Resumen de seguridad

Actualización: Abril de 2017 - Novedades >>

Introducción

Los usuarios de Evernote nos confían miles de millones de notas, proyectos e ideas. Esa confianza esta basada en que nosotros guardamos de forma privada y segura estos datos . La información de esta página tiene por objeto proporcionar transparencia sobre cómo protegemos esos datos. Continuaremos ampliando y actualizando esta información a medida que añadimos nuevas funciones de seguridad y realizamos mejoras de seguridad en nuestros productos.

Programa de Seguridad

En Evernote existe un equipo dedicado a la seguridad. La función de nuestro equipo de seguridad consiste en proteger los datos que almacenas en nuestro servicio. Ejecutamos un programa de seguridad que incluye las siguientes áreas de interés: seguridad del producto, controles de infraestructura (física y lógica), políticas, sensibilización de los empleados, detección de intrusos y actividades de evaluación.

El equipo de seguridad ejecuta un programa de Respuesta a Incidentes (““IR””) interno y ofrece orientación a los empleados de Evernote sobre cómo notificar actividades sospechosas. Nuestro equipo de IR cuenta con procedimientos y herramientas para responder a los problemas de seguridad y continúa evaluando las nuevas tecnologías con el fin de mejorar nuestra capacidad para detectar ataques contra nuestras infraestructuras, servicios y empleados.

Evaluamos periódicamente nuestra infraestructura y aplicaciones en busca de riesgos potenciales y corregimos aquellas que podrían afectar a la seguridad de los datos de los clientes. Nuestro equipo de seguridad, evalúa continuamente nuevas herramientas para aumentar la cobertura y la profundidad de estas evaluaciones.

Seguridad de la Red

Evernote define sus límites de la red utilizando una combinación de load balancers, firewalls y VPNs. Los utilizamos para controlar qué servicios exponemos a Internet y para segmentar nuestra red de producción, del resto de nuestra infraestructura informática. Limitamos quién tiene acceso a nuestra infraestructura de producción, basados en las necesidades empresariales y autentificamos de este acceso de manera rigurosa.

Seguridad de la Cuenta

Evernote nunca almacena tu contraseña en texto no cifrado. Cuando necesitamos almacenar la contraseña de tu cuenta de forma segura para autenticarte, utilizamos PBKDF2 (Password Based Key Derivation Function 2), con un valor único para cada credencial. Seleccionamos el número de iteraciones de hash de forma que se logre un equilibrio entre la experiencia del usuario y la complejidad de descodificar la contraseña.

Aunque no te solicitamos que configures una contraseña compleja, nuestro medidor de seguridad de contraseñas te sugerirá que elijas una más segura. Limitamos los intentos fallidos de inicio de sesión, en base a cada cuenta y a cada dirección IP para prevenir los ataques de que busquen adivinar tu contraseña.

Evernote ofrece para todas las cuentas la verificación de dos pasos (“2SV”), también conocida como autenticación de dos factores, o autenticación multi-factor. Nuestro mecanismo 2SV se basa en un algoritmo de contraseña de un solo uso con un control temporal (TOTP). Todos los usuarios pueden generar códigos a localmente utilizando una aplicación en su dispositivo móvil, o pueden optar por recibir los códigos como mensaje de texto.

Seguridad del correo electrónico

Evernote le ofrece una forma de crear notas en su cuenta enviando mensajes de correo electrónico, a una dirección de correo electrónico única de Evernote. Para protegerle de contenido malicioso, escaneamos todos los correos electrónicos que recibimos, utilizando un dispositivo comercial de escaneo antivirus.

Cuando recibas un correo electrónico de Evernote, queremos que tengas la seguridad de que realmente lo hemos enviado nosotros. Publicamos una política DMARC para que tengas la certeza de que los correos electrónicos que recibes de Evernote son legítimos. Cada correo electrónico que enviamos desde los siguientes dominios estará criptográficamente firmado con DKIM y estará originado desde una dirección IP que publicamos en nuestro registro SPF.

Evernote:

  • @evernote.com
  • @emails.evernote.com

Yinxiang Biji:

  • @yinxiang.com
  • @emails.yinxiang.com 

Seguridad del producto

Asegurar nuestro servicio web orientado a Internet, es de vital importancia para la protección de tus datos. Nuestro equipo de seguridad ejecuta un programa de seguridad de las aplicaciones, para mejorar el mantenimiento en la seguridad de los códigos y evaluar periódicamente nuestro servicio, en busca de problemas comunes de seguridad de las aplicaciones, incluyendo: CSRF, ataques de inyección (XSS, SQLi), gestión de las sesiones, redirección de la URL y clickjacking.

Nuestro servicio web autentica todas las aplicaciones de clientes terceros utilizando OAuth. OAuth ofrece un modo sencillo en el que tu puedes conectar una aplicación de terceros a tu cuenta, sin necesidad de proporcionar a esta nueva aplicación tus credenciales de inicio de sesión. Una vez te hayas autentificado con éxito en Evernote, nosotros enviamos un token de autenticación ese cliente, para que autentifique tu acceso a partir de ese momento. De esta forma una aplicación de terceros, nunca necesitará almacenar tu nombre de usuario y tu contraseña en tu dispositivo.

Cada aplicación de cliente que se comunica con nuestro servicio utiliza un thrift API bien definido para todas las acciones. Al pasar todas las comunicaciones a través de esta API, podemos establecer los controles de autorización, como una construcción fundamental en la arquitectura de la aplicación. No hay acceso directo de los objetos al servicio, y el identificador de autenticación de cada cliente, se comprueba en cada acceso al servicio, para garantizar que el cliente está autenticado y autorizado para acceder a una nota o un libreta específica. Por favor, consulta dev.evernote.com para obtener más información.

Segregación de Clientes

El servicio de Evernote permite múltiples usuarios y no hacemos una segmentación de tus datos a partir de los datos de otros usuarios. Tus datos podrán estar en los mismos servidores que los datos de otro usuario. Consideramos que tus datos son privados y no permitimos que otro usuario acceda a ellos, a menos que tu los compartas de manera explicita con alguien más.

Almacenamiento y eliminación de datos

Evernote almacena tus contenidos a menos que tomes medidas explícitas para eliminar notas y/o libretas. Para obtener información sobre cómo eliminar tus notas, por favor consulta este artículo del centro de asistencia. Para obtener más información sobre nuestras políticas de almacenamiento, consulta la sección IV de nuestra política de privacidad, titulada "Eliminación de la Información".

Eliminación y Destrucción de Medios

Eliminamos o destruimos de forma segura todos los medios de almacenamiento, si es que alguna vez se ha utilizado para almacenar los datos de usuario. Seguimos la guía del NIST de la publicación especial 800-88 para cumplir esta función. Para ver un ejemplo de cómo destruimos de forma segura los discos duros rotos, échale un vistazo a este artículo del blog.

Utilizamos una serie de opciones de almacenamiento en Google Cloud Platform (“GCP“) que incluyen discos locales, discos constantes y Google Cloud Storage buckets. Aprovechamos los procesos de borrado criptográfico de Google para garantizar que la reutilización del almacenamiento no resulte en la exposición de datos privados de los clientes.

Registro de Actividad

El servicio de Evernote mantiene un registro de las interacciones de los clientes con nuestros servicios en el servidor. Esto incluye el registro de acceso al servidor web, así como el registro de la actividad, de las acciones realizadas a través de nuestro API. También recopilamos los datos de los eventos de las aplicaciones de nuestros clientes. En la sección Historial de Acceso en los Ajustes de tu cuenta, tu puedes ver el tiempo de acceso y las direcciones IP recientes, para cada aplicación que esté conectada a tu cuenta.

Encriptado del Transporte

Evernote utiliza encriptación estándar de la industria para proteger sus datos en tránsito. Esto se conoce comúnmente como la seguridad de la capa de transporte (“TLS” por sus siglas en inglés) o tecnología de capa de conexión segura (“SSL”, por sus siglas en inglés). Adicionalmente, contamos con la Seguridad de transporte HTTP estricta (“HSTS”) para el servicio de Evernote (www.evernote.com). Contamos con una combinación de cifras suites y protocolos TLS para proporcionar un equilibrio de encriptado de alta seguridad para los navegadores y clientes que lo soportan, y compatibilidad con versiones anteriores para clientes que lo necesitan. Planeamos seguir mejorando nuestra posición sobre la seguridad de transporte para respaldar nuestro compromiso de la protección de tus datos.

Utilizamos STARTTLS tanto para el correo electrónico entrante, como para el saliente. Si tu proveedor de servicio de correo es compatible con TLS, tu correo electrónico será encriptado en tránsito, hacia y desde el servicio de Evernote.

Protegemos todos los datos de los clientes que fluyen entre nuestro centro de datos y el Google Cloud Platform utilizando IPSEC con el cifrado GCM-AES-128 o TLS.

Encriptado en Reposo

A finales del 2016, empezamos a migrar el servicio Evernote a Google Cloud Platform (“GCP”). Los datos de los clientes que almacenamos en GCP estarán protegidos utilizando las funciones de cifrado en reposo incorporadas de Google. Desde un punto de vista técnico, utilizamos la función de cifrado del servidor de Google con claves de cifrado gestionadas por Google para cifrar todos los datos en reposo utilizando AES-256, de forma transparente y automática. Puedes encontrar más información sobre cómo el cifrado en reposo protege tus datos aquí.

Resilencia / Disponibilidad

Ejecutamos una arquitectura de tolerancia a fallos para garantizar que Evernote esté allí cuando lo necesites.

Tanto en nuestros centros de datos físicos como en nuestra infraestructura de nube, esto incluye:

  • Conexiones a Internet redundantes y diversas
  • Infraestructura de red redundante incluyendo conmutadores, routers y firewalls.
  • Equilibradores de carga de aplicaciones redundantes
  • Servidores redundantes e instancias virtuales
  • Almacenamiento subyacente redundante

Tanto Google como nuestro vendedor de colocación proporcionan servicios instalaciones con tolerancia a fallos que incluyen: energía, sistemas de calefacción, refrigeración y ventilación, y extinción de incendios.

Proporcionamos actualizaciones en vivo, e históricas de la disponibilidad de nuestro servicio en línea aquí: https://twitter.com/evernotestatus y http://status.evernote.com.

Hacemos copias de seguridad de todo el contenido de nuestross clientes al menos una vez al día. No utilizamos soportes portátiles o extraíbles para las copias de seguridad.

Seguridad Física

El servicio de Evernote opera utilizando una combinación de servicios en la nube y centros de datos físicos. 

Para nuestros centros de datos, aseguramos nuestra infraestructura en un sitio protegido que incluye monitoreo constante los 7 días de las semana y durante los 365 días del año. Acceder a estos centros de datos requiere un mínimo de dos factores de autentificación, pero puede incluir biométrica como un tercer factor. Cada uno de nuestros centros de datos ha sido objeto de una auditoría SOC-1 Tipo 2, lo que demuestra su capacidad de asegurar físicamente nuestra infraestructura. Únicamente el personal de operaciones y el personal de los centros de datos de Evernote, tienen acceso físico a esta infraestructura y nuestro equipo de operaciones recibe una alerta cada vez que alguien accede a nuestro sitio, la cual incluye una grabación de video del evento.

Para nuestros servicios en la nube, utilizamos Google Cloud Platform. Google ha realizado varias certificaciones que confirman su capacidad para proteger físicamente los datos de Evernote. Puedes leer más sobre la seguridad de Google Cloud Platform aquí.

Todos los datos de Evernote se encuentran dentro de los Estados Unidos.

Privacidad y Cumplimiento

Por favor, consulta nuestra política de privacidad para obtener información acerca de nuestro cumplimiento de puerto seguro. Nosotros no publicamos un informe del Control del Servicio de Organización (“SOC”).