Seguridad de la infraestructura para servicios Odoo en Tecnativa
La seguridad de la información de nuestros clientes es muy importante para Tecnativa. A continuación indicamos las medidas de seguridad que por defecto y desde el diseño, aplicamos para garantizar la seguridad de nuestras infraestructuras de servidores.
Medidas de cifrado
Conexión usuario - Odoo
Ciframos toda conexión entre un usuario y el sistema de gestión de Tecnativa.
Para los sistemas públicamente accesibles, ciframos mediante certificados TLS autorenovables y forzamos las conexiones HTTP a pasar a HTTPS.
En caso de sistemas públicamente no accesibles, realizamos las operaciones de mantenimiento a través de una VPN encargada de aplicar la capa de encriptado.
Conexión Odoo - Otros sistemas externos
Empleamos conexiones cifradas con los sistemas externos que nos suministre el cliente, y avisamos al cliente si detectamos conexiones vulnerables.Secretos y control de acceso
Toda aplicación necesita de ciertos secretos para funcionar: contraseñas de acceso para enviar correo, conectar a la base de datos, gestionar los permisos, etc.
Utilizamos software especializado en la gestión de secretos para garantizar la máxima granularidad y seguridad de los mismos, almacenándolos de forma encriptada y haciéndolos inaccesibles para quien no los necesite. También incluye medidas de precintado para emergencias.
Cifrado de disco
Para evitar el acceso a los datos en caso de robo de dispositivos, aún cuando estos están protegidos por contraseña, ciframos los dispositivos de todos nuestros empleados en los que se almacenen datos del cliente.Copias de seguridad
Automatizadas
Realizamos un respaldo diario especializado, en nuestro centro de datos remoto (ver siguiente apartado) o en el del cliente.
Remotas
Para evitar la pérdida de los datos personales en caso de borrado accidental o fallo del sistema, ofrecemos un servicio de almacenamiento remoto en Centros de Datos situados en la UE con el máximo nivel de disponibilidad existente (Tier 4), con garantías de recuperación inmediatas o lentas, en función del periodo a recuperar.
Las claves de acceso a este centro de datos rotan regularmente.
Cifradas
Ciframos las copias de seguridad almacenadas en ubicaciones remotas antes de enviarlas, con contraseñas complejas, largas, aleatorias y rotativas, independientes para cada cliente.
Controles de acceso lógico
Acceso mediante clave privada
Deshabilitamos el acceso por contraseña a las conexiones SSH obligando a acceder a los servidores por clave privada para evitar posibles intentos de ataques de fuerza bruta por SSH.Cifrado de la contraseña
Para evitar el robo de contraseñas de los usuarios, almacenamos en la la base de datos un hash no reversible en lugar de la contraseña.Protección contra ataques de fuerza bruta
Bloqueamos el acceso desde una determinada IP una vez se detecta que ha fallado un número de veces.
Soporte para autenticación OAuth y LDAP
El cliente puede optar por usar un proveedor OAuth o LDAP para autenticarse a sus servicios, delegando los sistemas y mecanismos de seguridad de terceros como Google o Microsoft.
Controles de seguridad sobre el software
Actualizaciones de seguridad automáticas periódicas
Empleamos sistemas que reciben automáticamente las últimas actualizaciones de seguridad y los configuramos para que se apliquen automáticamente. De esta manera queda reducido el riesgo de que se produzcan ataques en el periodo que transcurre entre la notificación de una vulnerabilidad 0-day y la aplicación de los parches de actualizaciones.
Aislamiento de servicios ofrecidos a clientes
Aislamos de manera lógica los servicios ofrecidos a nuestros clientes, reduciendo la superficie susceptible de ser atacada por un 0-day.
Siempre aplicamos el máximo nivel posible de aislamiento, separando base de datos, información y hasta servicios entre clientes.
Integración continua
Utilizamos una colección de pruebas automatizadas para asegurar el funcionamiento del código:
- Pruebas unitarias, para comprobar que cada pieza del programa funciona como se espera.
- Pruebas de integración, para comprobar que la combinación de todas las piezas del programa funciona como se espera.
-
Pruebas de interacción, que comprueban que el aspecto y comportamiento visual sean los que se espera.
Despliegue continuo
Desplegamos nuestros servicios de forma automatizada, reduciendo así las probabilidades de fallo humano y el downtime (tiempo en que la aplicación no puede usarse por estar siendo actualizada).
Gestión de incidentes y brechas de seguridad
Procedimiento de gestión de brechas de seguridad
Nuestro procedimiento de gestión de incidentes y brechas de seguridad incluye el mantenimiento y revisión periódica de un registro de todas las incidencias que se produzcan en nuestra entidad, garantizando así el continuo aprendizaje, prevención y mejora.
Además, dicho procedimiento de gestión de incidencias incluye mecanismos ágiles de notificación de incidencias que garantizan, ante todo, la rapidez en la detección y comunicación de la incidencia al cliente.