Seguridad - Preguntas frecuentes

Preguntas frecuentes sobre seguridad de GitLab

¿Te preocupa la seguridad en los servicios en la nube? ¿Te interesa aprender más sobre el programa de seguridad de GitLab? ¿Estás confundido sobre qué es un modelo de responsabilidad compartida? ¡No estás solo!

Para obtener más información, comienza descargando nuestro Paquete de garantía del cliente de la comunidad. Incluye 2 cuestionarios de seguridad comunes completados: el cuestionario CSA CAIQ de nivel 1 y el cuestionario ligero de recopilación de información estándar (SIG). Estos dos cuestionarios documentan más de 300 preguntas de seguridad frecuentes y proporcionan a nuestros clientes y prospectos un único lugar para recopilar esta información. También hemos recopilado algunas preguntas frecuentes a continuación para ayudar en las revisiones de seguridad.

Informes de cumplimiento y garantía de seguridad

¿Tiene GitLab un programa de seguridad de la información?

Sí. GitLab, Inc mantiene un programa de seguridad de la información documentado que incluye políticas y procedimientos que incluyen, entre otros, gestión de acceso, clasificación y protección de datos, y respuesta a incidentes. Los enlaces a estos documentos están disponibles en el sitio del Paquete de garantía del cliente.

¿El programa de seguridad de GitLab está alineado con los estándares de la industria?

Sí. GitLab, Inc mantiene un departamento formal de garantía de seguridad responsable de monitorear e informar sobre el cumplimiento de GitLab con varios marcos de seguridad. Para obtener la lista más actualizada de marcos de seguridad actuales y certificaciones, certificaciones en la hoja de ruta e instrucciones para obtener documentación de garantía, consulta la página del manual de certificaciones y atestaciones de seguridad de GitLab. GitLab ha documentado controles de seguridad que cumplen con los estándares comunes de la industria.

¿Tiene GitLab alguna atestación de cumplimiento de terceros?

Sí. GitLab, Inc actualmente tiene un informe SOC2 tipo 2, certificación ISO 27001 y varias auto-atestaciones de la industria que pueden proporcionarse bajo NDA. Para obtener la lista más actualizada, consulta la página del manual de certificaciones y atestaciones de seguridad de GitLab.

Seguridad en la nube

¿Depende GitLab.com de proveedores de nube para respaldar los servicios al cliente?

Sí. GitLab.com se implementa en la infraestructura Google Cloud Platform (GCP) como servicio (IaaS) así como en varios otros subprocesadores. Para obtener una arquitectura detallada, consulta nuestra arquitectura de producción

Marco de control de GitLab

En el espíritu del valor fundamental de eficiencia de GitLab Inc, nuestro equipo de cumplimiento de seguridad mantiene un conjunto de controles de seguridad que abordan múltiples requisitos subyacentes. A continuación se anotan algunos controles comunes.

¿Cifra GitLab mis datos en tránsito y en reposo?

Sí. GitLab, Inc utiliza TLS Strict, HTTPS y Universal SSL para cifrar datos en tránsito. Los datos se cifran en reposo utilizando Google Cloud Platform compatible con AES-256.

¿Tiene GitLab un plan de respuesta a incidentes?

Sí. GitLab, Inc tiene un equipo dedicado de respuesta a incidentes de seguridad y un plan de gestión de incidentes documentado que incluye identificación, contención, remediación y comunicación durante todo el ciclo de vida de un incidente.

¿Realiza GitLab pruebas de penetración regularmente por parte de una empresa tercera?

Sí. GitLab, Inc contrata con un proveedor de servicios terceros para realizar pruebas de penetración anuales de nuestra infraestructura y producto. GitLab requiere que un NDA esté en vigor antes de proporcionar el informe anual. Se solicita una carta de compromiso detallada con un NDA.

¿Tiene GitLab un plan de continuidad del negocio/plan de recuperación ante desastres?

Sí, GitLab tiene un plan de continuidad del negocio que se revisa y prueba anualmente.

¿A qué datos tiene acceso GitLab (personales y comerciales)?

GitLab, Inc requiere información para la creación de cuentas de usuario, incluyendo, entre otros, nombre, correo electrónico y direcciones IP. La información comercial adicional, como el nombre de la empresa y el número de empleados, será accesible para respaldar la facturación y la contratación. La información personal se puede eliminar de tu perfil y las solicitudes de eliminación de datos se pueden realizar en cualquier momento. GitLab, Inc es el procesador de datos y nuestros clientes son controladores de datos. Otra información que se puede proporcionar, pero no es obligatoria, se enumera a continuación:

Detalles personales (incluyendo, entre otros):

  • Ciudad
  • Código postal
  • País
  • Estado o territorio

¿Realiza GitLab copias de seguridad?

Sí. GitLab realiza copias de seguridad con datos incrementales continuos. Las copias de seguridad se cifran y se prueban regularmente.

¿Cuáles son los tiempos de RTO y RPO de GitLab?

GitLab actualmente no tiene un RTO/RPO establecido para la recuperación ante desastres de GitLab.com. Establecer objetivos establecidos como parte de nuestras capacidades de recuperación es un objetivo importante para GitLab. De acuerdo con nuestro enfoque en la transparencia, solo proporcionaremos estos valores cuando se puedan confiar en los resultados de pruebas reales de escenarios de recuperación ante desastres simulados. Te invitamos a familiarizarte con nuestra arquitectura SaaS así como con la forma en que monitoreamos la disponibilidad.

Seguridad de productos de GitLab

¿Cómo maneja GitLab las versiones de seguridad?

GitLab lanza parches para vulnerabilidades en versiones de seguridad dedicadas. Hay dos tipos de versiones de seguridad:

  • Versión de seguridad programada mensualmente que se lanzará una semana después de la versión de funcionalidades (que se implementa cada mes)
  • Versiones de seguridad ad hoc para vulnerabilidades críticas. La corrección de cada vulnerabilidad se retroporta a la versión actual y a las 2 versiones major.minor anteriores.

Para ayudarte a comprender las vulnerabilidades que se corrigieron, una publicación de blog acompaña cada versión de seguridad e incluye una breve descripción, las versiones afectadas y el ID de CVE asignado para cada vulnerabilidad. Las publicaciones de blog de versiones de funcionalidades y seguridad se encuentran en la sección releases de nuestro blog. Además, las incidencias que detallan cada vulnerabilidad se hacen públicas 30 días después de la versión en la que se parchearon. Se recomienda encarecidamente que todos los clientes actualicen al menos a la última versión de seguridad para su versión compatible.

Para ser notificado cuando se lance una versión de seguridad, están disponibles los siguientes canales:

¿Puede GitLab proporcionar notificación previa a los clientes sobre una versión de seguridad?

No ofrecemos a los clientes notificación previa de versiones de seguridad. Tenemos dos razones principales para esto:

  • Como mencionamos anteriormente, las versiones de seguridad regulares se dirigen a lanzarse una semana después de nuestra versión de funcionalidades (que se implementa cada mes). Establecemos la fecha de las versiones de seguridad después de la versión de características, y no siempre podemos identificar con precisión una fecha de lanzamiento exacta dentro de esa ventana de siete días (debido a procesos manuales que aún existen y posibles retrasos imprevistos que pueden surgir).
  • A menudo realizamos versiones de seguridad críticas ad hoc, especialmente en casos que implican una gran urgencia. En estos escenarios, proporcionar un pre-anuncio es difícil e incluso podría retrasar una corrección crítica, poniendo en riesgo a nuestros clientes. En su lugar, generalmente lanzamos tan pronto como tenemos una corrección y notificamos a través de nuestra lista de correo de avisos de seguridad.

Entendemos que las versiones de seguridad y las correcciones críticas no siempre son convenientes para nuestros usuarios. Continuamos revisando y refinando nuestros procesos de comunicación en torno a incidentes de seguridad críticos y nos hemos fijado el objetivo de una ventana de 6 horas para el tiempo de respuesta en las comunicaciones con los clientes relacionadas con una vulnerabilidad de gravedad S1 para poner información crítica en manos de los usuarios lo antes posible.

La mejor manera de mantenerse al día con las versiones de seguridad y las correcciones críticas es suscribirse a nuestra lista de correo de avisos de seguridad.

¿Pueden los miembros del equipo de GitLab acceder a repositorios privados?

Sí. El soporte al cliente de GitLab, Inc requiere acceso a repositorios de clientes alojados en gitlab.com; sin embargo, los miembros del equipo no accederán a repositorios privados a menos que sea necesario para soporte y solución de problemas. Las formas de acceso incluyen, entre otras, suplantación de identidad. Al trabajar en un problema de soporte, nos esforzamos por respetar tu privacidad tanto como sea posible. Una vez que hemos verificado la propiedad de la cuenta, solo accedemos a los archivos y configuraciones necesarios para resolver tu problema. El soporte puede iniciar sesión en tu cuenta para acceder a las configuraciones, pero limitaremos el alcance de nuestra revisión al acceso mínimo requerido para resolver tu problema. En caso de que necesitemos extraer un clon de tu código, solo lo haremos con tu consentimiento. Todos los repositorios clonados se eliminan tan pronto como se resuelve el problema de soporte. Hay dos excepciones a esta política de acceso a repositorios privados: estamos investigando una presunta violación de nuestros términos de servicio o estamos obligados a acceder a repositorios como parte de un asunto legal o de seguridad.

¿Se puede reforzar GitLab?

Sí. GitLab se puede reforzar y hemos publicado información al respecto. Está disponible en publicaciones de blog y nuestra documentación. Consulta Reforzar tu instancia de GitLab para obtener más información.

Obtener más información

El Paquete de garantía del cliente fue diseñado para permitir que cualquiera revise y evalúe la postura de seguridad de GitLab.

Esta FAQ se aplica únicamente a nuestro software como servicio (SaaS); GitLab.com.

Puedes registrarte para recibir avisos de seguridad en la página de contacto.