Seguridad de la infraestructura para servicios Odoo en Tecnativa

La seguridad de la información de nuestros clientes es muy importante para Tecnativa. A continuación indicamos las medidas de seguridad que por defecto y desde el diseño, aplicamos para garantizar la seguridad de nuestras infraestructuras de servidores.

Medidas de cifrado

Conexión usuario - Odoo

Ciframos toda conexión entre un usuario y el sistema de gestión de Tecnativa.

Para los sistemas públicamente accesibles, ciframos mediante certificados TLS autorenovables y forzamos las conexiones HTTP a pasar a HTTPS.

En caso de sistemas públicamente no accesibles, realizamos las operaciones de mantenimiento a través de una VPN encargada de aplicar la capa de encriptado.

Conexión Odoo - Otros sistemas externos
Empleamos conexiones cifradas con los sistemas externos que nos suministre el cliente, y avisamos al cliente si detectamos conexiones vulnerables.
Secretos y control de acceso

Toda aplicación necesita de ciertos secretos para funcionar: contraseñas de acceso para enviar correo, conectar a la base de datos, gestionar los permisos, etc.

Utilizamos software especializado en la gestión de secretos para garantizar la máxima granularidad y seguridad de los mismos, almacenándolos de forma encriptada y haciéndolos inaccesibles para quien no los necesite. También incluye medidas de precintado para emergencias.

Cifrado de disco
Para evitar el acceso a los datos en caso de robo de dispositivos, aún cuando estos están protegidos por contraseña, ciframos los dispositivos de todos nuestros empleados en los que se almacenen datos del cliente.

Copias de seguridad

      Automatizadas

      Realizamos un respaldo diario especializado, en nuestro centro de datos remoto (ver siguiente apartado) o en el del cliente.


      Remotas

      Para evitar la pérdida de los datos personales en caso de borrado accidental o fallo del sistema, ofrecemos un servicio de almacenamiento remoto en Centros de Datos situados en la UE con el máximo nivel de disponibilidad existente (Tier 4), con garantías de recuperación inmediatas o lentas, en función del periodo a recuperar.

      Las claves de acceso a este centro de datos rotan regularmente.

      Cifradas

      Ciframos las copias de seguridad almacenadas en ubicaciones remotas antes de enviarlas, con contraseñas complejas, largas, aleatorias y rotativas, independientes para cada cliente.


      Controles de acceso lógico

      Acceso mediante clave privada
      Deshabilitamos el acceso por contraseña a las conexiones SSH obligando a acceder a los servidores por clave privada para evitar posibles intentos de ataques de fuerza bruta por SSH.
      Cifrado de la contraseña
      Para evitar el robo de contraseñas de los usuarios, almacenamos en la la base de datos un hash no reversible en lugar de la contraseña.
      Protección contra ataques de fuerza bruta

      Bloqueamos el acceso desde una determinada IP una vez se detecta que ha fallado un número de veces.

      Doble factor de autenticación

      Mediante OTP (One-time Password).

      Soporte para autenticación OAuth y LDAP

      El cliente puede optar por usar un proveedor OAuth o LDAP para autenticarse a sus servicios, delegando los sistemas y mecanismos de seguridad de terceros como Google o Microsoft.

      Controles de seguridad sobre el software

      Actualizaciones de seguridad automáticas periódicas

      Empleamos sistemas que reciben automáticamente las últimas actualizaciones de seguridad y los configuramos para que se apliquen automáticamente. De esta manera queda reducido el riesgo de que se produzcan ataques en el periodo que transcurre entre la notificación de una vulnerabilidad 0-day y la aplicación de los parches de actualizaciones.

      Aislamiento de servicios ofrecidos a clientes

      Aislamos de manera lógica los servicios ofrecidos a nuestros clientes, reduciendo la superficie susceptible de ser atacada por un 0-day.

      Siempre aplicamos el máximo nivel posible de aislamiento, separando base de datos, información y hasta servicios entre clientes.

      Integración continua

      Utilizamos una colección de pruebas automatizadas para asegurar el funcionamiento del código:

      1. Pruebas unitarias, para comprobar que cada pieza del programa funciona como se espera.
      2. Pruebas de integración, para comprobar que la combinación de todas las piezas del programa funciona como se espera.
      3. Pruebas de interacción, que comprueban que el aspecto y comportamiento visual sean los que se espera.
      Despliegue continuo

      Desplegamos nuestros servicios de forma automatizada, reduciendo así las probabilidades de fallo humano y el downtime (tiempo en que la aplicación no puede usarse por estar siendo actualizada).

      Gestión de incidentes y brechas de seguridad

      Procedimiento de gestión de brechas de seguridad

      Nuestro procedimiento de gestión de incidentes y brechas de seguridad incluye el mantenimiento y revisión periódica de un registro de todas las incidencias que se produzcan en nuestra entidad, garantizando así el continuo aprendizaje, prevención y mejora.

      Además, dicho procedimiento de gestión de incidencias incluye mecanismos ágiles de notificación de incidencias que garantizan, ante todo, la rapidez en la detección y comunicación de la incidencia al cliente.