S&C considera que la seguridad y la privacidad de los datos de nuestros clientes son valores fundamentales de nuestra empresa. La seguridad está integrada en los productos, sistemas, servicios y apoyos de S&C y entre ellos. Contamos con una variedad de programas, políticas y procedimientos creados de acuerdo con los principales marcos y prácticas recomedadas de ciberseguridad del sector. El programa de seguridad de la información de S&C incluye, entre otros, los procedimientos de manejo de datos y los estándares de clasificación. Los estándares incluyen controles apropiados sobre el uso de los datos, el almacenamiento, la retención, la supervisión, la destrucción segura y la segmentación de los registros electrónicos y en papel.

Las actividades del desarrollo de productos de S&C siguen el ciclo de vida del desarrollo de seguridad (SDL) de S&C, que codifica las prácticas recomendadas del sector. Los principales componentes del SDL son el análisis de riesgos de seguridad, la elaboración de modelos de amenazas, el análisis y la revisión de códigos y la gestión de vulnerabilidades. S&C aplica el SDL a sus nuevos productos, sistemas, servicios, software y soluciones en la nube.

De acuerdo con el SDL, S&C adopta las siguientes medidas durante el diseño, el desarrollo y las pruebas de nuestros productos:

• En base a los requerimientos de seguridad de S&C, se realiza un análisis de riesgos de seguridad para cada proyecto nuevo y para cada cambio significativo de un proyecto existente.
• Se realizan análisis de códigos y revisiones de códigos manuales con regularidad durante el desarrollo en base a marcos, como los 10 mejores Proyectos Abiertos de Seguridad en Aplicaciones Web (Open Web Application Security Project, OWASP).
• El código de terceros, incluido el código abierto, se analiza automáticamente para identificar y mitigar las vulnerabilidades.
• El fortalecimiento de los sistemas operativos se realiza para los dispositivos integrados y las soluciones basadas en la nube.
• La seguridad de redes y las normas de firewall se implementan y se revisan con regularidad.
• Antes de lanzar cada producto, se realizan pruebas por parte de grupos internos independientes.

S&C tiene una política y un proceso documentado para identificar vulnerabilidades en nuestros productos y comunicarlas a nuestros clientes. Este proceso implica la revisión de datos del sector, como el Sistema de puntuación de vulnerabilidad común (Common Vulnerability Scoring System, CVSS) y la Base de Datos Nacional de Vulnerabilidades (National Vulnerability Database, NVD), para obtener información sobre vulnerabilidades conocidas. S&C también lleva a cabo pruebas internas para identificar vulnerabilidades.

En este mundo hiperconectado, la ciberseguridad es una responsabilidad colectiva porque puede haber amenazas internas y externas aceleradas por un panorama digital en rápida evolución. Con el aumento de la exposición al riesgo que se produce cada día, trabajamos de manera activa con los clientes y proveedores para crear soluciones de seguridad integrales. S&C considera esencial la evaluación adecuada de los riesgos y el cuidado apropiado en la instalación, el mantenimiento y las operaciones. Trabajamos con nuestros clientes para garantizar que las actualizaciones y los parches aprobados por S&C se entreguen y autentifiquen de forma segura. En los manuales de nuestros productos, proporcionamos instrucciones sobre la configuración segura de los productos. Por último, trabajamos con los clientes para corregir cualquier sospecha de vulnerabilidad o violación de datos.