Notificar a Foxit sobre problemas de seguridad

Foxit toma la seguridad muy en serio y apunta a brindar las soluciones más seguras de la industria para mantener protegidos los datos y los sistemas de los clientes. La seguridad tiene muchas formas:

La seguridad es una de las tantas razones por las que los individuos, las empresas y los OEM buscan las soluciones de Foxit para cubrir sus necesidades de PDF.

Seguridad del documento

Foxit PDF Editor permite a los autores de documentos crear PDF y aplicarles varias medidas de seguridad, que incluyen cifrado, control de acceso, firmas digitales y redacción (la eliminación permanente de contenido). La facilidad de uso y la potencia de estas características que proporciona Foxit PDF Editor permiten a los usuarios individuales y las organizaciones mantener de manera efectiva la información privada y confidencial.

Encriptación

Los estándares de seguridad compatibles con Foxit PDF Editor incluyen:

  • Estándar de cifrado Advanced Encryption Standard de 256 bits (AES)
  • Estándar de cifrado ARC-FOUR de 128 bits (ARC4)

Control de acceso

Los usuarios de Foxit PDF Editor pueden compartir fácilmente documentos con contraseñas para evitar la visualización no autorizada. Además, pueden especificar el control de acceso en los documentos para evitar de manera efectiva que se realicen cambios o alteraciones en ellos y restringir la impresión.

Firmas digitales

Con Foxit PDF Editor, los usuarios pueden firmar digitalmente los documentos con facilidad, mediante la más amplia gama de certificados digitales. Eso se hace posible gracias a la estrecha integración con el sistema operativo subyacente, lo que permite que Foxit PDF Editor utilice los certificados reconocidos por el sistema operativo. Una vez firmados correctamente, la firma digital se alinea de forma exclusiva con el firmante para identificarlo. El certificado de la firma se enlaza de manera criptográfica con el documento durante el paso de firma mediante la clave privada, que es exclusiva de ese firmante. Estas firmas digitales cumplen con el estándar abierto de PDF y son validadas por Foxit PDF Editor, junto con la autenticidad de los documentos que firman, a través de un intercambio de información de protocolo criptográfico con las autoridades de certificación.

Redacción

El conjunto de herramientas de redacción de Foxit PDF Editor ayuda a los usuarios a proteger su información confidencial. Con las herramientas de redacción, los usuarios pueden eliminar de manera permanente la información textual y gráfica de los documentos. Una vez redactado, no queda ninguna información residual en el documento que pueda recuperarse de alguna manera.

Seguridad de aplicaciones

Además de la seguridad del documento, en Foxit reconocemos que el software en sí puede ser objeto de ataques, por lo que tomamos la seguridad de aplicaciones muy en serio. Es así que desde hace tiempo hemos adoptado medidas y procesos que constituyen procedimientos recomendados líderes en la industria para garantizar la seguridad de nuestras aplicaciones. También introdujimos funciones y capacidades en el propio software para que los usuarios puedan protegerse a sí mismos aún más en situaciones especiales.

Procedimientos recomendados de seguridad

Todas las soluciones de PDF de Foxit se desarrollan bajo la supervisión de un proceso interno que incorpora varios procedimientos recomendados de la industria. Estos procedimientos de ingeniería de software abarcan el diseño, el desarrollo, las pruebas y la verificación. Asimismo, simulamos vectores de ataque conocidos en entornos automatizados, y nos aseguramos de que las vulnerabilidades de seguridad se detecten y corrijan en el proceso de desarrollo interno. Además, contamos con un equipo dedicado de expertos en seguridad, a quienes se les ha asignado la responsabilidad exclusiva de supervisar, solucionar problemas y verificar la ejecución de todo el proceso.

Ejecución de JavaScript con permisos

El estándar de PDF permite incrustar fragmentos de código de JavaScript en archivos PDF. Estos fragmentos de código son dinámicos y pueden ejecutarse cuando los usuarios visualizan documentos PDF. Dicha ejecución puede tener efectos adversos para el usuario, y estos pueden considerarse como problemas de seguridad en las organizaciones con estándares de seguridad de alto nivel. Para garantizar una completa seguridad en tales situaciones, Foxit PDF Editor y Foxit PDF Reader permiten desactivar la ejecución de JavaScript para usuarios individuales o para toda la organización mediante el conjunto de herramientas de implementación en la empresa de Foxit PDF Editor y Foxit PDF Reader.

Prevención de ataques entre dominios

Foxit reconoce los riesgos inherentes asociados con el acceso a recursos entre dominios, una condición del propio estándar de PDF, que en ocasiones puede ser utilizado por los atacantes para colocar fragmentos de código malintencionado u otros recursos en el sistema de un usuario. Es por esto que tanto Foxit PDF Editor como Foxit PDF Reader han deshabilitado este acceso de manera predeterminada y recomiendan a los usuarios no habilitar la opción a menos que se encuentren en un entorno donde la seguridad se pueda garantizar completamente por otros medios.

Alertas de seguridad

En el caso de ciertos archivos PDF enriquecidos que deben realizar operaciones avanzadas en el entorno del usuario, Foxit PDF Editor o Foxit PDF Reader podrían determinar que algunas de estas operaciones conllevan un riesgo mayor, y alertarán al usuario y pedirán su confirmación antes de continuar con dichas operaciones. Algunos ejemplos incluyen:

  • Invocar el acceso entre dominios
  • Ejecutar ciertos tipos de métodos de JavaScript
  • Inyectar datos
  • Inyectar scripts
  • Reproducir archivos multimedia heredados

Estas alertas se implementan de modo que sean lo menos intrusivas posibles para el usuario. De esta manera, el usuario puede confiar en el documento y, por lo tanto, omitir todas las confirmaciones posteriores.

Foxit tiene una relación de trabajo muy cercana con grupos e individuos que investigan sobre ciberseguridad para detectar de manera activa y aplicar revisiones a las vulnerabilidades encontradas en los productos Foxit (por ejemplo, Zero Day Initiative de Trend Micro, Cisco Talos y profesionales como mr_me). Gigantes de tecnología, como Google, Microsoft y Amazon, utilizan la tecnología de Foxit. En estos proyectos, los clientes e inspectores de seguridad externos evaluaron rigurosamente la tecnología utilizada en Foxit PDF Reader y Foxit PDF Editor. Foxit tiene una trayectoria de aplicación de revisiones a todas las vulnerabilidades detectadas dentro del período de tiempo recomendado por los investigadores de seguridad. El tiempo promedio para aplicar una revisión (aproximadamente 90 días) es mejor que el promedio de la industria (de 100 a 120 días). Foxit cuenta con un equipo de respuesta de seguridad dedicado que trabaja las 24 horas, todos los días para supervisar y abordar los problemas de seguridad críticos. Foxit también tiene un procedimiento de “ruta verde” para las revisiones de seguridad.

Seguridad en la nube

Los servicios de nube proporcionados por Foxit mejoran las capacidades y la experiencia del usuario de la solución para la productividad de los usuarios finales. Estos servicios se supervisan continuamente para conocer su disponibilidad, desempeño y seguridad.

Seguridad de centros de datos

Todos los servicios de nube de Foxit son administrados por nuestro proveedor de servicios de nube de confianza, Amazon Web Services (AWS), que es un centro de datos de nivel 4 de ANSI y mantiene controles muy estrictos en lo que respecta al acceso al centro de datos, la tolerancia a errores, los controles ambientales y la seguridad. Solo los empleados de Foxit, los empleados del proveedor de servicios de nube y los contratistas con un área de negocios documentada y legítima que estén aprobados y autorizados pueden acceder al sitio seguro en Virginia, Estados Unidos, Frankfurt, Alemania y Montreal, Canadá.

Cifrado y privacidad de los datos

Los servicios de nube de Foxit están diseñados con la privacidad y la seguridad como una prioridad alta. Todas las transmisiones de información entre los usuarios y los servicios de nube de Foxit están totalmente protegidos con el cifrado AES de 256 bits a través del protocolo de transporte HTTPS.

Los empleados de Foxit y los proveedores de confianza son los únicos que pueden acceder a los datos para realizar determinadas funciones comerciales y de soporte, o según lo requiera la ley. Foxit no proporciona a ningún gobierno acceso directo o sistemático a los datos de los clientes que almacenamos.

Operación sin conexión

Foxit ofrece a los usuarios y las organizaciones la opción de utilizar el software totalmente en modo “sin conexión”, donde el software instalado por los usuarios no accederá a los servicios de nube. Esta capacidad ofrece una flexibilidad de implementación y operación adicional para las organizaciones con necesidades de seguridad de alto nivel.

Implementación y administración

Fortalecimiento de la seguridad

Al ofrecer capacidades y opciones de configuración relacionadas con la seguridad, como desactivar la ejecución de JavaScript y el acceso a recursos entre dominios, y permitir la operación “sin conexión”, Foxit logró que su software sea más robusto contra ataques y pudo eliminar la necesidad de actualizaciones de seguridad fuera de banda, así como disminuir la urgencia de actualizaciones programadas con regularidad. Esto acarrea una flexibilidad operativa, además de un menor costo total de titularidad (TCO), especialmente en las grandes organizaciones con un alto nivel de requisitos de seguridad.

Compatibilidad con Citrix y virtualización de aplicaciones

Foxit PDF Editor admite Citrix XenApp, Citrix XenDesktop, Microsoft App-V y otros entornos de virtualización. Esto permite a las organizaciones proporcionar de forma efectiva acceso remoto a los usuarios.

Compatibilidad con objetos de directiva de grupo de Windows Server

Los objetos de directiva de grupo (GPO) de Windows Server permiten a los administradores de TI automatizar la administración de sistemas informáticos de uno a varios. Foxit PDF Editor admite plantillas administrativas (ADM) de Microsoft Active Directory para la directiva de grupo, lo que permite que el administrador proporcione instalación de software a petición y reparación automática de aplicaciones.

Compatibilidad con Microsoft SCCM y SCUP

Foxit PDF Editor y Foxit PDF Reader también admiten Microsoft System Center Configuration Manager (SCCM) para garantizar que los equipos de escritorio de Windows estén siempre actualizados con las revisiones de seguridad.

Además, la compatibilidad con los catálogos de Microsoft System Center Updates Publisher (SCUP) permite a los administradores de TI automatizar las actualizaciones de las instalaciones del software Foxit PDF Editor y Foxit PDF Reader en toda la organización.

Conclusión

Foxit proporciona un nivel de protección de seguridad líder en la industria para usuarios con distintas necesidades de funciones PDF, así como organizaciones de distintos tamaños e industrias. Sabemos que su información y flujo de trabajo son confidenciales y requieren la más alta protección. Con Foxit, tiene un proveedor confiable que no solo crea el software de PDF sin concesiones, sino que también lo protege en todas las áreas según lo exigen los procedimientos recomendados de la industria.