Alojamientos todos nuestros datos en instalaciones de Amazon Web Services (AWS) físicamente seguras y ubicadas en EE. UU., que incluyen seguridad in situ 24/7 y monitoreo de acceso.
Todos los datos enviados a o desde Figr se cifran utilizando Transport Layer Security (TLS) y HTTP Strict Transport Security (HSTS), y todos los datos de los clientes se cifran utilizando AES-256.
El acceso a los datos del cliente está limitado a las funciones que tienen un requisito comercial para hacerlo. El acceso a entornos que contienen datos del cliente requiere una serie de controles de autenticación y autorización, incluida la autenticación multifactor (MFA). Figr aplica los principios de mínimo privilegio y necesidad de saber para el acceso a los datos del cliente, y el acceso a esos entornos se monitorea y registra con fines de seguridad.
La infraestructura de Figr ha sido diseñada para ser tolerante a fallos. Todas las bases de datos operan en una configuración de clúster y la capa de aplicación escala utilizando tecnología de balanceo de carga que satisface dinámicamente la demanda.
Figr mantiene políticas de seguridad actualizadas para abordar las necesidades de seguridad cambiantes. Estas políticas están disponibles para los empleados para capacitación y referencia en la plataforma interna de la empresa.
Los nuevos empleados de Figr se someten a verificaciones de antecedentes y deben completar una capacitación de concienciación sobre seguridad durante la incorporación y anualmente a partir de entonces. Cuando un empleado se va, deshabilitamos inmediatamente su acceso a dispositivos, aplicaciones y recursos de la empresa a través de las herramientas de gestión de identidad y dispositivos de Figr.
El Equipo de Seguridad de Figr educa regularmente a los empleados sobre nuevas amenazas de seguridad y lleva a cabo campañas de concienciación sobre phishing.
Figr cuenta con un programa para gestionar la administración de visitantes, el control de acceso a la oficina y la seguridad general de la oficina.
El desarrollo de código se realiza a través de un proceso SDLC documentado, y cada cambio se rastrea a través de GitHub. Los controles automatizados aseguran que los cambios sean revisados por pares y pasen una revisión de seguridad interna antes de ser implementados en producción.
Nuestros proyectos pasan por revisiones exhaustivas de diseño de seguridad, modelos de amenazas y pruebas de penetración regulares utilizando proveedores de seguridad de confianza. Además, realizamos constantemente ejercicios de modelado de amenazas para adelantarnos a posibles riesgos de seguridad.
Todo el acceso a las aplicaciones se registra y audita. También utilizamos una amplia variedad de soluciones para identificar y eliminar rápidamente las amenazas, incluyendo:
Nos aseguramos de que todas nuestras aplicaciones y proveedores de terceros cumplan con nuestros estándares de seguridad y protección de datos antes de utilizarlos.
Los clientes mantienen un control total sobre sus datos dentro de la plataforma de Figr, incluyendo:
Sus datos le pertenecen. Figr no vende datos de clientes ni utiliza sus diseños propietarios para mejorar modelos que sirvan a otros clientes.
Nos aseguramos de que todas nuestras aplicaciones y proveedores de terceros cumplan con nuestros estándares de seguridad y protección de datos antes de utilizarlos.
Consulte figr.design/privacy para conocer nuestra política más reciente.
Integración SAML 2.0 con proveedores de identidad populares, incluyendo Okta, Azure AD y Google Workspace.
Registros de auditoría exhaustivos para todas las actividades de diseño, el acceso de usuarios y los cambios administrativos con registro inmutable.
Los controles de seguridad personalizados incluyen:
Nos sometemos a auditorías anuales SOC 2 Tipo II a través de nuestra plataforma de cumplimiento Sprinto, con evaluaciones de seguridad internas trimestrales adicionales y pruebas de penetración anuales.
Sí. Los clientes empresariales pueden solicitar nuestro paquete de seguridad que incluye nuestro informe SOC 2, respuestas a cuestionarios de seguridad y una descripción general de la arquitectura técnica.
Seguimos procedimientos documentados de respuesta a incidentes con SLAs definidos. Se notifica a los clientes en un plazo de 72 horas de cualquier incidente confirmado que afecte a sus datos.
Implementamos un estricto aislamiento de modelos, asegurando que sus diseños y el contexto del producto permanezcan privados. Los diseños generados nunca se comparten entre cuentas y mantenemos registros de auditoría para todas las interacciones de IA.
Sí, ofrecemos opciones de implementación local para clientes empresariales con requisitos específicos de seguridad o cumplimiento. Contacte con nuestro equipo para hablar sobre sus necesidades de implementación.