Resumen de seguridad

Actualización: Abril de 2017 - ¿Cuáles son las novedades? »

Introducción

Los usuarios de Evernote nos confían miles de millones de notas, proyectos e ideas. Esa confianza se basa en que guardamos esos datos de forma privada y segura. La información de esta página tiene por objeto proporcionar transparencia sobre cómo protegemos esos datos. Vamos a continuar ampliando y actualizando esta información a medida que añadimos nuevas funciones de seguridad y realizamos mejoras de seguridad en nuestros productos.

Programa de Seguridad

En Evernote existe un equipo dedicado a la seguridad. El código de nuestro equipo de seguridad consiste en proteger los datos que usted almacena en nuestro servicio. Ejecutamos un programa de seguridad que incluye las siguientes áreas de interés: seguridad del producto, controles de infraestructura (física y lógica), políticas, concienciación de los empleados, detección de intrusos y actividades de evaluación.

El equipo de seguridad ejecuta un programa de Respuesta a Incidentes (“IR”) interno y ofrece orientación a los empleados de Evernote sobre cómo notificar actividades sospechosas. Nuestro equipo de IR cuenta con procedimientos y herramientas para responder a los problemas de seguridad y continúa evaluando las nuevas tecnologías con el fin de mejorar nuestra capacidad para detectar ataques contra nuestras infraestructuras, servicios y empleados.

Evaluamos periódicamente nuestra infraestructura y aplicaciones en busca de vulnerabilidades y corregimos aquellas que podrían afectar a la seguridad de los datos del cliente. Nuestro equipo de seguridad evalúa continuamente nuevas herramientas para aumentar la cobertura y la profundidad de estas evaluaciones.

Seguridad de Red

Evernote define sus límites de la red utilizando una combinación de equilibradores de carga, cortafuegos y VPNs. Los utilizamos para controlar qué servicios exponemos a Internet y para segmentar nuestra red de producción del resto de nuestra infraestructura informática. Limitamos quién tiene acceso a nuestra infraestructura de producción en base a la necesidad empresarial y autenticamos firmemente ese acceso.

Seguridad de la Cuenta

Evernote nunca almacena su contraseña en texto plano. Cuando necesitamos almacenar la contraseña de su cuenta de forma segura para autenticarle, utilizamos PBKDF2 (Función de derivación de clave basada en contraseña 2) con valor único para cada credencial. Seleccionamos el número de iteraciones de hash de forma que se logre un equilibrio entre la experiencia del usuario y la complejidad de descodificar la contraseña.

Aunque no le solicitamos que configure una contraseña compleja, nuestro medidor de seguridad de contraseñas le sugerirá que elija una segura. Limitamos los intentos fallidos de inicio de sesión en base a cada cuenta y a cada dirección IP para prevenir los ataques de predicción de contraseña.

Evernote ofrece laverificación de dos pasos (2SV), también conocida como autenticación de dos factores o autenticación multi-factor, para todas las cuentas. Nuestro mecanismo 2SV se basa en un algoritmo de contraseña de un solo uso basadas en la hora actual (TOTP). Todos los usuarios pueden generar códigos a nivel local utilizando una aplicación en su dispositivo móvil o pueden optar por recibir los códigos como mensaje de texto.

Seguridad del Correo Electrónico

Evernote le ofrece una forma de crear notas en su cuenta enviando mensajes de correo electrónico a una dirección de correo electrónico única de Evernote. Para protegerle de contenido malicioso, escaneamos todos los correos electrónicos que recibimos utilizando un motor de análisis de antivirus comercial.

Cuando reciba un correo electrónico de Evernote, queremos que tenga la seguridad de que realmente se lo enviamos nosotros. Publicamos una política DMARC para que tenga la certeza de que el correo electrónico que usted recibe de Evernote es legítimo. Cada correo electrónico que enviamos desde los siguientes dominios estará criptográficamente firmado con DKIM y se originarán desde una dirección IP que publicamos en nuestro registro SPF.

Evernote:

  • @evernote.com
  • @emails.evernote.com

Yinxiang Biji:

  • @yinxiang.com
  • @emails.yinxiang.com

Seguridad del Producto

Asegurar nuestro servicio web orientado a Internet es de vital importancia para la protección de sus datos. Nuestro equipo de seguridad ejecuta un programa de seguridad de las aplicaciones para mejorar la manipulación en la seguridad de los códigos y evaluar periódicamente nuestro servicio en busca de problemas comunes de seguridad de las aplicaciones, incluyendo: CSRF, ataques de inyección (XSS, SQLi), gestión de las sesiones, redirección de la URL y secuestro de clic.

Nuestro servicio web autentica todas las aplicaciones de clientes terceros utilizando OAuth. OAuth es un modo sencillo de que usted pueda conectar una aplicación de terceros a su cuenta sin necesidad de proporcionar a la aplicación sus credenciales de inicio de sesión. Cuando se haya autentificado en Evernote con éxito, enviamos un token de autenticación al cliente para que autentique su acceso partir de ese momento en adelante. Esto elimina la necesidad de que una aplicación de terceros almacene alguna vez su nombre de usuario y contraseña en su dispositivo.

Cada aplicación de cliente que se comunica con nuestro servicio utiliza un thrift APIbien definido para todas las acciones. Por intermediación de todas las comunicaciones a través de esta API, podemos establecer los controles de autorización como una construcción fundamental en la arquitectura de la aplicación. No hay acceso directo al objeto dentro del servicio y el identificador de autenticación de cada cliente se comprueba en cada acceso al servicio para garantizar que el cliente está autenticado y autorizado para acceder a una nota o un libreta en concreto. Por favor, consulte see dev.evernote.com para obtener más información.

Segregación de Clientes

El servicio de Evernote permite múltiples usuarios y no segmentamos sus datos a partir de los datos de otros usuarios. Sus datos podrán estar en los mismos servidores que los datos de otro usuario. Consideramos que sus datos son privados y no permitimos que otro usuario acceda a ellos a menos que usted los comparta explícitamente.

Retención y eliminación de datos

Evernote retiene su contenido a menos que tome medidas explícitas para eliminar notas y/o libretas. Para obtener información sobre cómo eliminar notas, consulte este artículo del centro de asistencia. Para obtener información sobre nuestras políticas de retención, consulte la sección IV de nuestra política de privacidad, titulada "Eliminación de información".

Eliminación y Destrucción de Medios

Eliminamos o destruimos de forma segura todos los soportes de almacenamiento, si es que alguna vez se han utilizado para almacenar datos de usuarios. Seguimos la guía del NIST de la publicación especial 800-88 para cumplirlo. Para ver un ejemplo de cómo destruimos de forma segura los discos duros rotos, lea este artículo.

Utilizamos varias opciones de almacenamiento en Google Cloud Platform ("GCP") entre las que se incluyen discos locales, discos persistentes y cubos de Google Cloud Storage. Aprovechamos los procesos de borrado criptográfico de Google para garantizar que la reutilización del almacenamiento no resulte en la exposición de datos privados de los clientes.

Registro de Actividad

El servicio de Evernote lleva a cabo el registro en el servidor de las interacciones de los clientes con nuestros servicios. Esto incluye el registro de acceso al servidor web, así como el registro de la actividad de las acciones realizadas a través de nuestro API. También recopilamos datos de eventos de las aplicaciones de nuestros clientes. Puede consultar los tiempos de acceso recientes y las direcciones IP de cada aplicación conectada a su cuenta en la sección Historial de acceso en los Ajustes de su cuenta.

Encriptado del Transporte

Evernote utiliza encriptación estándar de la industria para proteger sus datos en tránsito. Esto se conoce comúnmente como la seguridad de la capa de transporte (“TLS”, por sus siglas en inglés) o tecnología de capa de conexión segura (“SSL”, por sus siglas en inglés). Además, soportamos la Seguridad de transporte HTTP estricta (HSTS) para el servicio de Evernote (www.evernote.com). Apoyamos una combinación de cifras suites y protocolos TLS para proporcionar un equilibrio de encriptado de alta seguridad para los navegadores y clientes que lo soportan y compatibilidad con versiones anteriores para clientes anteriores que lo necesitan. Tenemos la intención de seguir mejorando nuestra posición sobre la seguridad de transporte para respaldar nuestro compromiso con la protección de sus datos.

Soportamos STARTTLS tanto para el correo electrónico entrante como el saliente. Si su proveedor de servicio de correo es compatible con TLS, su correo electrónico será encriptado en tránsito, hacia y desde el servicio de Evernote.

Protegemos todos los datos de los clientes que fluyen entre nuestro centro de datos y Google Cloud Platform utilizando IPSEC con el cifrado GCM-AES-128 o TLS.

Encriptado en Reposo

A finales de 2016 empezamos a migrar el servicio Evernote a Google Cloud Platform ("GCP"). Los datos de los clientes que almacenamos en GCP estarán protegidos utilizando las funciones de cifrado en reposo incorporadas de Google. Dicho de manera más técnica, utilizamos la función de cifrado del servidor de Google con claves de cifrado gestionadas por Google para cifrar todos los datos en reposo utilizando AES-256, de forma transparente y automática. Puede encontrar más información sobre cómo protege sus datos el cifrado en reposo aquí.

Resilencia/Disponibilidad

Ejecutamos una arquitectura de tolerancia a fallos para garantizar que Evernote está allí cuando lo necesita.:

En nuestros centros de datos físicos y en nuestra infraestructura de nube, que incluye:

  • Conexiones a Internet redundantes y diversas
  • Infraestructura de red redundante incluyendo conmutadores, routers y cortafuegos.
  • Equilibradores de carga de aplicaciones redundantes
  • Servidores redundantes e instancias virtuales
  • Almacenamiento subyacente redundante

Tanto Google como nuestro vendedor de colocación proporcionan servicios de centros de tolerancia a fallos que incluyen: energía, sistemas de calefacción y extinción de incendios.

Proporcionamos actualizaciones del estado en línea e históricas sobre la disponibilidad de nuestro servicio aquí: https://twitter.com/evernotestatus y http://status.evernote.com.

Hacemos copias de seguridad de todo el contenido de los clientes al menos una vez al día. No utilizamos soportes portátiles o extraíbles para las copias de seguridad.

Seguridad Física

Hacemos funcionar el servicio Evernote utilizando una combinación de servicios en la nube y centros de datos físicos.

En nuestros centros de datos, protegemos nuestra infraestructura en un centro privado y cerrado, que incluye un seguimiento permanente. El acceso a estos centros de datos requiere, al menos, dos factores de autenticación, pero puede incluir la biometría como un tercer factor. Cada uno de nuestros centros de datos ha sido objeto de una auditoría SOC-1 Tipo 2, lo que demuestra su capacidad de asegurar físicamente nuestra infraestructura. Únicamente el personal de operaciones y el personal de los centros de datos de Evernote tienen acceso físico a esta infraestructura y nuestro equipo de operaciones recibe una alerta cada vez que alguien accede a nuestra celda, incluyendo una grabación de video del evento.

En nuestros servicios en la nube, utilizamos Google Cloud Platform. Google ha realizado varias certificaciones que confirman su capacidad para proteger físicamente los datos de Evernote. Puede leer más sobre la seguridad de Google Cloud Platform aquí.

Todos los datos de Evernote se ubican en Estados Unidos.

Privacidad y Cumplimiento

Por favor, consulte nuestra política de privacidad para obtener información acerca de nuestro cumplimiento de puerto seguro. No publicamos un informe del Control del Servicio de Organización ("SOC").