Seguridad

Boréalis ofrece servicios de alojamiento (hosting) diseñados y utilizados por muchas grandes organizaciones. Boréalis emplea los más altos estándares de la industria en seguridad empresarial para mantener la confidencialidad, integridad y disponibilidad de la información de nuestros clientes. Nuestras prácticas de evaluación de riesgos se alinean con los procesos estándares de software y con la industria TI. Nuestra solución TI está hospedada en espacios dedicados en centros de datos de alto nivel manteniendo las certificaciones estándar de la industria. De esta manera se garantiza que nuestra aplicación cumpla con rigurosos requisitos de seguridad. Asímismo, se realizan regularmente auditorías externas de seguridad de nuestros productos e infraestructura.

Certificación ISO 27001

¿Qué es la certificación ISO 27001?
ISO 27001 es una norma reconocida internacionalmente que ayuda a las organizaciones a gestionar la seguridad de la información para que sus activos de información sean más seguros.

Para obtener la certificación, una organización debe desarrollar y aplicar un estricto programa de seguridad, evaluar periódicamente los riesgos, amenazas y vulnerabilidades de la seguridad de la información, y establecer que sus programas de seguridad se ajustan a las mejores prácticas del sector.

Tras superar con éxito una auditoría realizada por un tercero independiente, la organización puede ser certificada por un registrador acreditado.

Security has always been and always will be at the core of our product. The fact that more and more Fortune 500 companies are choosing our solution is proof of our product’s quality and security.

– Patrick Grégoire, Presidente, Borealis

Seguridad del centro de datos

Los servidores de producción Boréalis están alojados en Canadá en un centro de datos TIER III (Clasificación del Uptime Institute). El sistema posee la certificación ISO 27001: 2005, así como el cumplimiento de las auditorías SOC 1 Tipo II (SSAE 16 e ISAE 3402) y SOC 2 Tipo II. El centro de datos está equipado con una sólida seguridad física que incluye biometría, acceso con tarjeta inteligente y seguridad lógica incluyendo cortafuegos (firewall), detección de intrusos, videovigilancia, así como la prevención y la protección contra ataques de denegación del servicio. La alimentación, el sistema de enfriamiento y las redes son totalmente redundantes y han sido construídos para un mínimo de redundancia N+1.

Funcionalidades de seguridad del producto

Solamente los administradores de la aplicación están autorizados a crear usuarios y atribuir reglas de seguridad de datos. El control de acceso está basado en una jerarquía de roles. Los datos pueden ser segregados por grupos de usuarios. Todos los accesos están regidos por estrictas políticas de seguridad de contraseñas cuya complejidad puede ser configurada. Todas las actividades realizadas dentro de la aplicación están conectadas con los registros de auditoría.

Aplicación de niveles de seguridad

La aplicación Boréalis provee una serie de mecanismos de aplicación de niveles de seguridad que permite ajustar la implementación para satisfacer requisitos específicos. Los patrones de arquitectura de software son seleccionados estratégicamente basándose en la confidencialidad, integridad y disponibilidad de la información. Estos patrones incluyen la segregación de datos de seguridad en niveles consecutivos, lista control de acceso basada en funciones, registro de auditoría y gestión de registros.

Copia de seguridad (Backup)

Copias completas de seguridad de servidores virtuales son almacenadas diariamente fuera de las instalaciones en una ubicación física remota (a distancia). Las copias son conservadas de acuerdo a la política siguiente : copias diarias durante 14 días, copias mensuales durante 12 meses y copia anual por un año. Todos los datos son encriptados

WCAG

Borealis ha implementado características para cumplir con las Pautas de Accesibilidad al Contenido en la Web (WCAG), Nivel AA, incluyendo: atajos de teclado, un tema de alto contraste, modo oscuro y compatibilidad con lectores de pantalla.

Seguridad de la red

La red de Borealis está protegida por cortafuegos redundantes de clase empresarial y de un Sistema de detección de intrusos (SDI) que monitorea el tráfico de la red para bloquear un amplio rango de exploits y vulnerabilidades, conocidos y desconocidos, y para proteger la red contra los ataques DoS/DDoS.

Monitoreo y Gestión de Vulnerabilidad

Borealis trabaja con especialistas de seguridad externos y emplea soluciones de seguridad de clase empresarial para detectar y corregir las vulnerabilidades en la infraestructura de TI y en la aplicación web.

Borealis utiliza sistemas de gestión de vulnerabilidades para proteger continuamente la infraestructura TI contra las últimas amenazas de Internet. A través de una aplicación web de rastreo monitoreamos nuestra solución TI para identificar los 10 más altos riesgos de la OWASP incluyendo la inyección SQL, el filtro de scripts de sitios (XSS), la falsificación de petición en sitios cruzados (CSRF pour sus siglas en inglés) y la redirección URL.

Todas las aplicaciones web, redes y hardware son supervisados constantemente tanto por Borealis como por los proveedores de coubicación gestionada.

Acceso a la administración del sistema y Soporte global

El equipo de operaciones y soporte de Borealis monitorea nuestra infraestructura 24×7 desde Canadá y Australia. Nuestra política de control de acceso cumple con los estándares de la industria TI. El control de acceso es reforzado mediante políticas para controlar el registro de usuarios, otorgar el correcto nivel de privilegio de acceso, controlar el uso de contraseñas, cambiar y eliminar las contraseñas, revisar los derechos de acceso y controlar el acceso a los servicios de la red. Nuestro equipo de soporte mantiene un registro de todas las aplicaciones alojadas con el objetivo de realizar el mantenimiento y el soporte. El acceso a las aplicaciones y a los datos se realiza únicamente con el propósito de supervisar el estado y desempeño del sistema o el mantenimiento de la aplicación y a petición del cliente mediante una solicitud a través de nuestro sistema de soporte. Solamente los empleados autorizados de Boréalis y que son calificados en seguridad tienen acceso al sistema usando la autentificación de factor 2. Los clientes son responsables del mantenimiento de la seguridad de su propia información de acceso.

Seguridad de almacenamiento

Todos los datos almacenados en los servidores de Borealis se cifran en reposo mediante un protocolo SSL de alta calidad que utiliza AES-XTS, un protocolo acriptográfico diseñado para garantizar la seguridad del almacenamiento de datos en reposo. Las claves de cifrado se almacenan de forma segura.

Transmisión y Seguridad de la sesión

Múltiples conexiones troncales de Internet proveen redundancia de ruta y conectividad de alto rendimiento. Todas las comunicaciones hechas con los servidores Borealis son encriptadas usando un SSL de alta calidad con AES de 256 bits, un protocolo criptográfico diseñado para proveer seguridad de las comunicaciones a través de Internet. Las claves encriptadas son almacenadas de manera segura. Las sesiones de usuarios individuales son identificadas y nuevamente verificadas en cada transacción, usando un único componente léxico (token) creado al iniciar la sesión.

Recuperación en caso de desastre

Boréalis utiliza múltiples centros de datos para alojar sus aplicaciones y datos, proporcionando la redundancia indispensable. Todos los centros de datos emplean seguridad física, estrictas políticas de acceso, así como bóvedas y cajas de seguridad. La aplicación Boréalis realiza la replicación de datos casi en tiempo real entre el centro de procesamiento de datos y el centro de recuperación en caso de desastre. Se realizan diariamente pruebas de recuperación de datos de tipo « hot site », y un diagnóstico completo de recuperación en caso de desastre es hecho trimestralmente para verificar nuestro tiempo estimado de recuperación y la integridad de los datos de los clientes.

Q&A How Borealis
Manages data security

Authentication

What type of user authentication is the Borealis application using and which identity federation providers can be integrated with the solution?

The Borealis application enables users to authenticate through single sign-on (SSO) using SAML 2.0. Our solution supports integration with all identity federation providers such as Okta and Microsoft ADFS.

What are the requirements for a strong password under Borealis' password policy?

We enforce the use of strong passwords for all users through our password policy. Strong passwords must consist of at least fifthteen characters, a combination of upper and lowercase letters, and include numbers.

What security protocols are enforced for privileged accounts on the organization's production platform?

All privileged accounts to the organization’s production platform are enforced with Multi-Factor Authentication and a password of minimum 14 characters.

Customer data

How does Borealis protect production data and prevent the use of customer data outside of the production network?

Borealis confirms that data from production is never copied or utilized in non-production environments. Additionally, customer data is never employed outside of the production network.

Client data

What measures are in place to ensure that access to production data is limited to authorized users only?

Our production and development environments are fully isolated, ensuring that access to production data is only granted to authorized personnel.

What measures are in place to ensure the security of logs in the Security Information and Event Management (SIEM) system utilized by your organization?

We use a SIEM tool called Graylog that only a few authorized users can access through a two-factor VPN connection. Graylog records all actions taken by users and our web application. This access is read-only to prevent tampering with the logs.

Multi-Factor Authentication

Does the Borealis application support 2FA?

The Borealis application supports 2FA and can be configured by users directly in the Borealis web interface.

Cloud computing

In which data centers are your servers located, and which cloud provider is hosting them?

Our servers are in Amazon Web Services datacenters in Canada (Montreal), Europe (France) and Australia (Sydney).

Data backup and restoration

What is the backup retention policy and how often does the company perform restoration tests?

Our backup policy entails keeping the five most recent backups in addition to retaining the most recent backup from the last seven days, four weeks, twelve months, and one year. We also conduct restoration tests at least twice a year.

What are the methods Borealis uses to recover data in case of an outage and what are the respective Recovery Point Objective (RPO) and Recovery Time Objective (RTO) for each method?

We have two different methods for recovering data in the event of an outage:

Recovering from a hot standby server, which has a Recovery Point Objective (RPO) of less than one minute, and a Recovery Time Objective (RTO) of less than one hour.
Recovering from a backup, which has an RPO of less than 24 hours, and an RTO of less than one hour.

These procedures ensure that our systems are up and running as quickly as possible in the event of an unexpected interruption.

Availability

What is the rate of Borealis' Online Service availability?

Borealis must maintain a 99.5% Online Service availability rate, calculated monthly using (Total – Downtime) / Total * 100 ≥ Availability Target. «Total» refers to calendar month minutes minus excluded downtime, while «Downtime» refers to non-excluded duration, including planned and uncontrollable events.

You can access more details regarding the service availability in our MSA’s «Availability» section: https://www.boreal-is.com/data/cdn/media/Borealis-Master-Subscription-Agreement.pdf

Vulnerability Management

What is the process, scope, and frequency of the penetration testing systems your organization uses to identify potential security vulnerabilities?

Every year, we conduct a penetration test through an external firm.

Additionally, we conduct an automated vulnerability scan and a Web Application Scan every week using the Qualys platform.

What measures are taken to ensure code quality and security of the external libraries used in the code?

We utilize Eslint to check the code and also perform a vulnerability check of our external libraries with yarn audit. Additionally, each line of code modified in our repositories undergoes verification by a second senior developer.

What tools does your organization utilize to identify when patches and critical updates are required for your systems?

Critical updates are installed as soon as possible, usually on the same day they become available. To identify when patches are required, we use our Microsoft Defender Vulnerability Management dashboard in conjunction with CheckMK (which is based on Nagios).

What measures has your organization taken to protect against malicious activities in your servers and workstations?

Our organization has installed Microsoft Defender antivirus, which includes the Microsoft Intune endpoint protection feature, on all servers and workstations. In the event of any suspicious activity, our sysadmin team receives an alert.

Information Access

How frequently is access to information assets reviewed in your organization?

Access to information assets in our organization is reviewed annually and when changes in employee status occur, such as joining, relocating, or leaving. Physical and logical access is granted only to authorized personnel, and access is promptly removed upon an employee’s departure.

How does your organization enforce access control for its production and internal systems?

Access to both our production systems and internal systems is protected by two-factor authentication via the VPN.

Server Monitoring and Management

How does your organization monitor the performance of its servers?

We utilize CheckMk (Nagios) and Amazon CloudWatch to monitor the performance of all our servers in real-time, with over a hundred checks performed per server on CheckMk.

Information Security Governance and Compliance

What process does your organization follow to maintain compliance with information security policies?

We utilize OneTrust to maintain compliance by updating and obtaining approval for our information security policies. These updates are carried out at a minimum of once a year as required by TugBoat Logic.

What measures does your organization take to ensure the confidentiality of its sensitive information?

All of our employees sign confidentiality agreements, which are legally binding contracts that prevent them from disclosing any sensitive information about the company or its clients.

Information Security Training

How does Borealis ensure its employees, consultants, and contractors are up-to-date with their security responsibilities and knowledge?

Borealis mandates regular security training for all its employees, consultants, and contractors through the Terranova platform. Users must take interactive courses every 4 months to improve their understanding of security responsibilities. Moreover, we conduct 1-2 phishing simulation campaigns per year.

Employee Screening and Background Checks

What is the background check policy for new and existing employees at your organization?

When hiring new employees, our human resources team conducts a background check. Additionally, they also conduct another check every three years for all existing employees.

Incidents

Has the Borealis platform encountered any security breaches or incidents of compromised credentials?

To date, Borealis has not encountered any security breaches or incidents of stolen or compromised credentials associated with our platform. The safety and security of our customers’ data remains a top priority for us.

Encryption

What security measures are in place for the encryption of data in transit?

Data in transit is secured through the utilization of encryption with TLS 1.2 or higher.