Resumen de seguridad

Introducción

Los usuarios de Evernote nos confían miles de millones de notas, proyectos e ideas. Esa confianza esta basada en que nosotros guardamos de forma privada y segura estos datos . La información de esta página tiene por objeto proporcionar transparencia sobre cómo protegemos esos datos. Continuaremos ampliando y actualizando esta información a medida que añadimos nuevas funciones de seguridad y realizamos mejoras de seguridad en nuestros productos.

Programa de Seguridad

En Evernote existe un equipo dedicado a la seguridad. La función de nuestro equipo de seguridad consiste en proteger los datos que almacenas en nuestro servicio. Ejecutamos un programa de seguridad que incluye las siguientes áreas de interés: seguridad del producto, controles de infraestructura (física y lógica), políticas, sensibilización de los empleados, detección de intrusos y actividades de evaluación.

El equipo de seguridad internamente, ejecuta un programa de Respuesta a Incidentes y ofrece orientación a los empleados de Evernote sobre cómo notificar actividades sospechosas. Nuestro equipo de Respuesta a Incidentes, cuenta con procedimientos y herramientas para responder a los problemas de seguridad y continúa evaluando las nuevas tecnologías, con el fin de mejorar nuestra capacidad para detectar ataques contra nuestras infraestructuras, nuestros servicios y nuestros empleados.

Evaluamos periódicamente nuestra infraestructura y aplicaciones en busca de riesgos potenciales y corregimos aquellas que podrían afectar a la seguridad de los datos de los clientes. Nuestro equipo de seguridad, evalúa continuamente nuevas herramientas para aumentar la cobertura y la profundidad de estas evaluaciones.

Seguridad de la Red

Evernote define sus límites de la red utilizando una combinación de load balancers, firewalls y VPNs. Los utilizamos para controlar qué servicios exponemos a Internet y para segmentar nuestra red de producción, del resto de nuestra infraestructura informática. Limitamos quién tiene acceso a nuestra infraestructura de producción, basados en las necesidades empresariales y autentificamos de este acceso de manera rigurosa.

Protegemos nuestro servicio contra ataques de denegación de servicio distribuido (DDoS) utilizando un servicio de mitigación bajo demanda.

Seguridad de la Cuenta

Evernote nunca almacena tu contraseña en texto no cifrado. Cuando necesitamos almacenar la contraseña de tu cuenta de forma segura para autenticarte, utilizamos PBKDF2 (Password Based Key Derivation Function 2), con un valor único para cada credencial. Seleccionamos el número de iteraciones de hash de forma que se logre un equilibrio entre la experiencia del usuario y la complejidad de descodificar la contraseña.

Aunque no te solicitamos que configures una contraseña compleja, nuestro medidor de seguridad de contraseñas te sugerirá que elijas una más segura. Limitamos los intentos fallidos de inicio de sesión, en base a cada cuenta y a cada dirección IP para prevenir los ataques de que busquen adivinar tu contraseña.

Evernote ofrece la verificación de dos pasos (2SV), para todas las cuentas, también conocida como autenticación de dos factores. Nuestro mecanismo de verificación de dos pasos, se basa en un algoritmo de contraseña de un solo uso basado en el tiempo (TOTP). Todos los usuarios pueden generar códigos a nivel local, utilizando una aplicación en su dispositivo móvil, mientras que los usuarios de Evernote Business y Premium pueden optar por recibir los códigos como mensaje de texto.

Seguridad del correo electrónico

Evernote le ofrece una forma de crear notas en su cuenta enviando mensajes de correo electrónico, a una dirección de correo electrónico única de Evernote. Para protegerle de contenido malicioso, escaneamos todos los correos electrónicos que recibimos, utilizando un dispositivo comercial de escaneo antivirus.

Cuando recibas un correo electrónico de Evernote, queremos que tengas la seguridad de que realmente te lo enviamos nosotros. Publicamos y aplicamos una política DMARC, para que tengas la certeza de que el correo electrónico que recibes de Evernote, es legítimo. Cada correo electrónico que enviamos desde @evernote.com y @email.evernote.com estará criptográficamente firmado con DKIM y se originará desde una dirección IP que publicamos en nuestro registro SPF.

Seguridad del producto

Asegurar nuestro servicio web orientado a Internet, es de vital importancia para la protección de tus datos. Nuestro equipo de seguridad ejecuta un programa de seguridad de las aplicaciones, para mejorar el mantenimiento en la seguridad de los códigos y evaluar periódicamente nuestro servicio, en busca de problemas comunes de seguridad de las aplicaciones, incluyendo: CSRF, ataques de inyección (XSS, SQLi), gestión de las sesiones, redirección de la URL y clickjacking.

Nuestro servicio web autentica todas las aplicaciones de clientes terceros utilizando OAuth. OAuth ofrece un modo sencillo en el que tu puedes conectar una aplicación de terceros a tu cuenta, sin necesidad de proporcionar a esta nueva aplicación tus credenciales de inicio de sesión. Una vez te hayas autentificado con éxito en Evernote, nosotros enviamos un token de autenticación ese cliente, para que autentifique tu acceso a partir de ese momento. De esta forma una aplicación de terceros, nunca necesitará almacenar tu nombre de usuario y tu contraseña en tu dispositivo.

Cada aplicación de cliente que se comunica con nuestro servicio utiliza un thrift APIbien definido para todas las acciones. Al pasar todas las comunicaciones a través de esta API, podemos establecer los controles de autorización, como una construcción fundamental en la arquitectura de la aplicación. No hay acceso directo de los objetos al servicio, y el identificador de autenticación de cada cliente, se comprueba en cada acceso al servicio, para garantizar que el cliente está autenticado y autorizado para acceder a una nota o un libreta específica. Por favor, consulta dev.evernote.com para obtener más información.

Segregación de Clientes

El servicio de Evernote permite múltiples usuarios y no hacemos una segmentación de tus datos a partir de los datos de otros usuarios. Tus datos podrán estar en los mismos servidores que los datos de otro usuario. Consideramos que tus datos son privados y no permitimos que otro usuario acceda a ellos, a menos que tu los compartas de manera explicita con alguien más. Consulta el apartado sobre la Seguridad del Producto, para que puedas saber cómo aplicamos nuestro modelo de autorización, para acceder al contenido privado y compartido.

Destrucción de Datos

Evernote conserva tus contenidos, a menos que tu tomes medidas explícitas para eliminar notas y/o libretas. Desactivar una cuenta personal o revocar el acceso a una cuenta de Evernote Business no elimina automáticamente el contenido de ésta.

Para las notas y libretas personales, usted puede borrar su contenido eliminando todas las notas de una libreta y a continuación, borrando todas las notas que haya en su papelera. Eliminar una libreta traslada automáticamente todas las notas que están asociadas a esa libreta a su papelera. Cuando se elimina una nota, todas las referencias y conexiones a los datos de esa nota se eliminan de nuestras bases de datos.

Eliminación y Destrucción de Medios

Nunca reutilizamos medios de almacenamiento para su uso fuera de nuestro entorno de producción, si es que alguna vez se ha utilizado para almacenar los datos de usuario. Tenemos procedimientos para destruir de forma segura los medios de almacenamiento desmagnetizándolos y rompiéndolos físicamente antes de su eliminación. Se puede leer información adicional en nuestro blog.

Acceso a la Cuenta del Cliente

Al igual que la mayoría de los servicios en la nube, Evernote tiene una herramienta administrativa. Esta herramienta, permite a nuestros equipos de atención al cliente y de administración de la plataforma, resolver los problemas de los clientes. Limitamos el acceso a los datos del cliente dentro de esta herramienta de administración, basados en las necesidades de negocio y autenticamos firmemente este acceso.

Revisamos periódicamente el acceso de los empleados, a las cuentas de los clientes con el fin de identificar el abuso administrativo y minimizar las situaciones en las que podríamos necesitar acceder al contenido de la cuenta en el futuro.

Registro de Actividad

El servicio de Evernote mantiene un registro en el servidor de las interacciones de los clientes con nuestros servicios. Esto incluye el registro de acceso al servidor web, así como el registro de la actividad, de las acciones realizadas a través de nuestro API. Estos registros también incluyen eventos de inicio de sesión correctos e incorrectos. Debido a la naturaleza de nuestra arquitectura cliente / servidor, no podemos saber con certeza si se vio una nota sincronizada. Nosotros no guardamos automáticamente registros de actividad de nuestros clientes de software. En la sección Historial de Acceso en los Ajustes de tu cuenta, tu puedes ver el tiempo de acceso y las direcciones IP recientes, para cada aplicación que esté conectada a tu cuenta.

Encriptado del Transporte

Evernote utiliza encriptación estándar de la industria, para proteger tus datos en tránsito. Esto es comúnmente conocido, como la seguridad de la capa de transporte (“TLS”, por sus siglas en inglés), o tecnología de capa de conexión segura (“SSL”, por sus siglas en inglés). Adicionalmente, contamos con la Seguridad de transporte estricta HTTP (HSTS), para el servicio de Evernote (www.evernote.com). Contamos con una mezcla de cifras suites y protocolos TLS, para proporcionar un equilibrio de encriptado de alta seguridad, para los navegadores y clientes que lo soportan, y compatibilidad con versiones anteriores para clientes anteriores que lo necesitan. Tenemos la intención de seguir mejorando nuestra seguridad de transporte, para respaldar nuestro compromiso con la protección de tus datos.

Utilizamos STARTTLS tanto para el correo electrónico entrante, como para el saliente. Si tu proveedor de servicio de correo es compatible con TLS, tu correo electrónico será encriptado en tránsito, hacia y desde el servicio de Evernote.

Operamos dos centros de datos en los EE.UU. y transmitimos datos entre ellos, utilizando un enlace de red dedicado que no está conectado a Internet. Encriptamos todo el tráfico que fluye a través de este enlace, mediante el cifrado GCM-AES-128, a través del protocolo MACsec.

Texto cifrado dentro de una nota

Si estás utilizando un cliente de escritorio de Evernote, como Windows de escritorio y Evernote para Mac, puedes encriptar cualquier texto que haya dentro de una nota, para añadir un nivel de protección adicional a la información privada. Evernote utiliza AES (Advanced Encryption Standard), con una llave de 128 bits para encriptar el texto que tu selecciones.

Cuando tu encriptas textos, te pediremos una frase de contraseña. Utilizamos tu frase de contraseña, junto con un salt único y utilizamos PBKDF2 con 50.000 rondas de SHA-256, para derivar una llave AES de 128 bits. Utilizamos esta llave, junto con un vector de inicialización, para cifrar los datos en modo CBC (Cipher Block Chaining).

Nunca recibimos una copia de esta clave, o tu frase de contraseña y no utilizamos ningún mecanismo de almacenamiento para recuperar tus datos encriptados. Esto significa que si olvidas tu contraseña, nosotros no podremos recuperar tus datos.

Resilencia / Disponibilidad

Ejecutamos un sistema de tolerancia a fallos y una arquitectura de red, para garantizar que Evernote está allí cuando lo necesitas, donde quiera que estés. Esto incluye:

  • Conexiones a Internet redundantes y diversas.
  • Infraestructura de red redundante, incluyendo conmutadores, routers, equilibradores de carga y firewalls.
  • Arquitectura de sistema evolutivo, construida utilizando un gran número de fragmentos que funcionan de forma independiente, cada uno sirviendo a una pequeña parte de nuestra base de usuarios.
  • Fragmentos diseñados como pares de servidores redundantes, proporcionando funciones de reserva activa, en caso de que falle un solo servidor.
  • Servidores diseñados con alimentación redundante, hardware de red redundante y almacenamiento desplegado en una configuración RAID.

Nuestro proveedor de instalaciones, proporciona servicios de instalaciones con tolerancia a fallos incluyendo: energía, sistemas de calefacción y extinción de incendios.

Proporcionamos actualizaciones en vivo, e históricas del estado en línea aquí: https://twitter.com/evernotestatus y http://status.evernote.com.

Hacemos copias de seguridad de todo el contenido de los clientes al menos una vez al día y replicamos esas copias de seguridad en nuestro centro de copias de seguridad, por medio de enlaces privados en red. Este proceso garantiza que nos podemos recuperar de un fallo completo del sitio en nuestro centro de datos principal. No utilizamos soportes portátiles o extraíbles para las copias de seguridad.

Seguridad Física

Cuando sincronizas tus notas con nuestros servidores, se almacenan en una celda privada y cerrada en uno de nuestros centros de datos. Estos centros de datos, se atienden y vigilan las 24 horas, los 7 días de la semana y los 365 días del año. El acceso al centro de datos requiere como mínimo, dos factores de autenticación, y puede incluir datos biométricos como un tercer factor.

Cada uno de nuestros centros de datos ha sido objeto de una auditoría SOC-1 Tipo 2, lo que demuestra su capacidad de asegurar físicamente nuestra infraestructura. Únicamente el personal de operaciones y el personal de los centros de datos de Evernote, tienen acceso físico a esta infraestructura y nuestro equipo de operaciones recibe una alerta cada vez que alguien accede a nuestra celda, la cual incluye una grabación de video del evento.

Todos los datos de Evernote se encuentran dentro de los Estados Unidos. Nuestros centros de datos principales y de copias de seguridad están ubicados en la costa oeste, en diversas regiones geográficas.

Privacidad y Cumplimiento

Por favor, consulte nuestra Política de Privacidad para obtener información acerca de nuestro cumplimiento de Safe Habor. Nosotros no publicamos reportes sobre el Control del Servicio de Organización (SOC).