Recibe las últimas noticias y actualizaciones
¡suscríbete a nuestra newsletter!
Signify logo
Sugerencias

    Declaración sobre seguridad y privacidad para productos conectados

      Seguridad y privacidad

       

      En Signify, los sistemas de iluminación conectada resultan esenciales para nuestro negocio. 

       

      En los sistemas de iluminación conectada se combinan las luminarias, los sensores y otros dispositivos del sistema de iluminación con el software y los servicios de Interact.

       

      Dado que integran comunicaciones de datos bidireccionales, los dispositivos de sistemas de iluminación conectada participan en el Internet de las Cosas (IoT). A medida que proliferan dichos dispositivos habilitados para la IoT, y a medida que los sistemas de iluminación conectada se integran con un mayor nivel de profundidad en las redes de edificios básicos y de alumbrado público, las implementaciones de seguridad, los procesos y las responsabilidades pasan a tener mayor importancia y, por tanto, a ser más valiosos.

       

      La seguridad está integrada en todos los aspectos de nuestra innovación y de nuestros productos, sistemas y servicios. Desde el desarrollo de sistemas seguros hasta la seguridad de dispositivos, redes y la nube, la supervisión de sistemas y las actualizaciones seguras de los dispositivos.

       

      Nuestros procesos de seguridad se cimentan sobre una sólida base de control, procedimientos y estándares del sector. Al seleccionar a Signify como colaborador, puedes confiar en que dedicamos mucha atención a la seguridad en todos nuestros productos, sistemas y servicios, y que Signify también te ayudará a lo largo del ciclo de vida completo de un sistema de iluminación conectada.

      Control, educación y formación

       

      En Signify, la Oficina de Seguridad Corporativa gestiona el control de la seguridad. El Equipo de Liderazgo en Seguridad de Producto, que incluye a miembros de la organización de Seguridad de Productos Corporativos, grupos empresariales y el Equipo de Innovación de Productos, coordina nuestros esfuerzos de seguridad. Una red de arquitectos expertos en seguridad integrada en los equipos de desarrollo respalda las actividades de seguridad relacionadas con el desarrollo de productos. 

       

      Las políticas y los procesos de Signify están alineados con estándares globales como ISO/IEC 2700x: sistemas de gestión de la seguridad de la información (ISMS) y la Suite de estándares ISA/IEC 62443 para el desarrollo de productos. A través de nuestro departamento de Estándares y Normativas, colaboramos con muchas organizaciones de normalización en todo el mundo, como IEC, ANSI y CENELEC, y con alianzas del sector, como la Fundación de seguridad de IoT. Los procesos empresariales de Signify se auditan con regularidad interna y externamente. 

       

      A todos los empleados de Signify se les exige que asistan a cursos de formación periódicos sobre ciberseguridad y sensibilización respecto a la privacidad. Los arquitectos de sistemas y los ingenieros de desarrollo también reciben una formación adicional específica y certificaciones de seguridad interna.

       

      Los expertos en seguridad de Signify poseen diversas certificaciones del sector, como Certified Information Systems Security Professional (CISSP), Certified Secure Software Lifecycle Professional (CSSLP), Certified Information Security Manager (CISM) y Certified Information Systems Auditor (CISA).

      Seguridad por diseño

       

      Todas nuestras actividades de desarrollo interno y externo siguen el Ciclo de Vida de Desarrollo de la Seguridad (SDL) de Signify, que codifica las mejores prácticas aceptadas por el sector. Los principales componentes del SDL son el análisis de riesgos de seguridad y el modelado de amenazas, el análisis y la revisión de códigos y la gestión de vulnerabilidades. Aplicamos el SDL a todos nuestros productos de hardware, sistemas, servicios, software y soluciones en la nube.

       

      De acuerdo con el SDL, Signify toma las siguientes medidas durante el diseño, el desarrollo y las pruebas:

       

      • Se analizan los riesgos de seguridad, según los requisitos de seguridad de Signify alineados con la suite de estándares ISA/IEC 62443, para cada nuevo proyecto y para cada cambio significativo en un proyecto existente.
      • Durante el desarrollo, se llevan a cabo regularmente análisis de código automatizado y revisiones de código manual. Estos análisis y revisiones se basan, entre otros, en marcos como el Proyecto OWASP loT y el proyecto OWASP Top Ten. 
      • El código de terceros, incluido el código fuente abierto, se analiza automáticamente para identificar y mitigar las vulnerabilidades. 
      • Se refuerza el sistema operativo en dispositivos integrados y soluciones basadas en la nube.
      • Se implementan y revisan regularmente reglas de seguridad de red y cortafuegos apropiados. 
      • Se cifran datos en tránsito y en reposo de acuerdo con los estándares generalmente aceptados en el sector, tal como se describe en la Publicación Estándar de Procesamiento de Información Federal 140-2 (FIPS 140-2) de EE. UU. 
      • Se realizan pruebas de penetración por parte de agentes internos o externos, al menos, antes de cada versión publicada para clientes.

       

      El equipo de innovación es responsable de evaluar las últimas tecnologías de seguridad de IoT y respalda al equipo de desarrollo en la toma de las decisiones adecuadas a la hora de introducir nuevos algoritmos de seguridad, soluciones y socios tecnológicos.

       

      Signify audita periódicamente a sus colaboradores y a la cadena de suministro para mantener el nivel de seguridad adecuado en el proceso de fabricación.

      Operaciones y mantenimiento

       

      Signify se ha asociado con los principales proveedores de servicios en la nube con vistas a ofrecer una plataforma resistente para nuestros sistemas basados en la nube. La implementación de esos servicios basados en la nube dentro de los centros de datos en distintas áreas geográficas, de acuerdo con los requisitos de la jurisdicción de los datos, permite la continuidad del negocio.

       

      Un equipo de operaciones global especializado gestiona nuestros sistemas basados en la nube para garantizar la segregación adecuada de las obligaciones con la finalidad de administrar el sistema. Entre las responsabilidades del equipo se incluyen la producción de especificaciones operativas y de mantenimiento, las actualizaciones de seguridad, la gestión de vulnerabilidades, la creación de copias de seguridad, el registro, la supervisión y la gestión de eventos e incidentes. El equipo también revisa periódicamente la seguridad de la red y de las aplicaciones.

       

      Signify sigue un estricto protocolo de implementación de actualizaciones en sistemas basados en la nube, lo que define un proceso formal de prueba, desarrollo y aceptación antes de aprobar los sistemas de producción.

      Gestión de incidencias

       

      Signify aborda la seguridad como parte integral de nuestro proceso de calidad. Las responsabilidades asignadas y los procedimientos establecidos garantizan una respuesta adecuada a los supuestos eventos e incidencias de seguridad. Cada potencial evento de seguridad se evalúa según un conjunto de criterios para determinar si puede considerarse como una incidencia de seguridad. Cuando se producen incidencias de seguridad, se adoptan medidas de mitigación inmediatas y apropiadas.

       

      Se llevan a cabo actividades sobre las lecciones aprendidas periódicamente y, también, tras sufrir incidencias importantes, con vistas a mejorar las medidas de seguridad en general y la gestión de incidencias en particular.

      Privacidad

       

      En Signify, nos tomamos muy en serio la privacidad. El respeto por la privacidad guía nuestra elección de colaboradores comerciales, el modo en que diseñamos productos y servicios y nuestro enfoque de tratamiento de los datos personales. Nos aseguramos de que todos los empleados, consumidores, clientes y socios comerciales de Signify mantengan el control sobre cómo se gestionan, procesan y almacenan sus datos.

       

      Para obtener más información sobre nuestro compromiso con la privacidad de los datos, visite el centro de privacidad de Signify.

      La función del cliente en la seguridad de los productos

       

      Signify reconoce que la seguridad de nuestros productos y servicios forma parte importante de la estrategia de seguridad para nuestros clientes. En la práctica, sin embargo, la seguridad es una responsabilidad compartida por los fabricantes y proveedores de productos y servicios y sus clientes.

       

      La evaluación adecuada de los riesgos y la atención adecuada en la instalación, el mantenimiento y las operaciones son esenciales para mitigar las amenazas internas y externas.

      Página de divulgación coordinada de vulnerabilidades

       

      Signify respalda la divulgación responsable de vulnerabilidades y anima a los investigadores y a los hackers éticos a informar de las vulnerabilidades identificadas.

       

      Para obtener más información sobre la divulgación responsable de Signify, visite nuestra página de divulgación coordinada de vulnerabilidades.

      Seguridad de Signify: prácticas recomendadas seleccionadas

       

      Entre las prácticas recomendadas seleccionadas para garantizar la seguridad de los productos, sistemas y servicios de iluminación conectada a la IoT se incluyen las siguientes:

      Control, educación y formación

      • Supervisión de la Oficina de Seguridad de Productos
      • Alineación con estándares como ISO 2700x e IEC 62443 y con el Marco de Seguridad de IoT
      • Segregación de obligaciones
      • Acceso menos privilegiado
      • Participación en organismos de estandarización como IEC, ANSI y CENELEC
      • Certificación de seguridad y formación para todos los empleados
      • Formación y certificación específicas para arquitectos de seguridad e ingenieros de desarrollo
      • Expertos en seguridad integrados en toda la organización
      • Certificaciones estándar del sector, entre las que se incluyen CISSP, CISM, CISA y CSSLP, para los empleados que desempeñan funciones clave

       

      Diseño y desarrollo

      • Prácticas aceptadas por el sector para procesos de desarrollo de seguridad durante el ciclo de vida en todo el desarrollo de productos y servicios
      • Modelado de amenazas y evaluación de riesgos de seguridad
      • Análisis y revisión de códigos automatizados y manuales
      • Evaluación automatizada de vulnerabilidades de código fuente abierto de terceros

       

      Dispositivos y seguridad física

      • Mecanismos diseñados para garantizar que solo se ejecute código de confianza (arranque seguro siempre que sea posible)
      • Eliminación de interfaces de depuración de hardware
      • Comunicaciones restringidas con interfaces de depuración
      • Autenticación para proteger las actualizaciones del firmware
      • Resistencia a ataques de canal lateral
      • Refuerzo del sistema operativo
      • Aplicación de marcos OWASP y OWASP IoT

       

      Interfaces inalámbricas y cableadas

      • Versión más reciente de los protocolos de capa de aplicación
      • Uso de WPA2 con cifrado AES para Wi-Fi
      • Identidad y certificados exclusivos de dispositivos
      • Protocolos Bluetooth más recientes
      • Protocolo Zigbee con características de seguridad mejoradas

       

       Autenticación y autorización de dispositivos

      • Identidad y certificados exclusivos de dispositivos
      • Autenticación de varios factores disponible
      • Autenticación mediante contraseñas y claves compartidas previamente
      • Cambio de la contraseña predeterminada en la instalación (primer inicio de sesión)
      • Control de acceso basado en funciones

       

      Cifrado y gestión de claves

      • Generación de números aleatorios criptográficamente seguros
      • Funciones criptográficas diseñadas para la vida útil prevista del producto
      • Datos seguros en reposo y en tránsito con estándares aceptados por el sector (p. ej. FIPS 140-2)
      • Información confidencial en ubicaciones resistentes a manipulaciones
      • Datos en tránsito cifrados con las últimas tecnologías (p. ej., NT 1.2)
      • Cifrado de datos en reposo con los estándares aceptados por el sector (p. ej., AES 256) cuando resulte necesario

       

      Aplicaciones móviles

      • Directrices y estándares de seguridad para Android y Apple iOS
      • Acceso restringido a bases de datos y archivos
      • Datos en tránsito cifrados con las últimas tecnologías (p. ej., NT 1.2)
      • Utilización de certificados seguros para comunicaciones con servidores remotos
      • Validación de datos para todas las entradas

       

      Servicios en la nube

      • Prácticas de seguridad en la nube recomendadas por los proveedores de servicios en la nube
      • Parámetros de referencia del CIS y otros marcos de refuerzo
      • Alineación con las prácticas recomendadas de la Alianza de Seguridad en la Nube
      • Seguridad en la nube y en contenedores

       

      Continuidad del negocio y resiliencia

      • Despliegue en diversos centros de datos geográficamente distintos
      • Entornos de prueba/aceptación/producción distintos
      • Proceso de aprobación riguroso para la actualización de los sistemas de producción

       

      Cadena logística y fabricación

      • Proceso riguroso para la distribución de claves y secretos
      • Distribución controlada de firmware y actualizaciones
      • Equipo de seguridad de proveedores dedicado

       

      Innovación e investigación

      • Equipo dedicado a la investigación de nuevas tecnologías de seguridad en la IoT
      • Apoyo al equipo de desarrollo en la implementación de nuevos algoritmos y tecnologías de seguridad
      • Proceso de aprobación riguroso para la actualización de los sistemas de producción

       

      Propiedad del dispositivo

      • Eliminación completa de todos los datos personales tras la transferencia de propiedad o la terminación del servicio
      • Proceso de anulación segura del registro de dispositivos

       

      Privacidad

      • Privacidad coordinada por el responsable principal de privacidad (Chief Privacy Officer)
      • Evaluación de impacto de privacidad realizada para cada sistema
      • Alineación con el RGPD de la UE y normativas de privacidad pertinentes

      Esta información se proporciona únicamente con fines informativos. Representa las prácticas de desarrollo de productos de Signify actuales a partir de la fecha de publicación. Están sujetas a cambios sin previo aviso.

      Los clientes son responsables de hacer su propia evaluación independiente de los productos o servicios de Signify y del uso de los mismos. Esta información se proporciona “tal cual” sin garantías de ningún tipo, ni expresas ni implícitas. Esta información no crea garantías, representaciones, compromisos contractuales, condiciones ni garantías por parte de Signify, sus filiales, proveedores ni licenciatarios. Las responsabilidades de Signify y sus clientes se definen en los acuerdos entre Signify y sus clientes. Esta información no forma parte de ningún acuerdo entre Signify y sus clientes, ni lo modifica.

      Nos encantaría hablar contigo.

      Ponte en contacto con nosotros