Resumen de seguridad
Introducción
Los usuarios de Evernote confían en nosotros con miles de millones de notas, proyectos e ideas. Esa confianza se basa en que mantenemos sus datos privados y seguros. Esta página tiene como objetivo ofrecer transparencia sobre cómo protegemos esos datos. Seguiremos ampliando y actualizando esta información a medida que añadamos nuevas capacidades de seguridad y realicemos mejoras en nuestros productos.
Programa de Seguridad
Evernote cuenta con un equipo dedicado a la seguridad, cuya misión es proteger los datos que los usuarios almacenan en nuestro servicio.
Este equipo colabora en el diseño de funciones seguras, supervisa y responde a alertas de seguridad y evalúa periódicamente nuestra infraestructura y aplicaciones para detectar vulnerabilidades. Nuestros ingenieros de seguridad analizan constantemente nuevas herramientas para ampliar la cobertura y profundidad de las evaluaciones y así mejorar la protección de los datos de nuestros usuarios.
Supervisamos nuestros sistemas e infraestructura en busca de actividades sospechosas o amenazas potenciales. Recibimos alertas de seguridad en tiempo real de diversas fuentes. Cada alerta se revisa de inmediato, y actuamos rápidamente para investigar, contener y remediar cualquier riesgo identificado.
Evernote ofrece un sólido programa de concienciación sobre seguridad dentro de los primeros 30 días para nuevos empleados, y de manera anual para todo el personal. También contamos con un conjunto de políticas de seguridad de la información que se entregan a todos los empleados al ser contratados.
Todas las cuentas de empleados están protegidas mediante autenticación de dos factores (2FA) o passkeys, obligatoriamente, para garantizar una protección sólida contra accesos no autorizados.
El acceso está limitado bajo el principio de mínimos privilegios: cada miembro del equipo solo tiene visibilidad sobre lo estrictamente necesario para su trabajo. Además, los accesos se conceden por tiempo limitado y están acotados al menor número de servicios necesarios. Los permisos se someten a revisiones internas frecuentes, aplicación técnica y monitoreo constante para garantizar el cumplimiento.
La seguridad de los dispositivos que acceden a sistemas sensibles también es prioritaria. Todos los dispositivos de empleados de Evernote están:
- Gestionados a través de Mobile Device Management (MDM), permitiendo aplicar políticas de seguridad, monitorear el cumplimiento y gestionar configuraciones.
- Protegidos con antivirus de nivel empresarial, que detectan y bloquean amenazas en tiempo real.
- Actualizados automáticamente, tanto a nivel de sistema operativo como de software.
Para anticiparnos a las amenazas emergentes, Evernote utiliza herramientas OSINT (inteligencia de código abierto) para monitorear Internet en busca de riesgos potenciales. Esta inteligencia de amenazas en tiempo real, combinada con alertas automatizadas y análisis manual, es clave en nuestra estrategia de defensa por capas.
Seguridad del Producto
Proteger nuestro servicio web orientado a Internet es fundamental para proteger los datos de nuestros usuarios. Nuestro equipo de seguridad impulsa un programa de seguridad de aplicaciones para mejorar la higiene del código y evalúa periódicamente nuestro servicio para detectar problemas comunes de seguridad en aplicaciones. Las evaluaciones se realizan mediante pruebas de penetración anuales ejecutadas por un proveedor externo y a través de un programa público de recompensas por errores (bug bounty) en HackerOne. Cualquier hallazgo como resultado de estas evaluaciones es rastreado para su remediación y abordado siguiendo un enfoque basado en el riesgo. Los informes de pruebas de penetración están disponibles a solicitud con un acuerdo de confidencialidad (NDA) apropiado.
Como parte de nuestro compromiso con el mantenimiento de los más altos estándares de seguridad, nos sometemos anualmente a la evaluación Google CASA (Cloud Application Security Assessment) de Nivel 2. Este es un marco de evaluación sólido desarrollado por Google, basado en el estándar reconocido por la industria OWASP Application Security Verification Standard (ASVS). Proporciona un conjunto completo y coherente de requisitos para fortalecer la seguridad de cualquier aplicación. La evaluación incluye pruebas avanzadas de seguridad, como pruebas dinámicas de seguridad de aplicaciones (DAST), lo que garantiza que nuestros sistemas sean evaluados de forma proactiva y reforzados continuamente contra amenazas potenciales.
Disponemos de alertas y controles configurados para evitar operaciones críticas o notificarnos cuando se ejecutan, y tenemos habilitados registros de auditoría para cualquier acción u operación realizada sobre recursos críticos de infraestructura, como bases de datos en producción.
Utilizamos un sistema seguro y centralizado para gestionar y controlar el acceso a los secretos de la aplicación. Los controles de acceso granulares y los registros de auditoría detallados ayudan a garantizar que los secretos solo sean accesibles para sistemas y empleados autorizados cuando sea necesario. Todos los secretos están cifrados tanto en reposo como en tránsito, con políticas estrictas de autenticación y autorización que rigen el acceso.
En Evernote, la seguridad está integrada en cada paso de nuestro proceso de desarrollo. Nuestro equipo de ingeniería de software revisa y prueba cuidadosamente todos los cambios de código para garantizar la estabilidad y la calidad, y las revisiones de código son obligatorias para cualquier implementación en producción. En las funcionalidades que afectan la seguridad, nuestro equipo de seguridad se involucra desde el principio, colaborando en las decisiones de diseño y llevando a cabo revisiones de código centradas en la seguridad. Las funcionalidades relevantes para la seguridad están cubiertas por pruebas de extremo a extremo para evitar la introducción de errores o fallos.
Para garantizar la seguridad de nuestra cadena de suministro de software, Evernote utiliza herramientas confiables de terceros para monitorear y detectar continuamente el uso de versiones vulnerables de dependencias. Estas herramientas escanean nuestra base de código para identificar problemas de seguridad conocidos en bibliotecas y frameworks de código abierto. Cuando se detecta una vulnerabilidad, se alerta de inmediato a nuestro equipo de ingeniería, lo que nos permite priorizar actualizaciones o medidas de mitigación según sea necesario.
Los entornos de pruebas, preproducción (staging) y producción están separados lógicamente. No se almacenan datos de usuarios en ningún entorno de desarrollo o prueba.
Nuestro servicio web autentica todas las aplicaciones cliente de terceros utilizando OAuth. OAuth proporciona una forma fluida para que los usuarios conecten una aplicación de terceros a su cuenta de Evernote sin necesidad de proporcionar las credenciales de inicio de sesión a dicha aplicación. Una vez que el usuario inicia sesión correctamente en Evernote, devolvemos un token de autenticación a la aplicación cliente para autenticar su acceso a partir de ese momento. Esto elimina la necesidad de que una aplicación de terceros almacene las credenciales de inicio de sesión de nuestros usuarios.
Cada aplicación cliente que se conecta a Evernote utiliza una API thrift bien definida para todas las acciones. Al canalizar todas las comunicaciones a través de esta API, podemos establecer comprobaciones de autorización como parte fundamental de la arquitectura de la aplicación. No existe acceso directo a objetos dentro del servicio, y el token de cada cliente se verifica en cada acceso para asegurar que el cliente esté autenticado y autorizado para acceder a una nota o libreta en particular. Consulta nuestra documentación para desarrolladores para obtener más información.
Seguridad de Red
El servicio de Evernote está completamente alojado en Google Cloud Platform (GCP). Definimos los límites de red usando balanceadores de carga, firewalls y VPNs para separar el entorno de producción del resto de nuestra infraestructura. Utilizamos estos mecanismos para controlar qué servicios exponemos a Internet y para segmentar nuestra red de producción del resto de nuestra infraestructura informática. Limitamos quién tiene acceso a nuestra infraestructura de producción en función de las necesidades del negocio y autenticamos dicho acceso de manera estricta.
Todos los recursos de infraestructura, incluidos aquellos relacionados con la red, son rastreables y definidos mediante Terraform, nuestra herramienta elegida para implementar el enfoque de infraestructura como código (Infrastructure-as-Code).
Evernote utiliza múltiples estrategias y herramientas de protección contra ataques DDoS, organizadas en capas, para mitigar amenazas de este tipo. Empleamos la CDN avanzada de Fastly, que incluye protección DDoS incorporada, así como herramientas nativas de GCP y técnicas de mitigación específicas para aplicaciones. Monitorizamos y bloqueamos los tipos de ataques más comunes en el perímetro, con el objetivo de impedir que el tráfico malicioso llegue a nuestros servidores.
Seguridad de la Cuenta
Nunca almacenamos contraseñas en texto plano. En su lugar, almacenamos un hash criptográfico seguro para protegerlas incluso en caso de una filtración de datos.
Bloqueamos el uso de contraseñas fácilmente adivinables o expuestas, como las listadas en bases de datos públicas tipo Have I Been Pwned. Si se detecta una contraseña débil o comprometida, se pide al usuario que la restablezca.
Nuestros puntos de acceso de login están protegidos con CAPTCHA, añadiendo una capa extra contra ataques automatizados.
Evernote ofrece verificación en dos pasos (2SV) para todas las cuentas, usando códigos TOTP generados por aplicaciones móviles.
Seguridad del Correo Electrónico
Los usuarios pueden crear notas enviando correos a su dirección única de Evernote. Todos los correos se escanean con un motor antivirus comercial.
Para garantizar la legitimidad de los correos que enviamos, aplicamos una política DMARC estricta. Todos nuestros correos enviados desde los siguientes dominios estan criptográficamente firmados con DKIM, y originan de direcciones IP publicadas en nuestro registro SPF:
@evernote.com
@account.evernote.com
@accounts.evernote.com
@comms.evernote.com
@mail.privacy.bendingspoons.com
@mail.evernote.com
@mail-svc.evernote.com
@messages.evernote.com
@notifications.evernote.com
@nsvc.evernote.com
Separación de Clientes
Evernote es una plataforma multiusuario (multi-tenant). Aunque los datos no se segmentan físicamente, se consideran totalmente privados. Ningún otro usuario puede acceder a tus datos a menos que tú lo compartas explícitamente.
Eliminación de Medios
Usamos varias formas de almacenamiento en GCP (discos locales, persistentes, buckets). Nos basamos en el proceso de borrado criptográfico de Google para asegurarnos de que los datos no queden expuestos al reutilizar medios de almacenamiento.
Registro de Actividades
Evernote registra en el servidor las interacciones de los clientes con nuestros servicios, como accesos web y acciones vía API. Los usuarios pueden ver los últimos accesos e IPs conectadas en el apartado Historial de acceso de la configuración de su cuenta.
Cifrado en Tránsito
Usamos HTTPS con TLS para cifrar todos los datos en tránsito. El cifrado lo gestiona Fastly (CDN) y Google Cloud. También admitimos STARTTLS para correos entrantes y salientes, siempre que el proveedor de correo lo soporte.
Cifrado en Reposo
Evernote utiliza la infraestructura de Google Cloud para el alojamiento de sus centros de datos. Los datos de los usuarios que almacenamos en la plataforma Google Cloud están protegidos mediante las funciones integradas de cifrado en reposo de Google. Más técnicamente, utilizamos la función de cifrado en el servidor de Google con claves de cifrado gestionadas por Google para cifrar todos los datos en reposo usando AES-256, de forma transparente y automática. Es posible encontrar información adicional sobre cómo el cifrado en reposo protege los datos en la documentación de Google Cloud.
Resiliencia / Disponibilidad
Evernote está desplegado en una infraestructura de nube pública. Los servicios están distribuidos en múltiples zonas para garantizar la disponibilidad y están configurados para escalar dinámicamente en respuesta a la carga medida y esperada. Operamos con una arquitectura tolerante a fallos para asegurar que Evernote esté siempre disponible cuando los usuarios lo necesiten.
En caso de una interrupción importante en una región, Evernote tiene la capacidad de desplegarse en una nueva región de alojamiento. Contamos con monitorización dedicada para detectar tiempos de inactividad e intervenir rápidamente ante cualquier tipo de incidente.
Nuestro proveedor de infraestructura en la nube ofrece servicios de instalaciones tolerantes a fallos, que incluyen energía eléctrica, sistemas HVAC (calefacción, ventilación y aire acondicionado), y supresión de incendios.
Proporcionamos actualizaciones en tiempo real e históricas sobre la disponibilidad de nuestro servicio en nuestra página de estado del servicio.
Realizamos copias de seguridad regularmente del contenido de todos los usuarios. No utilizamos medios portátiles ni extraíbles para realizar las copias de seguridad.
Seguridad Física
Utilizamos la infraestructura de Google Cloud Platform, que tiene múltiples certificaciones de seguridad física. Puedes leer más en su página oficial de seguridad.
Seguridad de Terceros
Evernote evalúa exhaustivamente a todos sus proveedores antes de trabajar con ellos. Si no cumplen con nuestros estándares de seguridad, no se contratan.
Privacidad y Cumplimiento
Todos los datos de Evernote residen en los Estados Unidos. Puedes consultar nuestro Centro de Privacidad para más información.