CarGurus se toma la seguridad en serio

Estas son nuestras prácticas.

Empleamos rigurosas medidas de seguridad a nivel organizativo, arquitectónico y operativo para proteger nuestras aplicaciones, nuestra infraestructura y los datos de nuestros clientes y visitantes al sitio web. En CarGurus, promovemos activamente la concientización sobre temas de seguridad, damos capacitación en protección de datos e implementamos las mejores prácticas para garantizar que los principios de seguridad y la privacidad de los datos sean una prioridad para nuestros empleados. Tomamos en consideración los principios de seguridad de la información cuando diseñamos nuestra plataforma, administramos nuestras redes y llevamos a cabo nuestras operaciones comerciales diarias.

Gobernanza

En CarGurus hemos implementado formalmente políticas de privacidad de datos, seguridad de la información y uso aceptable que rigen las actividades de los empleados. Capacitamos a nuestros empleados en estas políticas cuando se incorporan y en períodos regulares. Además, nuestros equipos de Seguridad de la Información y de TI se encargan de garantizar que se cumplan las políticas mediante controles técnicos.

Gestión de riesgos

En CarGurus realizamos evaluaciones regulares de riesgos de seguridad de la información que abarcan nuestras instalaciones, sistemas y activos de información. Los resultados de estas evaluaciones de riesgos y las sugerencias para mitigarlos se comparten con el personal directivo cuando procede. Los resultados de nuestras evaluaciones de riesgos especifican propuestas de cambios en los sistemas, procesos, políticas y herramientas para reducir las vulnerabilidades de seguridad y las amenazas a CarGurus, sus clientes y los visitantes a su sitio web. Mitigamos riesgos mediante la aplicación de políticas, procedimientos y controles.

Administración de la seguridad de los proveedores

En CarGurus realizamos y registramos evaluaciones de seguridad a nuestros proveedores de servicios. Los vendedores se aprueban o rechazan en función de su postura relativa en cuanto a seguridad y del riesgo que introducirían para CarGurus.

Operaciones de seguridad

En CarGurus empleamos protecciones de seguridad de última generación en puntos de conexión, sistemas de detección de intrusos y protecciones avanzadas de correo electrónico para monitorear nuestros sistemas y prevenir posibles incidentes de seguridad. CarGurus utiliza una solución antimalware de última generación para hacer frente al software malicioso y a otras amenazas. Los agentes antimalware se administran de forma centralizada y están configurados para instalar actualizaciones regularmente. Estos agentes alertan a los analistas de operaciones cuando se detecta malware para que puedan tomar medidas.

Para identificar y remediar las vulnerabilidades a través de nuestras redes utilizamos un programa de gestión de vulnerabilidades que reduce la exposición y minimiza nuestra superficie de ataque. También monitoreamos ininterrumpidamente nuestros sistemas fundamentales.

Control de acceso

En CarGurus utilizamos controles de administración de identidad y acceso para proporcionar acceso a nuestros sistemas a través de cuentas de usuario con los privilegios apropiados. Todo el acceso que proporcionamos a la red y a las aplicaciones fundamentales sigue el principio de mínimo privilegio. Limitamos el acceso administrativo clave al personal autorizado. Existen procedimientos de aprovisionamiento y desaprovisionamiento para documentar los niveles de acceso pertinentes y las aprobaciones que se conceden para acceder a los sistemas y datos fundamentales. Realizamos evaluaciones periódicas del acceso a los sistemas y aplicaciones fundamentales utilizando un enfoque basado en los riesgos.

Para nuestras aplicaciones empresariales fundamentales utilizamos una plataforma de administración de identidad con inicio de sesión único que nos proporciona un proveedor. Asignamos a los usuarios identificadores únicos y hacemos cumplir los requisitos de contraseña que se ajustan, como mínimo, a las normas del NIST. Nuestra plataforma de administración de identidad hace cumplir la política de contraseñas de CarGurus y requiere una autenticación multifactor.

Seguridad física

La plataforma de CarGurus está alojada en la nube y en centros de datos de última generación. Los centros de datos comparten la ubicación y proporcionan controles de seguridad física y ambiental (incluidos la identificación biométrica, entrada supervisada, equipos de seguridad en las instalaciones de manera ininterrumpida y sistemas de circuito cerrado de televisión). El acceso a los centros de datos está limitado a las personas autorizadas. Las instalaciones de nuestro centro de datos mantienen informes SOC 2, que describen y prueban los controles internos de la organización del servicio.

Privacidad y protección de datos

En CarGurus nos tomamos en serio la protección de los datos personales. Las bases de datos están cerradas mediante controles de acceso basados en roles y al inicio de la sesión se aplica la autenticación multifactor. CarGurus emplea protocolos de cifrado reconocidos para los datos en tránsito y en reposo.

CarGurus reconoce y se adhiere a las leyes y regulaciones de privacidad de datos, entre ellas, el Reglamento General de Protección de Datos de la UE (RGPD), la Ley de Privacidad del Consumidor de California (CCPA), y el estándar de seguridad de datos PCI. El GDPR y la CCPA establecen obligaciones relativas a la recopilación, el procesamiento y la transmisión de datos personales. En CarGurus hemos implementado controles en toda nuestra organización para lograr mejor el cumplimiento de estos marcos legales y mantenerlo. Para obtener más información acerca de nuestras prácticas de privacidad de datos, visita la política de privacidad de CarGurus [enlace a la política de privacidad específica del país e idioma].

Concientización sobre temas de seguridad

CarGurus proporciona capacitación en privacidad de datos y concientización sobre temas de seguridad a sus empleados durante su proceso de incorporación y en períodos regulares. Además, nuestro equipo de Seguridad de la Información publica frecuentemente alertas y consejos de seguridad en canales de comunicación internos.

Disponibilidad

CarGurus tiene procedimientos de respaldo documentados. CarGurus realiza regularmente copias de seguridad completas de todas las bases de datos de producción. Las copias de seguridad de los datos se replican en una ubicación externa de forma regular.

Seguridad de la aplicación

CarGurus realiza pruebas de la plataforma tanto internas como externas. También nos hemos asociado con una plataforma externa para hospedar nuestro programa de recompensas por notificación de errores, que permite a los investigadores de seguridad notificar de manera segura las vulnerabilidades y los errores de las plataformas y sistemas de CarGurus. Además, hemos contratado a un experto en seguridad para que realice periódicamente pruebas de penetración en redes externas y aplicaciones web. CarGurus aplica un enfoque sistemático para administrar el cambio con el fin de garantizar que los cambios en los servicios que afectan a CarGurus y a los clientes primero se revisen, se prueben y se aprueben. El objetivo del proceso de administración de cambios de CarGurus es evitar que lleguen al entorno de producción los cambios no intencionados. Todos los cambios fundamentales implementados en producción se someten a un proceso de revisión, prueba y aprobación antes de su lanzamiento.