La seguridad en el Reino Unido: certificaciones, características y programas diseñados para ayudar a proteger las organizaciones

En Zoom, las certificaciones y los estándares de terceros son una parte integral de la base de nuestro programa de seguridad. Si bien, recientemente, hemos ampliado nuestra lista de certificaciones y estándares reconocidos en el sector con ISO/IEC 27001:2013, SOC 2 + HITRUST y Common Criteria, también añadimos UK Cyber Essentials Plus a esta lista. Este logro también se complementa con nuestro trabajo para alinearnos con los Criterios de Evaluación de la Tecnología Digital (DTAC) del Servicio Nacional de Salud (NHS) y DCB0129.

UK Cyber Essentials Plus

Cyber Essentials Plus es un sistema de certificación respaldado por el gobierno británico y por el sector, diseñado para ayudar a las organizaciones a demostrar su seguridad operativa frente a las amenazas cibernéticas más comunes.

La obtención de la certificación Cyber Essentials Plus por parte de Zoom demuestra nuestro compromiso con el Reino Unido, al lograr un esquema de seguridad que facilita a los clientes locales la evaluación de nuestros sistemas de TI.

Apto para su uso en el NHS

Con el fin de apoyar al NHS en su labor de proporcionar a los pacientes una atención digital eficaz y segura, ya estamos preparados para DTAC y DCB0129, mediante la implementación de un kit de herramientas de DSP.

• DTAC: los DTAC ayudan a proporcionar al personal y a los pacientes la confianza de que las herramientas de salud digitales que utilizan, como Zoom, cumplen los estándares de seguridad clínica, protección de datos, seguridad técnica, interoperabilidad, facilidad de uso y accesibilidad. Las organizaciones de atención médica pueden utilizarlo para evaluar a los proveedores en el momento de la compra y asegurarse de que las nuevas tecnologías digitales cumplan con estándares de referencia mínimos.

• DCB0129: el DCB0129 es un estándar de gestión de riesgos clínicos que permite a los fabricantes de software de TI de salud demostrar la seguridad clínica de sus productos y proporciona un conjunto de requisitos estructurados de manera adecuada para garantizar la aplicación eficaz de la gestión de riesgos clínicos.

• Kit de herramientas de DSP: también hemos implementado un kit de herramientas de DSP, que es una herramienta de autoevaluación en línea que permite a las organizaciones medir su desempeño en relación con los 10 estándares de seguridad de datos del National Data Guardian. Todas las organizaciones que tienen acceso a los datos y sistemas de los pacientes del NHS deben utilizar este kit de herramientas para garantizar que adoptan buenas prácticas de seguridad de los datos y que la información personal se maneja de forma correcta.

A través de estas iniciativas, esperamos apoyar al personal del NHS con las herramientas que necesitan para proporcionar una atención digital eficaz y proteger los datos cruciales de los pacientes. 

Tanto si usa la plataforma de Zoom para la enseñanza y el aprendizaje virtuales, como para citas de telemedicina con su proveedor de servicios de atención médica, o para interactuar con los ciudadanos como organización gubernamental, hemos diseñado características de seguridad y privacidad únicas para ayudar a proteger la información vital. Aunque estas características están diseñadas para cualquier cliente de Zoom que tenga la posibilidad de habilitarlas, son útiles para los usuarios del Reino Unido que deseen tener un mejor control de sus datos, por ejemplo:

Control de enrutamiento de datos: los propietarios y los administradores de cuentas de pago pueden personalizar qué centros de datos procesan los datos de sus reuniones y seminarios web en tránsito, o lo que es lo mismo, los datos que se mueven activamente de una ubicación a otra a través de Internet. Puede aceptar o rechazar cada región específica del centro de datos para los datos en tránsito, excepto la región predeterminada en la que se aprovisionó su cuenta, para la que tenemos una opción europea, lo que ayuda a mantener un mayor control sobre dónde viaja la información. La exclusión de las regiones del centro de datos puede limitar las opciones de los participantes que se unan desde esas regiones.

Cifrado de extremo a extremo (E2EE): cuando se habilita, esta función utiliza el mismo cifrado AES de 256 bits GCM que admite Zoom Meetings estándar para ayudar a cifrar la comunicación entre todos los participantes de la reunión que utilizan el Zoom Client. La diferencia es que las claves criptográficas solo las conocen los dispositivos de los participantes en la reunión. Esto significa que los terceros —incluido Zoom— no tienen acceso a las claves privadas de la reunión. Este año, nuestra oferta de E2EE se extenderá también a Zoom Phone para las llamadas telefónicas individuales dentro de la cuenta que se producen a través del Zoom Client.

Cifrado de chat avanzado: esta característica de Zoom Team Chat permite una comunicación segura, en la que solo el destinatario previsto puede leer el mensaje protegido. Una vez habilitada por los administradores de cuenta, los usuarios pueden utilizarla cuando se comunican acerca de información especialmente confidencial en un chat individual o de grupo. Cuando el cifrado avanzado del chat está habilitado, los datos en reposo se cifran mediante claves generadas y operadas en los dispositivos de los participantes del chat. Pero los datos del chat en tránsito se cifran en tránsito utilizando el cifrado de seguridad de la capa de transporte (TLS).

Para satisfacer las necesidades en aumento de nuestra base global de clientes, Zoom estableció programas que aportan experiencia y habilidades de todo el mundo para informar sobre la innovación en seguridad e identificar posibles amenazas. Algunos de estos programas son los siguientes:

Consejo de directores de seguridad de la información: para propiciar los comentarios estratégicos para las próximas innovaciones en seguridad y privacidad, organizamos reuniones periódicas de un consejo de directores de seguridad de la información, compuesto por una gran cantidad de CISO (directores de seguridad de la información) de diversos sectores de todo el mundo y dirigido por nuestro subdirector de informática Gary Sorrentino. Estos debates interactivos entre clientes CISO y representantes de nuestro equipo de seguridad ayudan a informar las medidas que tomamos para continuar desarrollando la seguridad y la privacidad de nuestra plataforma.

Mejora de nuestro programa de recompensa de errores: si bien el Equipo de Seguridad de Zoom prueba habitualmente nuestras soluciones e infraestructura, aumentamos estas pruebas. Para ello, recurrimos a la comunidad de hackers de «sombrero blanco» y creamos un equipo global de investigadores de seguridad especializados en todo el mundo a través de la plataforma «Private Bug Bounty» de HackerOne. Hasta enero de 2022, Zoom ha contratado a más de 800 investigadores de seguridad en la plataforma HackerOne. Su trabajo colectivo ha dado lugar a la presentación de una gran cantidad de informes de errores y premios.

Nuestra dedicación a estos estándares del Reino Unido, así como el desarrollo continuo de nuestros productos y programas, ayuda a demostrar nuestro compromiso con la protección de datos y la seguridad de los usuarios.

Nuestra experiencia de comunicaciones unificadas se construye teniendo en cuenta la seguridad, y la privacidad y seguridad de nuestros usuarios ayudan a determinar las nuevas actualizaciones que realizamos en la plataforma. Tenemos el compromiso de ser una plataforma en la que los usuarios puedan confiar para sus interacciones en línea, su información y sus negocios.

Para obtener más información acerca de la privacidad y la seguridad de Zoom, explore nuestro Trust Center.