Proteger sus soluciones y datos en la nube

La seguridad de los productos de SAP cubre todo el ciclo de vida de desarrollos y operaciones seguros (SDOL) de los servicios en la nube, y aplica principios de secure-by-design y secure-by-default al crear y ejecutar nuestros servicios en la nube. Incluye un amplio conjunto de medidas y estándares:

• Evaluaciones de riesgo, privacidad de datos y ética

• Modelado de amenazas para identificar riesgos de seguridad en el diseño de la arquitectura

• Directrices de codificación segura y evaluaciones de código

• Escaneos de seguridad y vulnerabilidad

• Pruebas de penetración y de equipo rojo

• Implementación segura de lanzamientos de software

• Operaciones seguras que incluyen resiliencia, backup y recuperación

• Programas de bug bounty

• Respuesta de seguridad del producto

Nuestro marco de política de seguridad incluye los procedimientos de refuerzo necesarios para proteger la infraestructura en la nube frente a errores de configuración habituales:

• Registro centralizado de eventos de auditoría

• Requisitos mínimos para la encriptación en tránsito y en reposo

• Configuraciones de VPN

• Escaneos operados centralmente para gestión de posturas de seguridad en la nube (CSPM)

• Escaneos constantes de vulnerabilidades en infraestructuras en la nube

SAP maneja la gestión de identidad y acceso para los servicios que brindamos y las capas subyacentes, mientras que los clientes conservan la responsabilidad sobre la gestión del acceso de usuarios en la capa administrativa de la solución. Esto nos permite prestar servicios en la nube sin tener acceso a los datos del cliente ni a las instancias de su solución.

Cuando las arquitecturas de la solución en la nube lo permiten, SAP separa y aísla las tenencias del cliente por cada cuenta en la nube. Aplicamos sólidas políticas de encriptación en tránsito y en reposo con opciones para mejoras adicionales. Los clientes gestionan el acceso a los datos en la solución, lo cual evita el acceso no autorizado.

SAP monitorea y brinda alertas de actividad sospechosa y vulnerabilidades; realiza escaneos rutinarios en la infraestructura web de acceso externo y pruebas de penetración de terceros; e implementa pruebas de equipo rojo para evaluar la seguridad del sistema. Mantenemos un centro de operaciones de seguridad (SOC) 24x7 para gestionar de forma centralizada la respuesta y comunicación sobre incidentes de seguridad.

Dentro de sus sistemas, SAP incorpora redundancia y gestión de la continuidad del negocio para poder responder ante amenazas a la operación, reputación u otro tipo de interés de nuestros clientes. Brindamos acuerdos de nivel de servicio (SLA) para obtener resiliencia y recuperación en cada solución.

Proteger los activos físicos es crucial para proteger los datos del cliente. Los programas de SAP para seguridad física gestionan la protección de nuestro personal mientras trabaja. Operamos centros de datos que tienen una seguridad física sólida, y mantenemos asociaciones firmes con operadores de hiperescaladores para mantener protegidos datos y activos físicos.

Capacitar al personal para que cumpla con las responsabilidades de seguridad adecuadas a sus roles y funciones requiere una atención continua a la cultura y conciencia de la seguridad. SAP brinda capacitación obligatoria y electiva en seguridad y compliance, y organiza eventos para capacitación, networking e intercambio de experiencias.