Confianza garantizada: el enfoque de Navan sobre la seguridad

Para garantizar la continua seguridad de sus aplicaciones, el programa integral de seguridad de aplicaciones de Navan está intrínsecamente ligado e integrado en su ciclo de desarrollo de sistemas, CDS. Nuestros equipos de seguridad y desarrollo colaboran estrechamente para incorporar medidas de seguridad en cada paso del CDS, incluyendo pruebas anuales de penetración y comprobaciones periódicas de seguridad de las aplicaciones como parte del proceso IC/EC (despliegue continuo). El sitio web, los microservicios y las interfaces de programación de aplicaciones (API) de Navan están sujetos a pruebas frecuentes de penetración y vulnerabilidades, análisis de seguridad, detección de amenazas y evaluaciones de seguridad llevados a cabo por expertos en ciberseguridad.

Nuestro equipo de detección y respuesta se dedica a la ingeniería de detección de amenazas, gestión de vulnerabilidades, respuesta a incidentes y gestión de comunicación de crisis. Este equipo supervisa atentamente los entornos de producción de Navan para detectar y abordar cualquier vulnerabilidad que pueda comprometer la seguridad de los datos. Nuestros exhaustivos planes de respuesta a incidentes y nuestra estrategia de actuación diaria garantizan que los incidentes de seguridad se gestionen con prontitud y eficacia, minimizando el impacto y permitiendo que la actividad empresarial vuelva a la normalidad rápidamente.

Las aplicaciones y la plataforma de Navan se alojan en los centros de datos de la nube de AWS compliance/data-center/ ubicados en varias zonas de disponibilidad regionales. Nuestra estrategia para garantizar la seguridad de los datos de nuestros clientes se sirve de las sólidas funciones de seguridad de AWS, como la nube virtual privada (VPC, por sus siglas en inglés), los grupos de seguridad, el AWS Key Management Service (KMS), entre otras. Las instalaciones del centro de datos de AWS utilizan innovadoras metodologías de ingeniería arquitectónica segura, que se han incorporado directamente a la plataforma y la infraestructura de Navan. 

Navan ha establecido políticas, procedimientos y procesos operativos detallados, diseñados para gestionar eficazmente la calidad y la integridad general de nuestro entorno. Vigilamos activamente la actividad de red en busca de anomalías las 24 horas, todos los días, y respondemos a los incidentes de seguridad en minutos. Además, hemos aplicado medidas de seguridad proactivas, como sistemas de defensa perimetral y de prevención de intrusiones en la red (IPS). Estos IPS monitorizan segmentos de red críticos en busca de patrones de red atípicos en el entorno del cliente, así como el tráfico entre los diferentes niveles de servicio.

Consideramos a nuestros empleados como la primera y la más sólida línea de defensa contra las ciberamenazas. Nuestro equipo recibe formación y actualizaciones periódicas en materia de seguridad y buenas prácticas para sensibilizar, reducir los riesgos y estar atentos frente a amenazas potenciales. La formación continua en seguridad de aplicaciones es obligatoria para nuestros desarrolladores y Navan cumple con las mejores prácticas y recomendaciones del sector, incluyendo las del proyecto Open Web Application Security Project (OWASP) y otros sistemas de control estándar del sector.

Navan transfiere los datos de los clientes mediante mecanismos de seguridad multicapa, redes fortalecidas y cifrado Transport Layer Security (TLS) para los datos «en tránsito». Para el almacenamiento de los datos confidenciales «en reposo» utilizamos el Estándar de Cifrado Avanzado (AES), el estándar actual de la industria para las aplicaciones empresariales comerciales modernas. Revisamos y actualizamos periódicamente nuestros protocolos de cifrado para asegurarnos de que siguen cumpliendo con los estándares de la industria y de que contrarrestan con eficacia las últimas tácticas para romper el cifrado.