Arquitectura de La Tecnologia de Informacion SuccessFactors

Derechos de propiedad y confidencialidad de SuccessFactors

Arquitectura de la tecnologa de la informacin

ltima actualizacin: 22/5/2007

2007

Arquitectura de la tecnologa informtica de SuccessFactors

Arquitectura de la tecnologa de la informacin 1

Introduccin 4

Caractersticas de las instalaciones de IBM 4

Arquitectura de la aplicacin SuccessFactors 6

Copia de seguridad, fallas y redundancia 7

Arquitectura del centro de datos de los EE. UU. 9

Recuperacin ante desastres 10

Opciones para la transferencia de datos 10

Opciones para la integracin de datos 10

Single Sign-On (SSO) 11

Seguridad de la aplicacin 11

Servicios de monitoreo 11

Poltica de escalabilidad de SuccessFactors 13

Seguridad del escritorio 13

Acceso 13

Permisos 14

Parches y actualizaciones 14

Confidencialidad 14

Auditoras de seguridad 14

Gestin de la resolucin de problemas 14

Estndares de seguridad de la informacin de SuccessFactors 15

Estndar de uso aceptable 15

Control de acceso: autorizacin de acceso del usuario 15

Estndar de antivirus 15

Estndar de la aplicacin y de la informacin 16

Propiedad de activos e inventario 16

Estndar de procedimientos operativos y de responsabilidades 16

Continuidad de las actividades comerciales 16

Clasificacin de datos 16

Codificacin de datos y controles criptogrficos 17

Seguridad de recursos humanos 17

Administracin de incidentes relacionados con la seguridad de la informacin 17

Pgina 2 de 19


Administracin de la seguridad de la red 18

Estndar de procedimientos operativos y de responsabilidades 18

Estndar de contrasea 18

Seguridad de archivos de sistema 19

Planificacin y aceptacin del sistema 19

Administracin de servicios prestados por terceros 19

Administracin de vulnerabilidades tcnicas 19

Pgina 3 de 19


Introduccin SuccessFactors utiliza las instalaciones de IBM para administrar sus servicios de hosting en la Web. Estas notas tcnicas describen las instalaciones de IBM, la arquitectura de la aplicacin SuccessFactors y otros temas relacionados que incluyen copias de seguridad, fallas y redundancia, transferencia de datos, integracin de datos, single sign-on, privacidad, escalabilidad y seguridad.

Caractersticas de las instalaciones de IBM La instalacin de hosting de SuccessFactors se encuentra en el centro de hosting de IBM en Secaucus, New Jersey, que proporciona una amplia variedad de caractersticas de instalacin de vanguardia, como diseo arquitectnico e instalaciones, distribucin de energa y suministro de energa de reserva, controles ambientales que incluyen sistemas de control de la calidad del aire y monitoreo altamente seguro. Las caractersticas de las instalaciones incluyen mltiples circuitos de energa protegidos con suministro de energa ininterrumpible (UPS, Uninterruptible Power Supply) redundantes y respaldados por un generador, unidades de deteccin de humo, sistemas de extincin de incendios, control del medioambiente operado por los clientes, escneres biomtricos de geometra manual y acceso del cliente rigurosamente controlado a travs de un rea de seguridad con un sistema obstructor de paso complejo y entrelazado. Las instalaciones, que fueron construidas para que estn ocupadas todos los das, las 24 horas, ofrecen acceso a interconexiones estndar, que incluyen servicio POTS, mediante una bandeja de cables compartida. Los usuarios pueden utilizar diversas instalaciones compartidas, que incluyen salas de conferencia, baos, una cocina americana, una sala de descanso y un espacio para copiado multipropsito, donde es posible enviar faxes y realizar copias. Arquitectura de la coubicacin: el centro de hosting proporciona una amplia gama de caractersticas de diseo arquitectnico para satisfacer las necesidades de hosting de Internet de las empresas, incluidas salas para conferencias multimedia y un rea de bienvenida que recibe a todos los visitantes y funciona como un registro de ingreso seguro a las instalaciones, un obstructor de paso completamente monitoreado que separa el rea de bienvenida del rea principal, un centro de operaciones con oficiales de seguridad todos los das, las 24 horas, un rea de atencin al cliente con ingenieros y tcnicos preparados para solucionar problemas y un rea de envos y recepcin. Interconectividad: con acceso directo a las principales redes globales Tier 1, los servicios de red neutra de IBM proporcionan interconexin directa con el mayor conjunto de redes para lograr diversidad de servicios, flexibilidad y confiabilidad incomparables. Esto significa que los clientes de SuccessFactors pueden acceder directamente a los proveedores que prestan servicio a ms del 90% de las redes y usuarios de Internet del mundo utilizando tecnologa lder en la industria para la seguridad fsica, la disponibilidad de energa, la flexibilidad de la infraestructura y el soporte al cliente, superando los estndares establecidos por las marcas globales de Internet y las empresas lderes.

Pgina 4 de 19

Arquitectura de la tecnologa informtica de SuccessFactors Instalaciones de primera clase: las instalaciones de pnivel de seguridad y condiciones operativas ptimas palos equipos de hosting. Todas las ubicaciones de los gabinetes han sido diseadas con acceso directo al sistema de distribucin de datos a fin de permitir una cantidad infinita de interconexiones a cualquiervelocidad. Las reas cerradas privadas y compartidas han sido diseadas con sistemas de distribucin de cables elevados, conductos elctricos de doble distribucin de energa CA y CC, lectores biomtricos de geometramanual y grabadoras de imagen CCTV. Se alcanza un tiempo de funcionamiento continuo y autenticado de ms de 99,9999% con las instalaciones ms confiables y la rutina de mantenimiento continuo.

rimera clase ofrecen el ms alto ra

Distribucin de energa y suministro de energa de reserva: se proporcionan mltiples niveles de redundancia de energa incorporada con el ms alto nivel de disponibilidad. Los suministros elctricos locales ingresan en los edificios a travs de dos servicios de las empresas de electricidad locales e ingresan en dos lneas que proporcionan diferentes distribuciones de energa elctrica. Las fuentes de energa de reserva, como la batera adicional y el suministro de energa ininterrumpible (UPS), evitan los picos de tensin, la sobretensin y los apagones. Los generadores disel redundantes de respaldo proporcionan energa elctrica adicional para mantener el centro de operaciones en funcionamiento en caso de que la empresa de electricidad no funcione correctamente. Controles ambientales: los sistemas de calefaccin, ventilacin y aire acondicionado proporcionan niveles de circulacin de aire, temperatura y humedad adecuados y constantes. Los sistemas son completamente redundantes y son monitoreados todos los das, las 24 horas. Los contratos de mantenimiento con proveedores locales especifican un tiempo de respuesta de cuatro horas o menos en caso de emergencia. Los refrigerantes de los paquetes enfriados con aire dispuestos en una configuracin redundante y respaldados por el suministro del generador proporcionan suministro de agua fra en todo momento para las unidades de precisin de aire acondicionado. Caractersticas de la seguridad fsica: los procedimientos de seguridad integrales y lderes en la industria protegen los servidores y los equipos del centro de hosting. El personal de seguridad solicita la identificacin adecuada a los visitantes y registra cada visita. Actividad de monitoreo con cmaras de seguridad en la totalidad de las instalaciones, incluidas las reas de equipos, los corredores, las reas de mecnica, envo y recepcin. Hay detectores de movimiento y alarmas ubicados en la totalidad de las instalaciones, y las alarmas silenciosas avisan automticamente a los oficiales de seguridad pblica en caso de violacin de los estndares de seguridad.

Pgina 5 de 19

Arquitectura de la tecnologa informtica de SuccessFactors Mitigacin de riesgos: el centro de hosting alberga equipos de vanguardia diseados para detectar, contener y recuperarse de incendios, inundaciones y terremotos.

Deteccin y contencin de incendios: los detectores de fuego y humo, y las alarmas y sistemas de extincin se basan en los cdigos de construccin locales. En caso de una falla en el suministro de agua de la ciudad, los pozos de reserva proporcionarn agua dulce. El sistema de contencin de incendios que usa agua con sensores (detectores), toma muestras de aire, emite alarmas antes de la presurizacin y avisos en caso de incendio. Activacin doble de la alarma (calor y/o humo) necesaria para la presurizacin del sistema.

Control de inundaciones: el centro de hosting, que se construy sobre el nivel del mar sin stanos, contiene conductos hermticamente sellados, barreras contra humedad en las paredes exteriores y salas de bombas especiales, sistemas de drenaje y evacuacin, y sensores de deteccin de humedad. El agua slo ingresa al sistema de control de incendios en caso de dos alarmas de zona cruzada y slo se dispersar en caso de que un cabezal del rociador se rompa o se derrita. Cualquier descarga de agua ser a travs del cabezal del rociador solamente, lo que limitar el potencial de daos causado por exceso de roco.

Terremoto: los sistemas estructurales cumplen o superan los requerimientos de diseo ssmico de los cdigos de construccin locales en cuanto a las fuerzas de diseo ssmico lateral. Los equipos y los componentes no estructurales, que incluyen gabinetes, estn fijados y apuntalados segn los requerimientos del Cdigo de construccin uniforme de 1997.

Arquitectura de la aplicacin SuccessFactors La aplicacin SuccessFactors est escrita en Java y cumple con la especificacin J2EE. Produce cada pgina de manera dinmica y la enva codificada al escritorio del usuario utilizando SSL. La aplicacin no entrega pginas HTML ni contenidos estticos a menos que el cliente lo solicite.

La mayor parte de las empresas que ofrecen acceso web compartido tienen un conjunto de tablas de la base de datos en una base de datos estandarizada compartida por varios clientes. Este no es el caso de SuccessFactors. Los clientes de SuccessFactors comparten la infraestructura de seguridad de la red, los servidores web, los servidores de aplicaciones y la instancia de la base de datos, pero cada cliente tiene su propio conjunto de tablas de la base de datos y su propia particin en la base de datos que contiene su propio esquema nico en ella. Cada instancia de la empresa puede exportarse completamente fuera de la base de datos sin afectar a ningn otro cliente.

Los datos del cliente se almacenan en las tablas de la base de datos en un formato con derecho de propiedad, sin codificar de SuccessFactor. La siguiente ilustracin muestra una descripcin general de la arquitectura de la aplicacin SuccessFactors.

Pgina 6 de 19


La siguiente aplicacin muestra la arquitectura del software de la aplicacin SuccessFactors.

Copia de seguridad, fallas y redundancia Los servicios de copia de seguridad, fallas y redundancia han sido diseados para ofrecer soluciones rentables que ayuden a aumentar la disponibilidad de datos y proteger la informacin de las prdidas o la destruccin accidentales.

Codificacin de las copias de seguridad: todos los datos almacenados en cintas a modo de copias de seguridad estn codificados mediante la codificacin de 128 bits. Copia de seguridad y restauracin: IBM realiza copias de seguridad de datos semanalmente y, durante la noche, realiza copias de seguridad de los datos recientemente ingresados.

Pgina 7 de 19


Disco y cinta: IBM almacena los datos guardados como copias de seguridad en discos y cintas. Las copias de seguridad de los datos se almacenan en cajas fuertes dentro de las instalaciones y se mantienen disponibles para su rpida reimplementacin y restauracin a alta velocidad si los datos originales se ven comprometidos.

Se proporciona proteccin mediante conmutacin ante fallas y redundancia en cada uno de los aspectos del procesamiento y del almacenamiento de datos, que incluye firewalls, interruptores y dispositivos de red.

Almacenamiento de cintas fuera de las instalaciones: las copias duplicadas se transfieren diariamente a reas de almacenamiento fuera de las instalaciones. Si es imposible recuperar los datos mediante el uso de los medios de respaldo disponibles en las instalaciones, el rpido acceso a las copias almacenadas puede ayudar a limitar la interrupcin de las actividades comerciales.

Copia de seguridad del cliente en CSV: los clientes pueden exportar sus datos manualmente o automticamente en formato CSV y almacenarlos del modo en que lo deseen en sus infraestructuras distribuidas geogrficamente.

Fallas geogrfica: SuccessFactor ofrece la fallas geogrfica como servicio opcional. Redundancia completa: cada componente de la infraestructura de SuccessFactors es redundante. Existen, como mnimo, dos de cada uno de los componentes de hardware que procesa el flujo y el almacenamiento de datos.

Red: SuccessFactors utiliza equipos de la red Cisco Systems, que incluyen firewall, interruptores y deteccin de intrusiones. Cada dispositivo de la red cuenta con un respaldo de conmutacin ante fallas para garantizar un tiempo de actividad mximo. Balance de las cargas y agrupamiento (clsteres) de servidores: SuccessFactors equilibra las cargas en cada nivel de la infraestructura, desde la red a los servidores de las bases de datos. Los agrupamientos (clsteres) de servidores de aplicaciones tienen la capacidad de asegurar que los servidores puedan presentar fallas sin interrumpir el trabajo del usuario. Los servidores de las bases de datos se agrupan para la conmutacin ante fallas utilizando las tecnologas de Oracle y Veritas.

Pgina 8 de 19


Arquitectura del centro de datos de los EE. UU.

IBM Routing Cloud https://performancemanager.successfactors.com

External VLAN

DMZ VLANCisco IDS 4200 Series

WEB VLAN

POWER ACT NETWORK

PIX Firewall SERIES

Cisco PixPOWER ACT NETWORK

PIX Firewall SERIES

Cisco Pix

SDCentilion 1200

PC CAPOPO WER RS - 232C

Bay Networks

READY ALARM RESETAlteon 2424 SSL Load Balancers

SDCentilion 1200

PC CAPOPO WER RS - 232C

Bay Networks

READY ALARM RESET

Database VLAN

Data Data Data

Sun 4 2 0 RENTERPRISE

Data

Data

Sales/Report/EAP App Cluster

Web Cluster

Secnap Security Device

Encryption / SAN Data Cluster

APP VLAN

SuccessFactors Production Network@IBM

Pgina 9 de 19


Recuperacin ante desastres Los servicios bsicos de la suscripcin a SuccessFactors incluyen los servicios de copia de seguridad en cinta y restauracin de IBM. Adems, SuccessFactors ofrece a los clientes opciones adicionales para la recuperacin ante desastres, que incluyen la capacidad de exportar sus datos en formato CSV, mediante la interfaz del usuario o un servicio FTP automatizado, y almacenar esos datos en ubicaciones externas a SuccessFactors. Si el cliente solicita redundancia geogrfica o tiene requerimientos especficos en cuanto a la recuperacin ante desastres, entonces, por una tarifa adicional, SuccessFactors trabajar con el cliente para desarrollar un plan de recuperacin ante desastres personalizado.

Opciones para la transferencia de datos Interfaz de la aplicacin: los archivos de datos pueden cargarse manualmente mediante la utilizacin de la interfaz del usuario de la aplicacin SuccessFactors. La transmisin de datos est codificada por una conexin SSL. Codificacin FTP con PGP: los archivos de datos pueden retransmitirse mediante un FTP seguro a nuestro servidor de FTP o al servidor del FTP del cliente. Los archivos deben estar codificados en PGP antes de ser transmitidos. SuccessFactors no limita la cantidad de registros ni el horario en el que pueden transmitirse los archivos. Mensajera segura: todas las notificaciones de mensajes de correo electrnico saliente enviadas desde SuccessFactors se codifican de modo seguro mediante sendmail/TLS. El procesador de correo electrnico corporativo del cliente tambin debe estar configurado para la codificacin con TLS para poder funcionar. La utilizacin de TLS para codificar las comunicaciones tiene las siguientes ventajas en cuanto a seguridad:

El servidor de transmisin de correo electrnico por rel de SuccessFactors autentica al cliente en el protocolo de intercambio inicial, hecho que dificulta el envo de mensajes de correo electrnico falsificados.

El contenido de los mensajes de correo electrnico est codificado para ofrecer seguridad al contenido del mensaje durante su trnsito.

La codificacin del contenido del mensaje de correo electrnico dificulta que un atacante utilice indebidamente el contenido del mensaje.

Programa cliente SOAP: si un cliente prefiere la automatizacin y no desea utilizar el FTP, SuccessFactors proporcionar un programa cliente SOAP. El cliente SOAP puede instalarse en un servidor o escritorio y puede ser administrado por un programador de tareas. El cliente SOAP establece una conexin SSL al servidor de SuccessFactors, codifica los archivos que se van a transferir y los transmite. Servicios web: SuccessFactors ofrece servicios web como opcin a la transferencia de datos.

Opciones para la integracin de datos Integrado a ms de 20 sistemas HRIS diferentes: los clientes de SuccessFactors han sido integrados a ms de 20 proveedores de sistemas HRIS diferentes. Conectores de la base de datos de la aplicacin: SuccessFactors puede integrarse con los sistemas HRIS de los clientes mediante el uso de conectores de la base de datos, pero la mayora de los clientes prefieren no tener una conexin directa.

Pgina 10 de 19


Servicios web: SuccessFactors ofrece servicios web como opcin a la integracin de datos. Archivos de valores separados por comas: la mayora de nuestros clientes prefiere integrar sus datos utilizando archivos CSV. El formato del archivo CSV es simple y requiere un mnimo de informacin, como Id. del usuario, nombre del usuario, contrasea, gerente del empleado, etc. En SuccessFactors se encuentra disponible un documento con el formato del archivo de datos que describe los datos con formato CSV.

Single Sign-On (SSO) El SSO (Single Sign On) de SuccessFactors requiere que el usuario, primero, sea identificado a travs de la intranet del cliente y que luego se lo redirija al sitio web de SuccessFactors. El mecanismo de confianza entre el cliente y SuccessFactors pasar la informacin de la identidad a SuccessFactors. Este mecanismo de confianza puede basarse en la codificacin, en marcas de tiempo, nombre de usuario y contrasea. El protocolo de transporte primario de este mecanismo de confianza es un HTTPS estndar. Consulte el documento de integracin del SSO de SuccessFactors para obtener informacin acerca de las integraciones de SSO compatibles. Si los clientes tienen requerimientos para el single sign-on que no se encuentran dentro de la oferta estndar de SSO de SuccessFactors, es posible realizar la integracin pagando una tarifa adicional.

Seguridad de la aplicacin La aplicacin SuccessFactors emplea medidas de seguridad intensivas para ofrecer proteccin contra la prdida, el uso indebido y la alteracin de datos.

Al acceder a la aplicacin por medio de un navegador, como Microsoft Internet Explorer 5.5/SP2 6.0, Netscape 6.x/7.2 o Mozilla Firefox 1.7/1.7.3 o versin ms reciente, la tecnologa de capa de conexin segura (SSL, Secure Socket Layer) protege la informacin utilizando tanto la autenticacin del servidor como la codificacin de datos para ayudar a asegurar que estos ltimos sean fiables, seguros y estn disponibles slo para usted.

SuccessFactors implementa un mtodo de seguridad avanzado que se basa en la identificacin de datos dinmicos y sesiones codificadas y es el host del sitio en un entorno de servidor seguro que utiliza un firewall y otra tecnologa de avanzada para evitar la interferencia o el acceso de intrusos externos.

SuccessFactors requiere nombres de usuario y contraseas nicos que deben introducirse cada vez que el usuario inicia sesin. Esta medida de seguridad ayuda a evitar el acceso no autorizado, a mantener la precisin de los datos y a asegurar que su uso sea el adecuado.

Servicios de monitoreo SuccessFactors utiliza una variedad de servicios de monitoreo para supervisar y mejorar el rendimiento de la aplicacin. Experiencia del usuario simulada: SuccessFactors emplea los servicios de monitoreo del rendimiento del sitio web de AlertSite para simular la experiencia del usuario final desde quince ubicaciones globales diferentes y evala tres ciudades simultneamente cada cinco minutos (http://www.alertsite.com). AlertSite es un proveedor lder en medicin del

Pgina 11 de 19


rendimiento y soluciones de monitoreo de sitios web. Rendimiento de cada servidor: SuccessFactors utiliza el control remoto sin agentes Mercury SiteScope para monitorear cada servidor individual desde nuestras oficinas corporativas (www.mercury.com/us/products/business-availability-center/sitescope/). Esto permite a SuccessFactors detectar rpidamente los servidores que tienen un bajo rendimiento y resolver los problemas de esta ndole. Mercury SiteScope ofrece las siguientes ventajas:

Agrupa las tareas de soporte y mantenimiento en un servidor central sin agentes.

Reduce la necesidad de realizar seguimientos y de administrar de manera remota miles de agentes y gastos generales en sistemas de produccin.

Permite la implementacin de Plantillas de solucin, que son grupos de controladores basados en el mejor rendimiento para las aplicaciones clave.

Elimina las soluciones mltiples al utilizar ms de 65 objetivos de monitoreo compatibles.

El monitoreo sin agentes con SiteScope ha sido diseado para asegurar la disponibilidad y el rendimiento de las infraestructuras de TI distribuidas, que incluyen servidores, sistemas operativos, dispositivos de red, servicios de red, aplicaciones y componentes de las aplicaciones. SiteScope proporciona informacin en tiempo real que permite verificar el funcionamiento de la infraestructura, mantenerse informado acerca de los problemas y resolver cuellos de botella antes de que se tornen crticos. Perfil del cdigo fuente: SuccessFactors utiliza Introscope, una herramienta de monitoreo de rendimiento de Java de Wily Technologies (adquirido por CA) (www.wilytech.com) para lograr una visibilidad integral de las transacciones a fin de determinar si un servidor individual funciona con lentitud. Esto permite que SuccessFactors identifique cdigos de bytes de Java con bajo rendimiento en los servidores de produccin, de modo que no sea necesario simular problemas de rendimiento en un entorno de laboratorio. Los problemas de rendimiento pueden identificarse en tiempo real cuando se producen y resolverse rpidamente. Introscope ofrece las siguientes ventajas:

Administra de manera dinmica la disponibilidad y el rendimiento de las aplicaciones basadas en Java.

Ofrece un monitoreo en tiempo real que revela con precisin la actividad interna de las aplicaciones J2EE en entornos de produccin, control de calidad y desarrollo.

Asla los problemas del componente J2EE correspondiente. Proporciona tableros analticos que resumen el estado general de los portales e

indica rpidamente las reas con problemas dentro del flujo de trabajo. Enva alertas para informar los problemas de rendimiento antes de que

afecten a los usuarios de la aplicacin. Monitorea el 100% de las transacciones totales y puede realizar

seguimientos de las transacciones individuales.

Pgina 12 de 19


Registra el 100% de los datos de rendimiento para la solucin de problemas, el anlisis de tendencias y la planificacin de la capacidad.

Ofrece a los equipos de tecnologa la capacidad de aislar y resolver rpidamente los problemas de rendimiento de las aplicaciones cuando se presentan en cada una de las etapas del ciclo de vida de la aplicacin, lo que permite monitorear la produccin de las aplicaciones de Java en todo momento.

Permite que la empresa aproveche la experiencia de la organizacin de TI al presentar datos importantes acerca del rendimiento de la aplicacin en tableros analticos fciles de usar para el establecimiento de prioridades en los cuellos de botella del rendimiento, administracin de Acuerdos de nivel de servicio (SLA; Service Level Agreements), planificacin de la capacidad, anlisis de tendencias y ms.

Poltica de escalabilidad de SuccessFactors SuccessFactors ofrece la capacidad de escalabilidad al utilizar el exceso de capacidad y la prediccin de carga.

Prediccin de carga: mediante la utilizacin histrica de la aplicacin y los datos de las ventas de nuevas suscripciones, SuccessFactors realiza predicciones de capacidad del servidor mensual, trimestral y anualmente para asegurar el rendimiento mximo de la aplicacin.

Exceso de capacidad: SuccessFactors mantiene un exceso de capacidad en el servidor en todo momento mediante servidores completamente configurados que se encuentran en modo de espera. Cuando SuccessFactors habilita a los servidores para que realicen cargas mximas, se ordena a los servidores nuevos que aseguren que esa capacidad de reserva importante del servidor se mantenga en todo momento.

Seguridad del escritorio Codificado en el escritorio: cada una de las pginas de la aplicacin SuccessFactors se entrega a travs de la codificacin con SSL. El nico puerto habilitado en la infraestructura de SuccessFactors es el puerto 443 para SSL. No se permite trfico de HTTP ni de puerto 80.

Escritorios seguros: SuccessFactors slo entrega HTML y JavaScript puros, de modo que los escritorios no necesitan cambios ni permisos especiales. Esto tambin garantiza la mxima seguridad del entorno del escritorio.

Tiempo de espera en la sesin: SuccessFactors ejecuta el tiempo de espera en la sesin si la aplicacin permanece inactiva durante 30 minutos.

Acceso Las reglas para el nombre de usuario y la contrasea son altamente configurables por parte de los administradores del cliente, a travs de la aplicacin SuccessFactors.

Pgina 13 de 19


Permisos La aplicacin SuccessFactors utiliza un modelo de seguridad basado en permisos. Se validan las solicitudes.

Parches y actualizaciones Se aplican parches y actualizaciones a los sistemas operativos Solaris en los servidores SuccessFactors de manera continua, por intermedio del equipo de IBM.

Confidencialidad SuccessFactors mantiene acuerdos de confidencialidad estrictos con todos sus empleados, contratistas, clientes y proveedores.

Auditoras de seguridad SuccessFactors acepta las solicitudes de los clientes que desean realizar sus propias auditoras de seguridad y sus evaluaciones siempre que se logre un acuerdo mutuo acerca del tiempo y las condiciones de la evaluacin. SuccessFactors asiste y es sometido regularmente a lo siguiente:

Evaluaciones de la vulnerabilidad de la infraestructura Evaluaciones de la vulnerabilidad de la aplicacin Revisiones de seguridad y auditoras de infraestructura completas

Gestin de la resolucin de problemas La cultura y la filosofa comercial centrada en el cliente de SuccessFactors se refleja claramente en un servicio al cliente de nivel superior.

Los clientes pueden informar sus problemas o consultas de dos formas diferentes, pueden comunicarse con nuestro equipo de xito del cliente al 800-846-6503 en los EE. UU. y 650-645-2078 para el resto de los pases, o comunicarse en lnea, en http://www.successfactors.com/support/login/. Independientemente del modo que utiliza para comunicarse con nosotros, nuestro sistema de gestin de problemas asegura que las consultas del cliente sern atendidas por el personal adecuado tan pronto como sea posible.

El sistema de solucin de problemas de SuccessFactors se utiliza para reunir y distribuir la informacin del cliente a todas las personas correspondientes, para registrar las actividades realizadas para resolver el problema y para permitir que el equipo de xito del cliente monitoree el progreso hasta llegar a la solucin. Este proceso ofrece a nuestros clientes un estado de resolucin preciso y con la tecnologa ms reciente y ofrece a SuccessFactors los datos necesarios pare mejorar la calidad de la aplicacin.

Pgina 14 de 19


Estndares de seguridad de la informacin de SuccessFactors Los activos comerciales de SuccessFactors incluyen la informacin y el entorno de procesamiento de la informacin que la respalda. La identificacin, la implementacin, el mantenimiento y la optimizacin de la seguridad de la informacin son esenciales para mantener el cumplimiento de los estndares y una ventaja competitiva. Las amenazas a la seguridad provenientes de orgenes muy diversos, tanto las naturales como las causadas por el hombre incentivan a SuccessFactors a asegurar que se tomen todas las medidas necesarias para garantizar la seguridad de la informacin. SuccessFactors ha establecido polticas, estndares y procedimientos estrictos en cuanto a todas las actividades relacionadas con el acceso de los empleados, contratistas y proveedores externos a su entorno de procesamiento de informacin. Adems de los estrictos estndares de seguridad de SuccessFactors, los procedimientos documentan los procesos crticos para asegurar resultados coherentes y previsibles. La importancia de la seguridad de la informacin se refleja en nuestros estndares y en nuestra exigencia acerca de que todos los empleados expresen por escrito que comprenden sus funciones y responsabilidades en cuanto a la seguridad de la informacin.

Estndar de uso aceptable La proteccin de la informacin y de las instalaciones destinadas a su procesamiento contra las vulnerabilidades, las intrusiones y la manipulacin indebida es responsabilidad de todo el personal de SuccessFactors. El propsito principal del estndar de uso aceptable de SuccessFactors es especificar claramente de qu manera el personal de SuccessFactors puede acceder al entorno informtico de SuccessFactors y utilizarlo. Educar a nuestra fuerza laboral es el primer paso para proteger los datos de los clientes.

Control de acceso: autorizacin de acceso del usuario SuccessFactors exige que el acceso a todas las instalaciones de procesamiento de informacin y a los procesos del negocio se controlen de acuerdo con los requerimientos comerciales y de seguridad. En todos los casos, el acceso a las computadoras se basa en el concepto de menor privilegio. Los usuarios estn limitados al conjunto de privilegios mnimos necesarios para desempear la funcin requerida. Todos los usuarios cuentan con un identificador nico (Id. de usuario) para su uso personal exclusivo.

Estndar de antivirus Para minimizar la amenaza de virus y troyanos, el software antivirus de SuccessFactors se ejecuta permanentemente en la memoria donde puede analizar archivos y discos cada vez que se accede a ellos. La configuracin restringe la desactivacin del software. Todos los datos introducidos en el entorno informtico de SuccessFactors es analizado antes de su introduccin, incluido el correo electrnico, los CD y DVD, Internet y las unidades de almacenamiento en miniatura.

Pgina 15 de 19


Estndar de la aplicacin y de la informacin Un estndar de control de acceso a la aplicacin y a la informacin asegura que se accede a todas las bases de datos en todos los servidores de manera adecuada, si se cuenta con la autenticacin correspondiente. Esto incluye el uso, el almacenamiento y la recuperacin correctos de todos los nombres de usuarios, contraseas y archivos fuente de autenticacin.

Propiedad de activos e inventario Todos los activos fsicos son asignados a un miembro designado de la administracin de SuccessFactors, que es responsable de la proteccin y el mantenimiento de dichos activos durante su vida til. Un inventario de los equipos y del software, junto con las clasificaciones de cada activo que refleja su importancia en la misin de SuccessFactors, permite una proteccin eficaz de los activos de SuccessFactors.

Estndar de procedimientos operativos y de responsabilidades SuccessFactors mantiene las responsabilidades y los procedimientos de diagramacin de documentos para la administracin y la actividad de todas las instalaciones de procesamiento de informacin. Los procedimientos garantizan una configuracin coherente y segura de todos los equipos utilizados para el procesamiento de informacin que son administrados por SuccessFactors.

Continuidad de las actividades comerciales SuccessFactors implementa procesos de administracin de continuidad de las actividades comerciales para minimizar el impacto de un incidente de continuidad sobre SuccessFactors ya sea causado por catstrofes naturales, accidentes, fallas en los equipos o acciones deliberadas, mediante una combinacin de controles preventivos y de recuperacin. Los planes de continuidad de las actividades ofrecen procedimientos y respuestas que permiten mantener o restaurar las actividades y asegurar la disponibilidad de la informacin despus de las interrupciones o las fallas en los procesos del negocio crticos. Cada jefe de departamento es responsable del desarrollo de planes de continuidad de las actividades comerciales para respaldar su funcin comercial. SuccessFactors considera que la planificacin para contingencias es un proceso iterativo, que requiere una revisin permanente, para evaluar los diferentes riesgos y las respuestas adecuadas.

Clasificacin de datos La informacin de SuccessFactors se clasifica para indicar la necesidad, las prioridades y el nivel de proteccin esperado al manejar la informacin.

SuccessFactors depende en gran medida de la informacin para llevar a cabo su misin. Todos los usuarios de la red de informacin de SuccessFactors tienen la responsabilidad de proteger la confidencialidad, la integridad y la disponibilidad de los datos a los que se accede, que se generan, modifican, transmiten, almacenan o utilizan en el transcurso de las actividades comerciales.

Pgina 16 de 19


Toda la informacin, independientemente del medio o el formato, se clasifica para reflejar su nivel de confidencialidad o importancia para SuccessFactors y sus clientes. Todos los datos del cliente se clasifican como altamente confidenciales.

Codificacin de datos y controles criptogrficos SuccessFactors implementa la tecnologa de capa de conexin segura (SSL, Secure Sockets Layer), que consiste en una clave pblica y una privada, para proteger la informacin confidencial. La clave pblica se utiliza para codificar informacin y la clave privada se utiliza para descifrarla. Cuando un navegador web intenta acceder a un dominio privado, un protocolo de intercambio de capa de conexin segura autentica el servidor (sitio web) y el cliente (navegador web). Se establece un mtodo de codificacin con una clave de sesin nica. Entonces, los clientes pueden iniciar una sesin segura que garantiza la privacidad y la integridad de sus mensajes. SuccessFactors ofrece, adems, codificacin para inactividad del disco. El dispositivo de codificacin Decru DataFort se integra con nuestro almacenamiento en SAN para proporcionar un entorno de almacenamiento de datos confiable y seguro. SuccessFactors utiliza codificacin AES de 256 bits para asegurar los datos en el nivel de bloque de nuestros sistemas de almacenamiento. La administracin de claves de Decru ha aprobado la evaluacin de certificacin de nivel 3 de FIPS 140-2.

Seguridad de recursos humanos Las responsabilidades en cuanto a la seguridad se abordan a lo largo de la permanencia del empleado en SuccessFactors para asegurar que los empleados, contratistas y usuarios externos comprendan sus responsabilidades y que sean aptos para sus funciones. Se realiza la verificacin de los antecedentes de todos los postulantes que desean obtener un empleo en SuccessFactors. Como parte de las obligaciones contractuales, los empleados, contratistas y usuarios externos deben confirmar por escrito que comprenden sus funciones y responsabilidades en cuanto a la seguridad de la informacin. La capacitacin sobre seguridad de la informacin es un proceso educativo permanente durante la permanencia del empleado en SuccessFactors. Al dejar su empleo, se les recuerda a los empleados que dejan la empresa sus obligaciones de confidencialidad.

Administracin de incidentes relacionados con la seguridad de la informacin SuccessFactors implementa el informe formal de eventos y procesos de escalacin a un nivel superior a fin de manejar los incidentes relacionados con la seguridad de la informacin. Todos los empleados, contratistas y usuarios externos reciben capacitacin anual sobre seguridad de la informacin, durante la que se aborda el modo de informar diferentes tipos de eventos y debilidades que podran afectar la seguridad de los activos de SuccessFactors. Es responsabilidad de todo el personal de SuccessFactors informar cualquier tipo de violacin potencial de la seguridad de la informacin al personal de Seguridad de la informacin, tan pronto como sea posible.

Pgina 17 de 19


SuccessFactors utiliza los servicios de monitoreo de IBM y SECNAP para ejecutar controles de seguridad de la red administrada todos los das, las 24 horas. Estos servicios de monitoreo ayudan a eliminar las vulnerabilidades de la red y a detener los ataques informticos destructivos o las intrusiones no autorizadas en la red.

Las notificaciones de vulnerabilidades y de incidentes en la seguridad en tiempo real se introducen en el sistema de tratamiento de problemas de SuccessFactors, y se notifica al personal adecuado de SuccessFactors. Todas las medidas tomadas para solucionar el problema se documentan, lo que permite realizar un seguimiento de todos los problemas hasta solucionarlos.

El personal de Seguridad de la informacin genera informes relacionados con la necesidad de mejores o ms controles para limitar la frecuencia, los daos y el costo producido por eventos futuros, adems de las revisiones que exigen las polticas de seguridad de la informacin.

Administracin de la seguridad de la red Las polticas y los procedimientos de administracin de la seguridad de la red documentan el enfoque adecuado que debe tomarse en diferentes circunstancias para garantizar que la red est preparada para la tarea de respaldar completamente los servicios para los cuales se necesita.

Todas las modificaciones y los agregados a la red deben implementarse junto con el equipo de administracin de la red, que es el responsable de la totalidad de la red de la empresa.

La administracin de la red implementa controles para garantizar la seguridad de la informacin en las redes y la proteccin de los servicios conectados del acceso no autorizado.

Las funciones de seguridad, los niveles de servicio y los requerimientos de administracin de todos los servicios de la red estn identificados e incluidos en todos los acuerdos de servicio de la red, ya sea que dichos servicios se brinden en las instalaciones o sean tercerizados.

Estndar de procedimientos operativos y de responsabilidades Las responsabilidades y los procedimientos para la administracin y el funcionamiento de todo tipo de procesamiento de informacin estn establecidos y documentados. Los procedimientos aseguran una configuracin coherente y segura de todos los equipos de procesamientos de informacin que administra SuccessFactors.

Norma de contrasea SuccessFactors exige la utilizacin de contraseas seguras que cumplan con los requerimientos especficos y los cambios regulares de las contraseas. Los requerimientos estrictos para la autorizacin, las contraseas seguras y varias capas adicionales de control administran el acceso a los sistemas informticos y al cdigo fuente de SuccessFactors.

Pgina 18 de 19


Seguridad de archivos de sistema Slo el personal autorizado tiene acceso a los archivos de sistema y al cdigo fuente del programa. Las bibliotecas fuente se mantienen separadas de los sistemas de produccin. El acceso fsico a los equipos se controla por medio de una tarjeta llave. El acceso a los archivos de sistema y al cdigo fuente del programa se controla mediante llaveros a control remoto y contraseas del sistema. Los procedimientos de gestin de cambios de SuccessFactors controlan los cambios y la instalacin de software para minimizar el riesgo de deterioro de los sistemas de produccin.

Planificacin y aceptacin del sistema Para asegurar la fiabilidad del entorno de produccin, antes de incorporar nuevos sistemas al entorno, SuccessFactors exige que se establezcan y se evalen todos los requerimientos de los nuevos sistemas antes de aceptarlos y utilizarlos.

Administracin de servicios prestados por terceros Se establecen procesos para garantizar que los controles de seguridad, las definiciones de servicio y los niveles de prestacin sean incluidos en los acuerdos de servicios prestados por terceros. Todos los servicios, informes y registros se monitorean y se revisan regularmente para garantizar que los trminos y las condiciones de seguridad de la informacin se respeten y que los incidentes y problemas de seguridad de la informacin se manejen de manera adecuada. Los cambios en la prestacin de servicios, incluidos el mantenimiento y la mejora de las polticas de seguridad de la informacin, los procedimientos y los controles existentes se administran de manera adecuada teniendo en cuenta la importancia de los sistemas y procesos del negocio con los que se relacionan.

Administracin de vulnerabilidades tcnicas Se implementa la administracin de vulnerabilidades tcnicas a fin de reducir los riesgos que surgen a partir de la explotacin de las vulnerabilidades tcnicas. Se utilizan los registros del operador y el registro de fallas para garantizar que se identifiquen los problemas del sistema de informacin. El monitoreo del sistema se utiliza para comprobar la eficacia de los controles adoptados y para comprobar que se cumplan las polticas y las normas de seguridad de la informacin de SuccessFactors. SuccessFactors implementa SecNap, el monitoreo de IBM y ScanAlert (proteccin contra hackers) para realizar un anlisis en busca de vulnerabilidades internas y externas. Los anlisis se ejecutan diariamente para garantizar que la infraestructura no presente vulnerabilidades. Todos los problemas de seguridad detectados se informan en tiempo real al personal de Seguridad de la informacin y a la gerencia de TI, se introducen en el sistema de tratamiento de problemas de SuccessFactors para una investigacin con seguimiento y se realiza un seguimiento hasta alcanzar una solucin.

Pgina 19 de 19

Introduccin Caractersticas de las instalaciones de IBM Arquitectura de la aplicacin SuccessFactors Copia de seguridad, fallas y redundancia Arquitectura del centro de datos de los EE.UU. Recuperacin ante desastres Opciones para la transferencia de datos Opciones para la integracin de datos Single Sign-On (SSO) Seguridad de la aplicacin Servicios de monitoreo Poltica de escalabilidad de SuccessFactors Seguridad del escritorio Acceso Permisos

Parches y actualizaciones Confidencialidad Auditoras de seguridad Gestin de la resolucin de problemas Estndares de seguridad de la informacin de SuccessFactors Estndar de uso aceptable Control de acceso: autorizacin de acceso del usuario Estndar de antivirus Estndar de la aplicacin y de la informacin Propiedad de activos e inventario Estndar de procedimientos operativos y de responsabilidades Continuidad de las actividades comerciales Clasificacin de datos Codificacin de datos y controles criptogrficos Seguridad de recursos humanos Administracin de incidentes relacionados con la seguridad de la informacin Administracin de la seguridad de la red Estndar de procedimientos operativos y de responsabilidades Norma de contrasea Seguridad de archivos de sistema Planificacin y aceptacin del sistema Administracin de servicios prestados por terceros Administracin de vulnerabilidades tcnicas

Documents

Arquitectura de La Tecnologia de Informacion SuccessFactors