye la autorización para todas las operaciones realizadas por el puente excepto para la inicialización del puente. La clave de transmisión se puede volver a generar en cualquier momento y cambiará automáticamente cada 30 días.

La clave de transmisión es solo para la transmisión, lo que significa que una clave comprometida se puede reinicializar o revocar sin ninguna pérdida de datos o de permisos.

Keeper Bridge no puede conceder privilegios a un rol o a un usuario. Puede agregar un usuario a un rol con privilegios, siempre y cuando no se necesite ninguna clave de cumplimiento. Keeper Bridge no se puede elevar a sí mismo ni elevar a un usuario por encima de la parte del árbol que gestiona. Todas las operaciones no están disponibles para el puente; es decir, el puente puede desactivar a un usuario activo, pero no puede eliminar al usuario. El administrador será el que deberá decidir si el usuario debe eliminarse o transferirse.

Puente de Active Directory/LDAP de Keeper

Autenticación mediante inicio de sesión único (SAML 2.0)

Los clientes de Keeper Business pueden configurar Keeper para autenticar a un usuario en su almacén de Keeper utilizando los productos de identidad SAML 2.0 estándar. Keeper es un proveedor de servicios preconfigurado en todos los principales proveedores de identidad SSO, como Google Apps, Microsoft Azure, Okta, Ping Identity y otros. El mecanismo que utiliza Keeper para autenticar usuarios en sus almacenes en un entorno de conocimiento cero es la aplicación patentada denominada Keeper SSO Connect®. Keeper SSO Connect® es una aplicación de software que los administradores de Keeper Business instalan en su propia infraestructura (in situ o en la nube) y que sirve como punto final del proveedor de servicios SAML 2.0. Cuando se activa en una unidad organizativa particular, Keeper SSO Connect® gestiona todas las claves de cifrado para los usuarios finales de Keeper Business. Una vez que se ha autenticado correctamente en el proveedor de identidades de inicio de sesión único de la empresa, el usuario accede a Keeper con las claves de cifrado necesarias para descifrar su almacén. El software de Keeper SSO Connect® funciona en los entornos de Windows, Mac y Linux.

SSO Connect® Cloud

Keeper SSO Connect® Cloud ofrece a los clientes de Keeper Enterprise un método para autenticar usuarios y descifrar datos almacenados en un almacén cifrado de conocimiento cero. Todo ello mediante la autenticación facilitada por un proveedor de identidades (IdP) de terceros que utiliza protocolos SAML 2.0 estándar en un entorno completamente basado en la nube.


En esta implementación, el usuario puede autenticarse a través de su proveedor de identidades de SSO y después descifrar el texto cifrado de su almacén de manera local en su dispositivo. Cada dispositivo tiene su propio par de claves pública/privada de curva elíptica (EC) y una clave de cifrado de datos. Cada usuario tiene su propia clave de datos. Para iniciar sesión en un dispositivo nuevo, el usuario debe utilizar un dispositivo ya existente para confirmar la aprobación del nuevo o se debe recurrir a un administrador que pueda realizar aprobaciones de dispositivos nuevos.


La importancia de esta función reside en que el usuario puede descifrar su almacén utilizando una clave cifrada almacenada en la nube de Keeper. El conocimiento cero se mantiene porque la nube de Keeper no puede descifrar la clave de datos del usuario en su dispositivo. La clave de datos (DK) del usuario se descifra con la clave privada del dispositivo (DPRIV), y la clave de cifrado de datos (EDK) solo se facilita al usuario cuando la autenticación es correcta desde el proveedor de identidades designado (por ejemplo, Okta, Azure o AD FS).


Para los usuarios de SSO Connect® Cloud, se genera una clave privada de curva elíptica que se almacena de forma local en cada dispositivo. Para los navegadores web basados en Chromium, el almacén de Keeper almacena la clave privada de curva elíptica del dispositivo local como una clave de cifrado no exportable. En dispositivos iOS y Mac, la clave se almacena en el Llavero del dispositivo. Cuando están disponibles, Keeper utiliza mecanismos de almacenamiento seguros.


La clave privada del dispositivo no se utiliza directamente para descifrar o cifrar los datos del almacén. Si la autenticación desde el proveedor de identidades es correcta, se utiliza una clave independiente (no almacenada) para descifrar los datos del almacén. La extracción sin conexión de la clave privada del dispositivo local no puede descifrar el almacén del usuario.


Los diferentes dispositivos o plataformas tienen varios niveles de seguridad y, para ofrecer un nivel de seguridad óptimo, recomendamos el uso de un navegador web actualizado y basado en Chromium.


Como protección general contra ataques a dispositivos en peligro, también recomendamos que todos los dispositivos (como los ordenadores de escritorio) estén protegidos con un cifrado a nivel de disco y tengan instalado un programa antimalware actualizado.

Aprobación de dispositivos SSO

Para iniciar sesión en un dispositivo nuevo, el usuario debe utilizar un dispositivo ya existente para confirmar la aprobación del dispositivo nuevo o recurrir a un administrador que pueda realizar este tipo de aprobaciones. Los dispositivos nuevos generan un conjunto diferente de claves privadas/públicas y el dispositivo que aprueba cifra la clave de datos del usuario con la clave pública del dispositivo nuevo. Se facilita al usuario o al dispositivo solicitante la clave de cifrado de datos (EDK) del dispositivo nuevo y después el usuario puede descifrar su clave de datos, la cual descifra los datos de su almacén. Dentro de los datos descifrados del almacén, el usuario puede descifrar sus otras claves de cifrado privadas, tales como claves de registros, de carpetas, de equipos, etcétera.


La importancia de esta función reside en que el usuario puede descifrar su almacén utilizando una clave cifrada almacenada en la nube de Keeper y no se requiere ningún servicio de aplicación in situ u hospedado por el usuario para gestionar las claves de cifrado. El conocimiento cero se mantiene porque la nube de Keeper no puede descifrar la clave de datos del usuario en su dispositivo. Esta se descifra con la clave privada del dispositivo (DPRIV) y la EDK solo se facilita al usuario cuando la autenticación es correcta desde el proveedor de identidades designado (por ejemplo, Okta, Azure o AD FS).


Desde la perspectiva del administrador, estos son los beneficios: la configuración es sencilla y no se requiere un programa hospedado para gestionar las claves de cifrado como se describe en el actual modelo de cifrado SSO Connect® de Keeper.
El único cambio en el flujo de trabajo de este modelo (en comparación con la implementación in situ de Keeper SSO Connect®) es que el usuario debe realizar la aprobación del dispositivo nuevo en un dispositivo activo o delegar la responsabilidad en un administrador de Keeper para que sea este quien lo apruebe.

Keeper SSO Connect® in situ

SSO Connect® in situ es una integración autohospedada que requiere un servidor de aplicaciones hospedado por Windows o por Linux. A fin de mantener la seguridad de conocimiento cero y garantizar una experiencia de SSO óptima para los usuarios, Keeper SSO Connect® debe estar instalado en el servidor del cliente. Los entornos Windows, Mac y Linux son totalmente compatibles con modos de funcionamiento de equilibrio de carga de alta disponibilidad (HA).

Keeper SSO Connect® automáticamente genera y mantiene la contraseña principal de forma automática para cada usuario aprovisionado, que es una clave de 256 bits generada de forma aleatoria. Esta contraseña principal está cifrada con la clave de SSO. La clave de SSO está cifrada con la clave de árbol. La clave de SSO se recupera del servidor al iniciar el servicio de Keeper SSO Connect®, y a continuación se descifra mediante la clave de árbol, que se almacena de manera local en el servidor para permitir el inicio automático del servicio. La comunicación entre SSO Connect® y el Cloud Security Vault de Keeper está protegida con una clave de transmisión.

Puente de Active Directory/LDAP de Keeper

BreachWatch

BreachWatch contrasta constantemente los registros de Keeper con las filtraciones públicas de datos y alerta al usuario dentro del almacén. La arquitectura de conocimiento cero de BreachWatch utiliza una serie de técnicas de capas para proteger la información de nuestros clientes. En resumen:


  1. Se utilizan una función hash criptográfica segura y con clave y una anonimización para comparar contraseñas con una base de datos que contiene información de cuentas filtradas.
  2. Las contraseñas de los clientes se procesan con un módulo de seguridad de hardware (HSM, según sus siglas en inglés) y con una clave secreta no exportable antes de compararse con contraseñas filtradas o almacenadas en los servidores de BreachWatch.
  3. Los clientes de Keeper interactúan con BreachWatch utilizando identificadores de BreachWatch anonimizados que no están vinculados con otros identificadores de clientes de Keeper.
  4. BreachWatch separa los nombres de usuario y las contraseñas en servicios separados con identificadores anonimizados distintos para desvincular los nombres de usuario y los dominios de las contraseñas.
  5. Los clientes de BreachWatch nunca cargan información del dominio, solo la descargan.

BreachWatch Process

Figura 1. La ruta de los datos de contraseña en forma de hash de un cliente a través de BreachWatch. Solo las contraseñas reforzadas con un HSM y una clave no exportable se almacenan en los servidores de BreachWatch. Los clientes de BreachWatch utilizan identificadores anonimizados cuando interactúan con los servidores de BreachWatch.


Para crear un servicio seguro, Keeper divide BreachWatch en tres servicios, cada uno dedicado a comprobar los dominios, los nombres de usuario, las contraseñas y los pares de nombres de usuario y contraseñas. Las aplicaciones de cliente de Keeper contactan con cada uno de estos servicios de administración utilizando una API REST cifrada.

Escaneo del dominio

Los clientes de BreachWatch descargan una lista de los dominios que se han filtrado y realizan la comprobación de forma local.

Escaneo de nombre de usuario y contraseña

Los dispositivos de cliente se conectan a BreachWatch y cargan una lista de nombres de usuario (o contraseñas) en forma de hashes junto a un identificador aleatorio elegido por el cliente (identificadores separados para los servicios de comprobación del nombre de usuario y para los de la contraseña). Estos hashes de contraseñas se procesan cuando se cargan con HMAC utilizando un módulo de seguridad de hardware (HSM) y una clave secreta almacenada en el HSM marcado como no exportable (lo que significa que el HSM solo procesará el HMAC de forma local y la clave no se podrá extraer). Estas entradas de HMAC (nombres de usuario o contraseñas) se comparan con los conjuntos de datos filtrados que se han procesado con el mismo HMAC y con la misma clave. Si se detecta cualquier coincidencia, se informa al dispositivo de cliente. Todos los valores que no coincidan se almacenan junto al identificador anonimizado del cliente.


Cuando se añaden al sistema filtraciones nuevas de nombres de usuario y contraseñas, estas se procesan con HMAC en el HSM, se añaden al conjunto de datos de BreachWatch y se comparan con los valores de cliente almacenados. Si hay coincidencias, se pone una alerta en cola para ese identificador de cliente.


Los clientes acceden de forma periódica a BreachWatch e introducen sus identificadores de BreachWatch. Los mensajes en cola se descargan y los clientes cargan sus nombres de usuario y contraseñas nuevos o modificados que se procesarán de la misma manera.


La seguridad de los servicios de BreachWatch se basan en el sistema TOFU (Trust on First Use o Confianza en el primer uso). Esto quiere decir que los clientes deben asumir que el servidor de BreachWatch no es malicioso (es decir, que no está siendo atacado de forma activa) cuando el cliente carga sus valores hash. Una vez que estos valores se procesan con un HSM, están seguros frente a intentos de descifrado fuera de línea. En otras palabras, si un atacante roba el conjunto de datos de los valores almacenados de un cliente, no podrá descifrar esos valores fuera de línea sin la clave HMAC almacenada en el HSM.


Si se detecta una filtración de una contraseña, el dispositivo del cliente envía un hash de combinación de nombre de usuario + contraseña a los servidores de BreachWatch que después realizan la misma comparación del hash HMAC para determinar si una combinación de nombre de usuario + contraseña se ha filtrado. Si es así, los dominios relacionados con esas filtraciones se devuelven para que el dispositivo de cliente pueda determinar si coinciden el nombre de usuario, la contraseña y el dominio. Si los tres parámetros coinciden en el dispositivo de cliente, se avisa al usuario de la gravedad de la filtración.

BreachWatch Business

Cuando los clientes de empresas y negocios activan BreachWatch, los almacenes de usuario final se escanean automáticamente cada vez que el usuario inicia sesión en Keeper. Los datos de resumen de BreachWatch escaneados en el dispositivo del usuario se cifran con la clave pública de la empresa y el administrador de la empresa lo descifra cuando inicia sesión en la consola de administración de Keeper. Esta información cifrada incluye la dirección de correo electrónico, el número de registros en alto riesgo, el número de registros resueltos y el número de registros ignorados. El administrador de Keeper puede ver estadísticas resumen a nivel de usuario dentro de la interfaz de usuario de la consola de administración.

Registro e informes de eventos

Cuando se integra con el Alertas e Informes Avanzados, los dispositivos de usuario final de Keeper también se pueden configurar de manera opcional para que transmitan eventos detallados en tiempo real a las soluciones SIEM de terceros y a la interfaz de informes de la consola de administración de Keeper. Los datos de eventos contienen la dirección de correo electrónico, el UID del registro, la dirección IP e información del dispositivo (los eventos no incluyen datos de registros descifrados ya que Keeper es una plataforma de conocimiento cero y no puede descifrar los datos de los usuarios).


De forma predeterminada, los datos de eventos detallados de BreachWatch no se envían al Módulo de alertas e informes avanzados o a cualquier sistema de registro externo conectado. Para activar la gestión de informes a nivel de evento de los datos de BreachWatch con el Módulo de alertas e informes avanzados, debe activar la política de cumplimiento de roles de eventos en la pantalla del rol específico > Ajustes de cumplimiento > Características del almacén. Cuando esté activado, los dispositivos de cliente de usuario final comenzarán a enviar los datos de este evento. Dado que la integración con soluciones SIEM de terceros se transmite desde la administración de Keeper hasta el SIEM de destino, esta información es legible por el SIEM de destino y se puede utilizar para identificar qué registros y qué usuarios dentro de la organización tienen contraseñas de alto riesgo. Si el administrador de Keeper no desea transmitir datos de eventos a nivel de registro al Módulo de alertas e informes avanzados de Keeper, esta opción se puede dejar desactivada.

Registro e informes de eventos

Modo sin conexión

El modo sin conexión permite que los usuarios accedan a su almacén cuando no tienen conexión para acceder a Keeper o a su proveedor de identidades SSO. Esta función está disponible en la aplicación móvil y de escritorio de Keeper y se extiende a los usuarios Business en navegadores web populares.

Registro e informes de eventos

Esto se consigue haciendo una copia del almacén en el dispositivo local del usuario. Los datos del almacén guardados sin conexión se cifran mediante AES-GCM con una "clave de cliente" de 256 bits que se genera de forma aleatoria y está protegida por la PBKDF2-HMAC-SHA512 con hasta 1.000.000 de iteraciones y una sal aleatoria. La sal y las iteraciones se almacenan localmente. Cuando el usuario introduce su contraseña principal, se deriva una clave usando la sal y las iteraciones, y se intenta descifrar la clave de cliente. Después, se usa la clave de cliente para descifrar la caché del registro almacenado. Si la protección de autodestrucción está activada en el almacén del usuario, 5 intentos fallidos de inicio de sesión provocarán que todos los datos almacenados en el almacén se eliminen.

Arquitectura de red

KSI utiliza Amazon AWS en América del Norte, Europa y Australia para la privacidad de datos localizada y la segregación geográfica con el objeto de alojar y operar la solución y la arquitectura de Keeper. KSI utiliza Amazon AWS para alojar y operar Keeper y su arquitectura. El hecho de utilizar Amazon AWS le permite a Keeper escalar recursos sin interrupciones en base a la demanda y provee un ambiente rápido y seguro en la nube para sus clientes. KSI opera de ambas maneras: zona múltiple y región multiple para maximizar el tiempo de disponibilidad y así poder responder de manera rápida a nuestros clientes.

Arquitectura de red

Autenticación de Servidor

El Cloud Security Vault de Keeper está protegido por una API que autentica cada solicitud desde el dispositivo de cliente. En el dispositivo de cliente se obtiene una "clave de autenticación" de 256 bits desde la contraseña principal utilizando PBKDF2-HMAC-SHA256 y una sal criptográfica aleatoria. Se genera un "hash de autenticación" mediante un resumen criptográfico de la "clave de autenticación" utilizando SHA-256. Para iniciar sesión, el hash de autenticación se compara con un hash de autenticación almacenado en el Cloud Security Vault. Después del inicio de sesión, el dispositivo de cliente genera y usa un autentificador de sesión para las solicitudes posteriores. Este autentificador debe renovarse cada 30 minutos o tras la solicitud del servidor.

Encriptación de la Capa de Transporte

KSI supports 256-bit and 128-bit SSL to encrypt all data transport between the client application and KSI’s cloud-based storage. This is the same level of encryption trusted by millions of individuals and businesses everyday for web transactions requiring security, such as online banking, online shopping, trading stocks, accessing medical information and filing tax returns.


KSI hace uso de los certificados TLS firmados por Digicert utilizando el algoritmo SHA2, el algoritmo de firma más seguro que actualmente ofrecen las autoridades de certificación comercial. SHA2 es significativamente más seguro que el más utilizado SHA1, que era vulnerable debido a la debilidad matemática identificada en el algoritmo. SHA2 ayuda a protegerse de la emisión de certificados falsos que podrían utilizar los atacantes para suplantar un sitio web.


KSI también apoya el Certificado de Transparencia (CT), una nueva iniciativa de Google para crear un registro público auditable de certificados firmados por autoridades de certificación. El CT protege contra la emisión de certificados falsos de entidades no autorizadas. El CT es compatible en las últimas versiones del navegador web Chrome. Puede encontrar más información sobre el Certificado de Transparencia en . https://www.certificate-transparency.org. Keeper es compatible con los siguientes conjuntos de cifrado TLS:


  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384

Protección contra ataques XSS (secuencias de comandos en sitios cruzados)

El almacén web de Keeper aplica una política de seguridad de contenidos estricta que restringe el origen de las solicitudes salientes e impide que se ejecuten todas las secuencias de comandos, excepto las que provienen explícitamente de Keeper, incluidas las secuencias de comandos en línea y los atributos HTML de gestión de eventos, lo que reduce o elimina la mayoría de los vectores en los ataques XSS.


El acceso a los nombres de dominio de KeeperSecurity.com y KeeperSecurity.eu está restringido a HTTPS con TLS versión 1.2 y se ejecuta mediante el protocolo de Seguridad de Transporte HTTP Estricta. Esto evita un amplio abanico de analizadores de paquetes, modificación de datos y ataques de intermediarios.


En la extensión para navegador de Keeper, Keeper no le pedirá a los usuarios que inicien sesión en su almacén desde el área del marco de la página. El inicio de sesión en la extensión se produce dentro del área de la barra herramientas de la extensión del navegador. El inicio de sesión al almacén en el navegador web siempre se producirá en el dominio de KeeperSecurity.com, de KeeperSecurity.eu o desde la barra de herramientas de la extensión para navegador de Keeper, que está fuera de la página de contenido.


La extensión para navegador de Keeper en Chrome, Firefox, Edge y Opera utiliza iFrames para inyectar datos de registros en las pantallas de inicio de sesión de las páginas web para asegurar que ninguna web maliciosa ha accedido al contenido inyectado. El contenido de los registros inyectado en iFrames también está limitado a los registros del almacén guardados en el almacén del usuario, que coinciden con el dominio de la web objetivo. Keeper no ofrecerá el rellenado automático de las credenciales de inicio de sesión o contraseña a menos que el dominio de la web coincida con el campo de dominio web del registro en el almacén de Keeper.


La extensión de Internet Explorer utiliza una ventana de aplicación nativa separada para iniciar sesión y acceder a los registros. Estas ventanas separadas no están expuestas a los ataques XSS porque no son accesibles desde el navegador. Esto permite que la extensión de Internet Explorer ofrezca una ventana de inicio de sesión dentro de la página. La extensión no mostrará los registros a menos que estos coincidan con el dominio raíz de la dirección web.


Las extensiones para navegador de terceros pueden tener permisos específicos en los navegadores web y pueden acceder a la información dentro de la página. Por lo tanto, se recomienda que los administradores de Keeper eviten que los usuarios instalen extensiones para navegador de terceros no autorizadas desde la tienda de aplicaciones propia del navegador.

iOS Keychain y TouchID™

Activar Touch ID y Face ID en dispositivos iOS le permite acceder a su almacén de Keeper utilizando la biometría. Para ofrecer esta práctica función, se almacena en el llavero de iOS una "clave biométrica" de 256 bits generada aleatoriamente. El elemento del llavero de iOS creado para esta función no está designado para sincronizarse con el llavero de iCloud y, por lo tanto, no saldrá de su dispositivo móvil iOS.

Le recomendamos encarecidamente que utilice una contraseña principal compleja y que active la autenticación multifactor para disfrutar de la máxima seguridad en su almacén cifrado de Keeper. Al activar Touch ID o Face ID, es más práctico utilizar una contraseña principal compleja en su dispositivo móvil iOS. También es recomendable que establezca un código de acceso más largo que el mínimo de 4 dígitos para asegurar el llavero de iOS.

El llavero de iOS se utiliza en iOS y en aplicaciones para almacenar credenciales de forma segura. Las aplicaciones de iOS utilizan este llavero para almacenar una gran variedad de información sensible, incluidas las contraseñas de páginas webs, las claves, los números de tarjetas de crédito y la información de Apple Pay™. Keeper no utiliza el llavero de iOS para almacenar sus registros de Keeper. Todos los registros de Keeper están protegidos con un cifrado AES de 256 bits y se almacenan de forma segura en el almacén de Keeper. El llavero de iOS también está protegido con un cifrado AES de 256 bits usando el código de acceso del dispositivo. Incluso si pierde o le roban su dispositivo o si un atacante consigue acceso físico a su móvil, no podrá acceder a ningún tipo de información almacenada en Keeper. El llavero de iOS no se puede descifrar sin el código de acceso y tampoco el almacén de Keeper sin la contraseña principal de Keeper.

iOS Keychain y TouchID™

Biometría

Keeper admite de forma nativa la biometría de Windows Hello, Touch ID, Face ID y Android. Los clientes que normalmente inicien sesión en su almacén de Keeper usando su contraseña principal o el inicio de sesión con SSO empresarial (SAML 2.0) también pueden iniciar sesión en sus dispositivos con biometría. La biometría debe habilitarla el administrador de Keeper en la política de roles. También pueden acceder sin conexión y con biometría los usuarios con contraseña principal y los habilitados con SSO cuando esta función está activada.


Cuando se activa en un dispositivo el inicio de sesión con biometría, se genera aleatoriamente una clave de manera local que se almacena en un enclave seguro del dispositivo (como, por ejemplo, Llavero). La clave de datos del usuario se cifra con la clave biométrica. Si la autenticación biométrica es correcta, la clave se recupera y el usuario puede descifrar su almacén.

Apple Watch®

La función de favoritos para Apple Watch permite la visualización de determinados registros en un Apple Watch que se haya emparejado. Los registros de Keeper se deben activar de forma explícita para permitir su visualización en un Apple Watch. Un Apple Watch que se haya emparejado se comunica con la extensión de Keeper para Apple Watch que se ejecuta de forma transparente en un espacio aislado e independiente de la aplicación de Keeper para iOS. La extensión de Keeper para Apple Watch también usa el llavero de iOS para almacenar y acceder a las claves de forma segura y para permitir una comunicación óptima y segura con la aplicación de Keeper para iOS.

Keeper DNA®

Keeper DNA es un añadido nuevo e innovador a la autenticación multifactor. Cuando se utiliza con un Apple Watch vinculado, Keeper DNA ofrece un método de autenticación multifactor que no tiene parangón en comodidad y seguridad. Keeper DNA utiliza tokens seguros guardados en el almacén de Keeper para generar códigos de duración limitada para la autenticación multifactor. Estas solicitudes de autenticación de duración limitada se pueden aprobar y enviar de forma automática desde el Apple Watch (o un dispositivo Android Wear) con un toque en la pantalla del reloj o introducido de forma manual por el usuario. Con varias capas de cifrado, Touch ID y la autenticación multifactor ayudan a que Keeper DNA sea el método de autenticación disponible más sofisticado, seguro y avanzado.

Cumplimiento y auditorías

FedRAMP FedRAMP StateRAMP StateRAMP ITAR ITAR FIPS 140-2 FIPS 140-2 SOC2 SOC2 ISO 27001 ISO 27001 GDPR Compliant GDPR Compliant Conforme con la Parte 11 del Título 21 del CFR de la FDA FDA 21 CFR
Part 11 Compliant
HIPAA Compliant HIPAA Compliant FSQS-NL FSQS-NL

Cumple con las Normas de SOC 2

Los registros de la caja fuerte de nuestros clientes son protegidos utilizando prácticas internas de monitoreo muy estrictas. Keeper está certificado por cumplir con las normas de SOC 2 Type 2 de acuerdo con la infraestructura de AICPA Service Organization Control. La certificación de SOC 2 ayuda a garantizar que su caja fuerte está segura por medio de la implementación de controles estandarizados que son definidos en la infraestructura de AICPA Trust Service Principles.

Certificado ISO 27001 (Sistema de Gestión de la Seguridad de la Información)

Keeper tiene el certificado ISO 27001, el cual cubre el Sistema de Gestión de la Información de Keeper Security que respalda la plataforma de Keeper Enterprise. El certificado ISO 27001 de Keeper se extiende a la gestión y el funcionamiento del almacén digital y de los servicios en la nube, al desarrollo de programas y aplicaciones y a la protección de los activos digitales para el almacén digital y los servicios en la nube.

Cumplimiento del RGPD

Keeper cumple los requisitos del RGPD y nos comprometemos a garantizar que nuestros procesos empresariales y productos sigan cumpliendo los requisitos para nuestros clientes en la Unión Europea. Haga clic aquí para obtener más información sobre el cumplimiento del RGPD por parte de Keeper y descargar los acuerdos de procesamiento de datos.

Autorizado por FedRAMP

Keeper Security Government Cloud (KSGC) es una plataforma de ciberseguridad y gestión de contraseñas de KSI para las agencias del sector público. KSGC es un proveedor autorizado por el FedRAMP al nivel de impacto moderado, hospedado en AWS GovCloud (US). Puede encontrar a KSGC en FedRAMP Marketplace.


El programa federal sobre la gestión de riesgos y autorizaciones (FedRAMP) es un programa del gobierno federal de Estados Unidos que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube. FedRAMP permite a las agencias gubernamentales utilizar tecnologías modernas en la nube, con énfasis en la seguridad y la protección de la información federal, y ayuda a acelerar la adopción de soluciones seguras en la nube.


Para más información sobre el FedRAMP, visite https://www.gsa.gov/technology/government-it-initiatives/fedramp.

Autorizado por StateRAMP

Keeper Security Government Cloud (KSGC) es la plataforma de ciberseguridad y gestión de contraseñas de KSI para las agencias del sector público. KSGC es un proveedor autorizado por StateRAMP al nivel de impacto moderado, hospedado en la GovCloud de AWS (US). Puede encontrar KSGC en el mercado de StateRAMP.


Los comités de gobernanza de StateRAMP adoptan políticas y procedimientos que estandarizan los requisitos de seguridad para proveedores. Después, la Oficina de Gestión de Programas de StateRAMP verifica que las ofertas en la nube utilizadas por la Administración cumplen los requisitos de seguridad adoptados mediante auditorías independientes y una supervisión continua. StateRAMP permite a las agencias gubernamentales utilizar tecnologías en la nube modernas, con énfasis en la seguridad y protección de información confidencial, y ayuda a acelerar la adopción de soluciones en la nube seguras.


Para más información sobre StateRAMP, visite https://stateramp.org.

Conforme con el ITAR

KSGC respalda el cumplimiento del Reglamento estadounidense sobre el tráfico internacional de armas (ITAR). Las empresas sujetas a la normativa de exportación del ITAR deben controlar las exportaciones involuntarias restringiendo el acceso a los datos protegidos a las personas estadounidenses y limitando la ubicación física de los datos protegidos a EE. UU.


El entorno FedRAMP moderado de KSGC es compatible con los requisitos del ITAR a través de lo siguiente:

  • Almacenamiento de datos completamente conforme hospedado por GovCloud de AWS y restringido a EE. UU.
  • Cifrado seguro de datos en tránsito y en reposo
  • La seguridad de confianza y conocimiento cero, junto con los permisos granulares, permite a las organizaciones asegurar que solo el personal autorizado puede acceder a los datos sensibles.
  • Las sólidas funciones de generación de informes sobre el cumplimiento de la normativa ofrecen una ruta de auditoría electrónica y rastreable para todas las acciones realizadas y todos los datos introducidos.
  • El equipo de Sequestered Customer Success está formado por personas de EE. UU. específicamente formadas en el manejo seguro de datos controlados por la exportación y regulados por el ITAR.
  • Sin asistencia fuera de EE. UU.

El entorno de Keeper FedRAMP ha sido auditado por una organización independiente de evaluación de terceros (3PAO) para validar que existen los controles adecuados para apoyar los programas de cumplimiento de las exportaciones de los clientes.


Para más información sobre el ITAR, visite https://www.pmddtc.state.gov/.

Conforme con la Parte 11 del Título 21 del CFR de la FDA

Keeper es conforme con lo dispuesto en la Parte 11 del Título 21 del Código de Regulaciones Federales (CFR) de la Administración de Alimentos y Medicamentos de Estados Unidos (FDA), que se aplica a los científicos que trabajan en entornos muy regulados, incluidos los investigadores que realizan ensayos clínicos. Esta regulación especifica los criterios de la FDA según los cuales los registros y firmas electrónicos se consideran fidedignos, fiables y equivalentes a los registros en papel con firmas manuscritas. En concreto, los científicos deben asegurarse de que todos los programas que utilizan son conformes con lo establecido en la Parte 11 del Título 21 del CFR en lo que respecta a:


Controles de seguridad para la identificación de usuarios: Keeper cumple los requisitos de la Parte 11 del Título 21 del CFR relativos a las funciones de seguridad que limitan el acceso de los usuarios y sus privilegios, incluida la garantía de que todos los usuarios tienen nombres de usuario y contraseñas únicos, la capacidad de detectar y evitar accesos no autorizados al sistema y la posibilidad de bloquear las cuentas comprometidas.


Traza de auditoría detallada


Durante las inspecciones de la FDA, los organismos reguladores exigen a los investigadores que proporcionen una traza de auditoría que detalle un registro cronológico de todas las operaciones. Las funciones de informes de conformidad de Keeper permiten a los investigadores producir fácilmente trazas rastreables de auditorías electrónicas.


Firmas electrónicas


Cuando un documento requiere una firma electrónica legalmente vinculante, la Parte 11 del Título 21 del CFR exige que la firma vaya unida a un nombre de usuario y contraseña únicos o a una identificación biométrica. Keeper es compatible con este requisito porque permite a los investigadores asegurar que todos los usuarios tienen nombres de usuario y contraseñas únicos que se almacenan de forma segura en un almacén digital al que solo puede acceder el usuario en cuestión.


Para más información sobre la Parte 11 del Título 21 del CFR, acceda a https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application

Protección de los datos médicos del paciente

El software de Keeper cumple con los estándares globales de protección de datos médicos que cubren, por ejemplo, la Ley de Portabilidad y Contabilidad de los Seguros de Salud (HIPAA) y la Ley de Protección de Datos (DPA).

Cumplimiento de la Ley HIPAA y contratos de asociación comercial

Keeper es una plataforma de seguridad de conocimiento cero (con los certificados SOC2 e ISO 27001) que cumple con la Ley HIPAA (ley estadounidense sobre la portabilidad y contabilidad de los seguros de la salud). Además, se mantienen unos controles estrictos y un respeto riguroso en todo lo relacionado con la privacidad, confidencialidad, integridad y disponibilidad de los datos. Con esta arquitectura de seguridad, Keeper no puede descifrar, ver o acceder a ningún tipo de información (incluida la información clínica protegida) ubicada en el almacén de Keeper de cualquier usuario. Por todos estos motivos, a Keeper no se le considera un asociado comercial tal y como se define en la Ley HIPAA y, por lo tanto, no está sujeto a ningún acuerdo de asociación comercial.


Para saber más sobre los beneficios adicionales disponibles para los profesionales sanitarios y las aseguradoras, lea al completo esta divulgación de seguridad y visite nuestra Guía empresarial.

Pruebas de penetración

En Keeper realizamos pruebas de penetración de forma periódica en todos nuestros productos y sistemas con expertos de terceras partes incluidos NCC Group, Secarma, Cybertest e investigadores de seguridad independientes. También hemos colaborado con Bugcrowd para gestionar el programa de divulgación de vulnerabilidades (VDP por sus siglas en inglés).

Pruebas de penetración y escaneo de seguridad de terceros

Tenable analiza diariamente la infraestructura de Keeper para asegurar que la aplicación web de Keeper y el Cloud Security Vault de KSI son seguros frente a las vulnerabilidades de seguridad remotas y los ataques de denegación de servicio conocidos. El personal de Keeper estudia y soluciona todos los problemas encontrados.

Procesamiento de Pago y Cumplimiento del Estándar PCI

KSI usa PayPal y Stripe para procesar de forma segura los pagos con tarjetas de crédito o débito a través de la página web de pagos de KSI. PayPal y Stripe son soluciones de procesamiento de transacciones conformes con el estándar de seguridad PCI-DSS.

KSI cuenta con el certificado PCI-DSS.

EU-US Privacy Shield

El client web de Keeper, la Aplicación Android, la Aplicación de Windows Phone, la Aplicación de iPhone/iPad y las extensiones para navegador han sido verificadas que cumplen con los requisitos del Departamento de Comercio de EEUU y el programa de UE-EEUU Privacy Shield, el cual sigue la Directriz de la Comisión Europea en cuanto a la Protección de Datos.
Para más información sobre el Departamento de Comercio de EEUU y el programa de UE-EEUU Privacy Shield, vea https://www.privacyshield.gov

FIPS 140-2 validado

Keeper utiliza los módulos de cifrado validados según la norma FIPS 140-2 para cumplir con los rigurosos requisitos del gobierno y del sector público. El cifrado de Keeper ha sido certificado por el CMVP de NIST y validado según la norma FIPS 140 por laboratorios acreditados de terceros. A Keeper se le ha expedido el certificado #3976 según el CMVP de NIST

Con certificado FSQS-NL

Keeper Security EMEA Limited está certificado por el Sistema de Calificación de Servicios Financieros de Hellios-Países Bajos (FSQS-NL), el cual reconoce los más altos estándares en seguridad, calidad e innovación en Países Bajos. Este estándar demuestra la conformidad de la Financial Conduct Authority (autoridad de conducta financiera) y la Prudential Regulation Authority (autoridad de regulación prudencial) para garantizar la fiabilidad del software de Keeper Enterprise para grandes bancos e instituciones financieras.

Licencia de Exportación del Departamento de Comercio de EEUU bajo la Regulación Administrativa de Exportación (EAR por sus siglas en inglés)

Keeper está certificado por el Buró de Industria y Seguridad del Departamento de Comercio de EEUU bajo el Número de Clasificación 5D992 del Producto de Exportación, el cual cumple con la Regulación Administrativa de Exportación (EAR por sus siglas en inglés).
Para más información sobre la Regulación Administrativa de Exportación (EAR por sus siglas en inglés): https://www.bis.doc.gov

Monitoreo Remoto 24x7

Keeper es monitoreado 24x7x365 por una red externa global que asegura que nuestro sitio web y Cloud Security Vault esten disponibles alrededor del mundo.

Si usted tiene alguna pregunta relacionada a nuestra divulgación de seguridad, por favor escríbanos

Mensajes Falsificados o de Phishing

Si usted recibe un mensaje que dice ser de KSI pero usted tiene duda de su legitimidad, es posible que sea un "email de phishing", en el cual la dirección de email del remitente es falsificada. En ese caso, el mensaje puede que contenga enlaces a un sitio web que se asemeja a KeeperSecurity.com pero no es nuestro sitio. Es posible que el sitio le pida su contraseña maestra o que le pida descargar software malicioso en su computadora para así robar su información personal o acceder a su computadora. Otros mensajes contienen enlaces que posiblemente le dirijan a otros sitios maliciosos. También es posible que el mensaje contenga "malware". Si tiene dudas sobre un mensaje que recibió en su correo, usted debe eliminarlo sin abrir ningún enlace o archivo adjunto.

Si desea reportar un mensaje que dice ser de KSI o si tiene alguna otra preocupación en cuanto a la seguridad de KSI, por favor contáctenos.

Infraestructura de alojamiento certificada de acuerdo con los estándares más estrictos del sector

El sitio web de Keeper y el almacenamiento en la nube corre por medio de la infraestructura de Amazon Web Services (AWS). La infraestructura de nube de AWS que aloja la arquitectura del sistema de Keeper ha sido certificada para cumplir con las siguientes atestaciones, reportes y certificaciones externas:

SOC2 SOC 2 PCI Compliant PCI Compliant FIPS-140-2 FIPS-140-2 ISO 27001 ISO 27001 FedRAMP FedRAMP StateRAMP StateRAMP

Notificación de vulnerabilidades y programa de localización de errores

Keeper Security se ha comprometido a respetar las prácticas recomendadas del sector en materia de divulgación responsable de posibles problemas de seguridad. Nos tomamos su seguridad y privacidad muy en serio y nos comprometemos a proteger la privacidad y la información personal de nuestros clientes. La misión de KSI consiste en crear las aplicaciones de seguridad más seguras e innovadoras del mundo, y creemos que los informes de errores procedentes de la comunidad mundial de investigadores de seguridad constituyen un componente valioso para garantizar la seguridad de los productos y servicios de KSI.


Preservar la seguridad de nuestros usuarios es fundamental para nuestros valores como organización. Valoramos la contribución de los hackers de buena fe y creemos que una relación continuada con la comunidad de hackers nos ayuda a garantizar su seguridad y privacidad, y hace que Internet sea un lugar más seguro. Esto incluye fomentar las iniciativas destinadas a poner a prueba la seguridad de forma responsable y la divulgación de las vulnerabilidades de seguridad.

Directrices

En la política de divulgación de vulnerabilidades de Keeper se estipulan las expectativas a la hora de colaborar con hackers de buena fe, así como también lo que puede esperar de nosotros.

Si las pruebas de seguridad y los informes se llevan a cabo siguiendo las directrices de esta política, nosotros:

  • Los consideraremos como actividades autorizadas de acuerdo con la Ley de Fraude y Abuso Informático.
  • Los consideraremos como actividades exentas de DMCA, y no presentaremos ninguna reclamación contra usted por eludir los controles tecnológicos o de seguridad.
  • Los consideraremos como actividades legales, y no emprenderemos ni apoyaremos ninguna acción legal relacionada con este programa en su contra.
  • Colaboraremos con usted para comprender y resolver el problema rápidamente.
  • Reconoceremos sus contribuciones de forma pública si usted es el primero en notificar el problema y realizaremos un cambio en el código o en la configuración basado en el problema.

Si en cualquier momento siente preocupación o incertidumbre acerca de la realización de pruebas de una forma que sea coherente con las directrices y el alcance de esta política, póngase en contacto con nosotros en security@keepersecurity.com antes de continuar.

Para fomentar las pruebas de seguridad de buena fe y la divulgación de las vulnerabilidades detectadas, le pedimos que:

  • No infrinja la privacidad, perjudique la experiencia de usuario, interrumpa el funcionamiento de sistemas de producción o corporativos, ni destruya datos.
  • Realice tareas de investigación solamente dentro del ámbito establecido por el programa de divulgación de vulnerabilidades de Bugcrowd con el que se enlaza a continuación, y respete los sistemas y las actividades que estén fuera de ese ámbito.
  • Se ponga en contacto con nosotros de inmediato en security@keepersecurity.com si descubre datos de usuario durante las pruebas.
  • Nos proporcione un tiempo razonable para analizar, confirmar y resolver el problema notificado antes de revelar públicamente cualquier vulnerabilidad encontrada.

Envío de un informe

Keeper se ha asociado con Bugcrowd para gestionar nuestro programa de divulgación de vulnerabilidades.

bugcrowd

Le rogamos que envíe los informes a través de [https://bugcrowd.com/keepersecurity].

Información adicional

Documentación del producto

El portal de documentación de Keeper, con manuales sobre los productos, información técnica, notas de versiones y guías de usuario final, está disponible en https://docs.keeper.io

Estado del sistema

Puede encontrar el estado del sistema en tiempo real en https://statuspage.keeper.io

close
close
Español (ES) Llámenos