Descripción general sobre la seguridad

Introducción

Los usuarios de Evernote nos confían miles de millones de notas, proyectos e ideas. Esa confianza se basa en que guardamos esos datos de forma privada y segura. La información de esta página tiene por objeto proporcionar transparencia sobre cómo protegemos esos datos. Vamos a continuar ampliando y actualizando esta información a medida que añadimos nuevas funciones de seguridad y realizamos mejoras de seguridad en nuestros productos.

Programa de Seguridad

En Evernote existe un equipo dedicado a la seguridad. El código de nuestro equipo de seguridad consiste en proteger los datos que usted almacena en nuestro servicio. Ejecutamos un programa de seguridad que incluye las siguientes áreas de interés: seguridad del producto, controles de infraestructura (física y lógica), políticas, concienciación de los empleados, detección de intrusos y actividades de evaluación.

El equipo de seguridad ejecuta un programa de Respuesta a Incidentes (IR) interno y ofrece orientación a los empleados de Evernote sobre cómo notificar actividades sospechosas. Nuestro equipo de IR cuenta con procedimientos y herramientas para responder a los problemas de seguridad y continúa evaluando las nuevas tecnologías con el fin de mejorar nuestra capacidad para detectar ataques contra nuestras infraestructuras, servicios y empleados.

Evaluamos periódicamente nuestra infraestructura y aplicaciones en busca de vulnerabilidades y corregimos aquellas que podrían afectar a la seguridad de los datos del cliente. Nuestro equipo de seguridad evalúa continuamente nuevas herramientas para aumentar la cobertura y la profundidad de estas evaluaciones.

Seguridad de Red

Evernote define sus límites de la red utilizando una combinación de equilibradores de carga, cortafuegos y VPNs. Los utilizamos para controlar qué servicios exponemos a Internet y para segmentar nuestra red de producción del resto de nuestra infraestructura informática. Limitamos quién tiene acceso a nuestra infraestructura de producción en base a la necesidad empresarial y autenticamos firmemente ese acceso.

Protegemos nuestro servicio contra ataques de denegación de servicio distribuido (DDoS) utilizando un servicio de mitigación bajo demanda.

Seguridad de la Cuenta

Evernote nunca almacena su contraseña en texto plano. Cuando necesitamos almacenar la contraseña de su cuenta de forma segura para autenticarle, utilizamos PBKDF2 (Función de derivación de clave basada en contraseña 2) con valor único para cada credencial. Seleccionamos el número de iteraciones de hash de forma que se logre un equilibrio entre la experiencia del usuario y la complejidad de descodificar la contraseña.

Aunque no le solicitamos que configure una contraseña compleja, nuestro medidor de seguridad de contraseñas le sugerirá que elija una segura. Limitamos los intentos fallidos de inicio de sesión en base a cada cuenta y a cada dirección IP para prevenir los ataques de predicción de contraseña.

Evernote ofrece la verificación de dos pasos (2SV), también conocida como autenticación de dos factores, para todas las cuentas. Nuestro mecanismo de verificación de dos pasos se basa en un algoritmo de contraseña de un solo uso basadas en la hora actual (TOTP). Todos los usuarios pueden generar códigos a nivel local utilizando una aplicación en su dispositivo móvil mientras que los usuarios de Evernote Business y Premium pueden optar por recibir los códigos como mensaje de texto.

Seguridad del Correo Electrónico

Evernote le ofrece una forma de crear notas en su cuenta enviando mensajes de correo electrónico a una dirección de correo electrónico única de Evernote. Para protegerle de contenido malicioso, escaneamos todos los correos electrónicos que recibimos utilizando un motor de análisis de antivirus comercial.

Cuando reciba un correo electrónico de Evernote, queremos que tenga la seguridad de que realmente se lo enviamos nosotros. Publicamos una política DMARC para que tenga la certeza de que el correo electrónico que usted recibe de Evernote es legítimo. Cada correo electrónico que enviamos desde @evernote.com y @email.evernote.com estará criptográficamente firmado con DKIM y se originarán desde una dirección IP que publicamos en nuestro registro SPF.

Seguridad del Producto

Asegurar nuestro servicio web orientado a Internet es de vital importancia para la protección de sus datos. Nuestro equipo de seguridad ejecuta un programa de seguridad de las aplicaciones para mejorar la manipulación en la seguridad de los códigos y evaluar periódicamente nuestro servicio en busca de problemas comunes de seguridad de las aplicaciones, incluyendo: CSRF, ataques de inyección (XSS, SQLi), gestión de las sesiones, redirección de la URL y secuestro de clic.

Nuestro servicio web autentica todas las aplicaciones de clientes terceros utilizando OAuth. OAuth es un modo sencillo de que usted pueda conectar una aplicación de terceros a su cuenta sin necesidad de proporcionar a la aplicación sus credenciales de inicio de sesión. Cuando se haya autentificado en Evernote con éxito, enviamos un token de autenticación al cliente para que autentique su acceso partir de ese momento en adelante. Esto elimina la necesidad de que una aplicación de terceros almacene alguna vez su nombre de usuario y contraseña en su dispositivo.

Cada aplicación de cliente que se comunica con nuestro servicio utiliza un thrift APIbien definido para todas las acciones. Por intermediación de todas las comunicaciones a través de esta API, podemos establecer los controles de autorización como una construcción fundamental en la arquitectura de la aplicación. No hay acceso directo al objeto dentro del servicio y el identificador de autenticación de cada cliente se comprueba en cada acceso al servicio para garantizar que el cliente está autenticado y autorizado para acceder a una nota o un libreta en concreto. Por favor, consulte see dev.evernote.com para obtener más información.

Segregación de Clientes

El servicio de Evernote permite múltiples usuarios y no segmentamos sus datos a partir de los datos de otros usuarios. Sus datos podrán estar en los mismos servidores que los datos de otro usuario. Consideramos que sus datos son privados y no permitimos que otro usuario acceda a ellos a menos que usted los comparta explícitamente. Consulte el apartado sobre la Seguridad del Producto para saber cómo aplicamos nuestro modelo de autorización para acceder al contenido privado y compartido

Destrucción de Datos

Evernote conserva su contenido a menos que tome medidas explícitas para eliminar notas y/o libretas. Desactivar una cuenta personal o revocar el acceso a una cuenta de Evernote Business no elimina automáticamente el contenido.

Para las notas y libretas personales, usted puede borrar su contenido eliminando todas las notas de una libreta y a continuación, borrando todas las notas que haya en su papelera. Eliminar una libreta traslada automáticamente todas las notas que están asociadas a esa libreta a su papelera. Cuando se elimina una nota, todas las referencias y conexiones a los datos de esa nota se eliminan de nuestras bases de datos.

Eliminación y Destrucción de Medios

Nunca reutilizamos medios de almacenamiento para su uso fuera de nuestro entorno de producción, si es que alguna vez se ha utilizado para almacenar los datos de usuario. Tenemos procedimientos para destruir de forma segura los medios de almacenamiento desmagnetizándolos y rompiéndolos físicamente antes de su eliminación. Se puede leer información adicional en nuestro blog.

Acceso a la Cuenta del Cliente

Al igual que la mayoría de los servicios en la nube, Evernote tiene una herramienta administrativa. Esta herramienta permite a nuestros equipos de la administración de la plataforma y servicio de atención al cliente resolver los problemas de los clientes. Limitamos el acceso a los datos del cliente dentro de esta herramienta de administración basada en las necesidades de negocio y autenticamos firmemente este acceso.

Revisamos periódicamente el acceso de los empleados a las cuentas de los clientes con el fin de identificar el abuso administrativo y minimizar las situaciones en las que podríamos necesitar acceder al contenido de la cuenta en el futuro.

Registro de Actividad

El servicio de Evernote lleva a cabo el registro en el servidor de las interacciones de los clientes con nuestros servicios. Esto incluye el registro de acceso al servidor web, así como el registro de la actividad de las acciones realizadas a través de nuestro API. Estos registros también incluyen eventos de inicio de sesión correctos e incorrectos. Debido a la naturaleza de nuestra arquitectura cliente / servidor, no podemos saber con certeza si se vio una nota sincronizada. Nosotros no recogemos automáticamente registros de actividad de nuestros clientes de software. Puede ver el tiempo de acceso y las direcciones IP recientes para cada aplicación que esté conectada a su cuenta en la sección Historial de Acceso en los Ajustes de su cuenta.

Encriptado del Transporte

Evernote utiliza encriptación estándar de la industria para proteger sus datos en tránsito. Esto se conoce comúnmente como la seguridad de la capa de transporte (“TLS”, por sus siglas en inglés) o tecnología de capa de conexión segura (“SSL”, por sus siglas en inglés). Además, soportamos la Seguridad de transporte HTTP estricta (HSTS) para el servicio de Evernote (www.evernote.com). Apoyamos una combinación de cifras suites y protocolos TLS para proporcionar un equilibrio de encriptado de alta seguridad para los navegadores y clientes que lo soportan y compatibilidad con versiones anteriores para clientes anteriores que lo necesitan. Tenemos la intención de seguir mejorando nuestra posición sobre la seguridad de transporte para respaldar nuestro compromiso con la protección de sus datos.

Soportamos STARTTLS tanto para el correo electrónico entrante como el saliente. Si su proveedor de servicio de correo es compatible con TLS, su correo electrónico será encriptado en tránsito, hacia y desde el servicio de Evernote.

Operamos dos centros de datos en los EE.UU. y transmitimos datos entre ellos utilizando un enlace de red dedicado que no esté conectado a Internet. Encriptamos todo el tráfico que fluye a través de este enlace mediante el cifrado GCM-AES-128 a través del protocolo MACsec.

Texto Encriptado Dentro de una Nota

Si está utilizando un cliente de escritorio de Evernote, como escritorio de Windows y Evernote para Mac, puede encriptar cualquier texto que haya dentro de una nota para añadir un nivel de protección adicional a la información privada. Evernote utiliza AES (Estándar de encriptación avanzado) con una clave de 128 bits para encriptar el texto que seleccione.

Cuando encripta texto, le pediremos una frase de contraseña. Utilizamos su frase de contraseña junto con una sal única y utilizamos PBKDF2 con 50.000 rondas de SHA-256 para derivar una clave AES de 128 bits. Utilizamos esta clave, junto con un vector de inicialización para cifrar los datos en modo CBC (Cifrado por bloques).

Nunca recibimos una copia de esta clave o su frase de contraseña y no utilizamos ningún mecanismo de almacenamiento para recuperar sus datos encriptados. Esto significa que si olvida su contraseña, no podremos recuperar sus datos.

Resilencia/Disponibilidad

Ejecutamos un sistema de tolerancia a fallos y una arquitectura de red para garantizar que Evernote está allí cuando lo necesita, donde quiera que esté. Esto incluye:

  • Conexiones a Internet redundantes y diversas.
  • Infraestructura de red redundante incluyendo conmutadores, routers, equilibradores de carga y cortafuegos.
  • Arquitectura de sistema escalable construida utilizando un gran número de fragmentos que funcionan de forma independiente, cada uno ofreciendo una pequeña parte de nuestra base de usuarios.
  • Fragmentos diseñados como pares de servidores redundantes, proporcionando funciones de reserva en caliente en caso de que falle un solo servidor.
  • Servidores diseñados con alimentación redundante, hardware de red redundante y almacenamiento desplegado en una configuración RAID.

Nuestro vendedor de colocación proporciona servicios de centros de tolerancia a fallos que incluyen: energía, sistemas de calefacción y extinción de incendios.

Proporcionamos actualizaciones del estado en línea e históricas aquí: https://twitter.com/evernotestatus y http://status.evernote.com.

Hacemos copias de seguridad de todo el contenido de los clientes al menos una vez al día y replicamos esas copias de seguridad en nuestro centro de copias de seguridad. Este proceso garantiza que nos podemos recuperar de un fallo completo del sitio en nuestro centro de datos principal. No utilizamos soportes portátiles o extraíbles para las copias de seguridad.

Seguridad Física

Cuando sincroniza sus notas con nuestros servidores, se almacenan en una celda privada y cerrada en uno de nuestros centros de datos. Estos centros de datos se atienden y vigilan las 24x7x365. El acceso al centro de datos requiere como mínimo, dos factores de autenticación, y puede incluir datos biométricos como un tercer factor.

Cada uno de nuestros centros de datos ha sido objeto de una auditoría SOC-1 Tipo 2, lo que demuestra su capacidad de asegurar físicamente nuestra infraestructura. Únicamente el personal de operaciones y el personal de los centros de datos de Evernote tienen acceso físico a esta infraestructura y nuestro equipo de operaciones recibe una alerta cada vez que alguien accede a nuestra celda, incluyendo una grabación de video del evento.

Todos los datos de Evernote se ubican en Estados Unidos. Nuestros centros de datos principales y de copias de seguridad están ubicados en la costa oeste en regiones geográficamente diversas.

Privacidad y Cumplimiento

Por favor, consulte nuestra política de privacidad para obtener información acerca de nuestro cumplimiento de puerto seguro. No publicamos un informe del Control del Servicio de Organización (SOC).