Notificar a Foxit sobre problemas de seguridad

Seguridad de documentos

Foxit PDF Editor permite a los autores de documentos crear documentos PDF y aplicar diversas medidas de seguridad, incluyendo cifrado, control de acceso, firmas digitales y redacción (eliminación permanente de contenido). La facilidad de uso y el poder de estas funciones proporcionadas por Foxit PDF Editor permiten a usuarios individuales y organizaciones mantener eficazmente su información privada y confidencial.

Cifrado

Los estándares de seguridad admitidos por Foxit PDF Editor incluyen:

• Advanced Encryption Standard (AES) de 256 bits
• ARC-FOUR Encryption Standard (ARC4) de 128 bits

Control de acceso

Los usuarios de Foxit PDF Editor pueden compartir documentos fácilmente aplicando contraseñas para prevenir la visualización no autorizada. Además, pueden especificar el control de acceso en los documentos para prevenir eficazmente cambios, restringir la impresión o alterar los documentos.

Firmas digitales

Con Foxit PDF Editor, los usuarios pueden firmar digitalmente documentos fácilmente, utilizando el conjunto más amplio de certificados digitales. Esto es posible gracias a la estrecha integración con el sistema operativo subyacente, lo que permite que cualquier certificado reconocido por el sistema operativo sea utilizado por Foxit PDF Editor. Una vez firmado correctamente, la firma digital está única y exclusivamente vinculada al firmante y es capaz de identificarlo. El certificado del firmante está criptográficamente vinculado al documento durante el proceso de firma mediante la clave privada única que posee ese firmante. Estas firmas digitales se ajustan al estándar PDF abierto y son validadas por Foxit PDF Editor, junto con la autenticidad de los documentos que firmaron, a través de un intercambio de información de protocolo criptográfico con las autoridades de certificación.

Redacción

El conjunto de herramientas de redacción en Foxit PDF Editor ayuda a los usuarios a proteger su información sensible o confidencial. Con las herramientas de redacción, los usuarios pueden eliminar permanentemente información textual y gráfica de los documentos. Una vez redactado, no queda información residual en el documento que pueda recuperarse de ninguna manera.

Seguridad de aplicaciones

Además de la seguridad de documentos, en Foxit reconocemos que el software en sí mismo puede ser un objetivo de ataques, por lo que tomamos muy en serio la seguridad de nuestras aplicaciones. Por ello, desde hace tiempo hemos adoptado medidas y procesos que son las mejores prácticas líderes de la industria para garantizar la seguridad de nuestras aplicaciones, y también hemos introducido funciones y capacidades en el software mismo para que los usuarios puedan protegerse aún más en situaciones especializadas.

Mejores prácticas de seguridad

Todas las soluciones PDF de Foxit se desarrollan bajo la supervisión de un proceso interno que incorpora diversas mejores prácticas de la industria. Estas prácticas de ingeniería de software cubren diseño, desarrollo, pruebas y verificación. Además, simulamos vectores de ataque conocidos en entornos automatizados, garantizando que las vulnerabilidades de seguridad se descubran y remedien de inmediato en el proceso de desarrollo interno. Además, contamos con un equipo dedicado de expertos en seguridad experimentados, a quienes se les ha asignado la responsabilidad exclusiva de monitorear, solucionar problemas y verificar la ejecución de todo el proceso.

Ejecución autorizada de JavaScript

El estándar PDF permite que los fragmentos de código JavaScript se incrusten en archivos PDF. Estos fragmentos de código son de naturaleza dinámica y pueden ejecutarse cuando los usuarios ven los documentos PDF. Dicha ejecución puede tener efectos adversos para el usuario y puede considerarse una preocupación de seguridad en organizaciones con estándares de seguridad de alto nivel. Para garantizar la seguridad completa en tales situaciones, Foxit PDF Editor y Foxit PDF Reader permiten desactivar la ejecución de JavaScript para usuarios individuales o para toda la organización mediante el conjunto de herramientas de implementación empresarial de Foxit PDF Editor y Foxit PDF Reader.

Prevención de ataques entre dominios

Foxit reconoce los riesgos inherentes asociados con el acceso a recursos entre dominios, una disposición del propio estándar PDF, pero a veces los atacantes lo usan para obtener fragmentos de código malicioso u otros recursos en el sistema de un usuario. Por ello, tanto Foxit PDF Editor como Foxit PDF Reader han desactivado dicho acceso de forma predeterminada y advierten a los usuarios que no habiliten dicha opción excepto en un entorno donde la seguridad pueda garantizarse completamente por otros medios.

Alertas de seguridad

Para ciertos archivos PDF avanzados que necesitan realizar operaciones avanzadas en el entorno del usuario, Foxit PDF Editor o Foxit PDF Reader pueden determinar que algunas de estas operaciones conllevan un riesgo mayor y alertarán al usuario y buscarán confirmación antes de proceder con dichas operaciones. Ejemplos incluyen:

• Invocación de acceso entre dominios
• Ejecución de ciertos tipos de métodos JavaScript
• Inyección de datos
• Inyección de scripts
• Reproducir multimedia heredada incrustada.

Estas alertas se implementan para ser lo menos intrusivas posible para el usuario, permitiendo que el usuario confíe en el documento y, por lo tanto, omita todas las confirmaciones adicionales.

Foxit tiene una relación de trabajo muy estrecha con grupos de investigación de ciberseguridad e individuos para descubrir activamente y solucionar vulnerabilidades encontradas en los productos Foxit. (Por ejemplo, Zero Day Initiative (Trend Micro), Cisco Talos y profesionales como mr_me). La tecnología Foxit es utilizada por gigantes de la tecnología como Google, Microsoft y Amazon. En estos proyectos, la tecnología utilizada en Foxit PDF Reader/Foxit PDF Editor ha sido inspeccionada rigurosamente por clientes e inspectores de seguridad de terceros. Foxit tiene un excelente historial solucionando todas las vulnerabilidades encontradas dentro del plazo recomendado por los investigadores de seguridad. El tiempo promedio de solución (~90 días) es mejor que el promedio de la industria (100-120 días). Foxit tiene un equipo dedicado de respuesta a seguridad en servicio las 24 horas del día, los 7 días de la semana para monitorear y responder a problemas de seguridad críticos. Foxit también tiene un procedimiento de "ruta verde" para parches de seguridad críticos.

Seguridad en la nube

Los servicios en la nube proporcionados por Foxit mejoran las capacidades y la experiencia del usuario de la solución Foxit End User Productivity. Estos servicios se monitorean constantemente por disponibilidad, rendimiento y seguridad.

Seguridad del centro de datos

Todos los servicios en la nube de Foxit son gestionados por nuestro proveedor de servicios en la nube de confianza, Amazon Web Services (AWS), que es un centro de datos ANSI nivel 4 y mantiene controles estrictos sobre el acceso al centro de datos, tolerancia a fallos, controles ambientales y seguridad. Solo los empleados de Foxit aprobados y autorizados, empleados del proveedor de servicios en la nube y contratistas con un área de negocio legítima y documentada pueden acceder al sitio seguro en Virginia, EE.UU., Fráncfort, Alemania y Montreal, Canadá.

Cifrado de datos y privacidad

Los servicios en la nube de Foxit están diseñados con la privacidad y la seguridad como alta prioridad. Todas las transmisiones de información entre los usuarios y los servicios en la nube de Foxit están completamente protegidas con cifrado AES de 256 bits a través del protocolo de transporte HTTPS.

Los empleados de Foxit y los proveedores de confianza solo acceden a los datos de los clientes para realizar ciertas funciones comerciales y de soporte, o según lo requiera la ley. Foxit no proporciona a ningún gobierno acceso directo o sistemático a los datos de los clientes que almacenamos.

Operación off-grid

Foxit ofrece a los usuarios y organizaciones la opción de operar el software en modo "off grid" completo, donde el software instalado por los usuarios no realizará acceso a servicios en la nube. Esta capacidad ofrece flexibilidad adicional de implementación y operativa para organizaciones con altas necesidades de seguridad.

Despliegue y administración

Refuerzo de seguridad

Al ofrecer capacidades y opciones de configuración relacionadas con la seguridad, como desactivar la ejecución de JavaScript, el acceso a recursos entre dominios y habilitar la operación "off grid", Foxit ha hecho que su software sea más resistente a los ataques y puede reducir o eliminar la necesidad de actualizaciones de seguridad fuera de banda, así como reducir la urgencia de las actualizaciones programadas regularmente. Esto conduce a flexibilidad operativa, así como a una reducción del Costo Total de Propiedad (TCO), especialmente en grandes organizaciones con altos requisitos de seguridad.

Compatibilidad con Citrix y virtualización de aplicaciones

Foxit PDF Editor admite Citrix XenApp, Citrix XenDesktop, Microsoft App-V y otros entornos de virtualización. Esto permite a las organizaciones brindar efectivamente acceso remoto seguro a los usuarios.

Compatibilidad con Windows Server Group Policy Objects

Los Windows Server Group Policy Objects (GPO) permiten a los administradores de IT automatizar la gestión de sistemas informáticos de 1 a muchos. Foxit PDF Editor admite plantillas Microsoft Active Directory Administrative (ADM) certificadas para Group Policy, lo que permite al administrador proporcionar instalación de software a la demanda y reparación automática de aplicaciones.

Compatibilidad con Microsoft SCCM y SCUP

Foxit PDF Editor y Foxit PDF Reader también admiten Microsoft System Center Configuration Manager (SCCM) para garantizar que los escritorios Windows estén siempre actualizados con parches de seguridad.

Además, el soporte para catálogos de Microsoft System Center Updates Publisher (SCUP) permite a los administradores de IT automatizar actualizaciones en las instalaciones de software de Foxit PDF Editor y Foxit PDF Reader en toda la organización.