Diferencias
Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
informaciontecnicaba360 [2021/10/01 16:21] – [4. Seguridad] jjerez | informaciontecnicaba360 [2024/10/03 20:08] (actual) – [Esquema de atención] aolano | ||
---|---|---|---|
Línea 1: | Línea 1: | ||
====== Información técnica sobre Be Aware 360 ====== | ====== Información técnica sobre Be Aware 360 ====== | ||
- | En esta sección encontrará información técnica y de seguridad sobre Be Aware 360 | + | En esta sección encontrará información técnica y de seguridad sobre Be Aware 360. |
- | ===== 1. Certificaciones de Be Aware 360 ===== | + | ===== Certificaciones de Be Aware 360 ===== |
Be Aware 360 actualmente no cuenta con certificaciones de normas internacionales. Existen dos escenarios que tienen controles de seguridad aplicados a BeAware360: | Be Aware 360 actualmente no cuenta con certificaciones de normas internacionales. Existen dos escenarios que tienen controles de seguridad aplicados a BeAware360: | ||
- | **a.** Be Aware 360 utiliza servicios de Amazon Web Services (AWS), cuyos centros de datos se encuentran certificados bajo la norma ISO 27.001 | + | |
- | + | * ISO 27.001 | |
- | **b.** In Motion cuenta con certificación ISO 9001, ISO 20000, ISO 27001 para el proceso de Continuidad Operacional que atiende a BeAware360. | + | * ISO 9.001 |
+ | * ISO 22.301 | ||
+ | | ||
+ | | ||
+ | * ISO 27.018 | ||
+ | * CSA | ||
+ | * CyberGRX | ||
+ | * CyberVadis | ||
+ | * Nivel 1 de PCI DSS | ||
+ | * SOC 1 | ||
+ | * SOC 2 | ||
+ | * SOC 3 | ||
+ | |||
+ | | ||
- | ===== 2. Infraestructura de Be Aware 360 ===== | + | ===== Infraestructura de Be Aware 360 ===== |
- | **Be Aware 360** cuenta con una infraestructura segura y documentada. | + | Be Aware 360 cuenta con una infraestructura segura y documentada. Almacena los datos de los clientes en los servicios de AWS. |
- | **Be Aware 360** almacena los datos de los clientes en los servicios de AWS. | + | BeAware 360 utiliza la región Norte de Virginia, la cual cumple con los estándares de seguridad y certificaciones de conformidad, |
- | + | ||
- | **BeAware 360** utiliza la región Norte de Virginia, la que cumple con los estándares de seguridad y certificaciones de conformidad, | + | |
Más información en: https:// | Más información en: https:// | ||
- | =====3. Políticas ===== | + | ===== Políticas ===== |
- | === a. Política de protección de datos === | + | |
+ | ==== Política de protección de datos ==== | ||
Be Aware 360 cumple con la protección de datos personales estándar, como no permitir el acceso a usuarios de forma directa a la Base de Datos y encriptación de datos sensibles. | Be Aware 360 cumple con la protección de datos personales estándar, como no permitir el acceso a usuarios de forma directa a la Base de Datos y encriptación de datos sensibles. | ||
- | === b. Política de respaldos === | + | |
+ | ==== Política de respaldos | ||
Respecto a los respaldos de información, | Respecto a los respaldos de información, | ||
Sobre los datos operativos (históricos) no se realiza eliminación, | Sobre los datos operativos (históricos) no se realiza eliminación, | ||
- | === c. Política de recuperación y desastres (DRP) === | + | |
+ | ==== Política de recuperación y desastres (DRP) ==== | ||
Be Aware 360 cuenta con una política de recuperación de desastres. | Be Aware 360 cuenta con una política de recuperación de desastres. | ||
Respecto del RPO y RTO, por la naturaleza de la infraestructura implementada, | Respecto del RPO y RTO, por la naturaleza de la infraestructura implementada, | ||
En otros escenarios menos complejos, el RTO puede variar desde algunos minutos hasta unas pocas horas, dependiendo de la evaluación del incidente y las vías de resolución, | En otros escenarios menos complejos, el RTO puede variar desde algunos minutos hasta unas pocas horas, dependiendo de la evaluación del incidente y las vías de resolución, | ||
- | ====== 4. Seguridad ===== | + | ===== Seguridad ===== |
- | === a. Capas de seguridad de Be Aware 360 === | + | |
+ | ==== Capas de seguridad de Be Aware 360 ==== | ||
Be Aware 360 tiene arquitectura de capas para presentación, | Be Aware 360 tiene arquitectura de capas para presentación, | ||
- | === b. Autenticación === | + | ==== Autenticación |
Be Aware 360 cuenta con autenticación de usuario y contacto en el aplicativo con una combinación de usuario y contraseña, | Be Aware 360 cuenta con autenticación de usuario y contacto en el aplicativo con una combinación de usuario y contraseña, | ||
- | **También cuenta con:** | + | También cuenta con: |
* Sesiones concurrentes configurables por usuario. | * Sesiones concurrentes configurables por usuario. | ||
* Soporte de autenticación delegada propietaria (API Rest). | * Soporte de autenticación delegada propietaria (API Rest). | ||
* Be Aware 360 realiza gestión de contactos y usuarios mediante contraseña almacenada en la base de datos de forma segura con encriptación (algoritmo de encriptación) en un solo sentido. Las contraseñas no pueden ser observadas directamente, | * Be Aware 360 realiza gestión de contactos y usuarios mediante contraseña almacenada en la base de datos de forma segura con encriptación (algoritmo de encriptación) en un solo sentido. Las contraseñas no pueden ser observadas directamente, | ||
- | * Be Aware 360 realiza la gestión de usuarios en la plataforma mediante la organización por Roles (que a su vez permiten la definición de los permisos dentro de la misma plataforma). Cada usuario puede estar asociado a un y solo un rol. Los Roles pueden recibir los permisos correspondientes, | + | * Be Aware 360 realiza la gestión de usuarios en la plataforma mediante la organización por Roles (que a su vez permiten la definición de los permisos dentro de la misma plataforma). Cada usuario puede estar asociado a uno y solo un rol. Los Roles pueden recibir los permisos correspondientes, |
- | === c. Autogestión de contraseñas de usuarios y contactos === | + | |
- | Los usuarios y contactos podrán usar los siguientes mecanismos para la recuperación de contraseñas: | + | |
- | * Contactos pueden realizar el cambio | + | ==== Autogestión |
- | * Contactos | + | Los usuarios y contactos |
- | * Usuario podrán realizar cambio de la contraseña a través de la opción de perfil en la consola de administración de BA360, ingresando su contraseña actual y la contraseña nueva. | + | |
- | * Usuarios podrán recuperar su contraseña a través de la opción de recuperación de contraseña disponible en la consola de administración de BA360 ingresando su nombre de usuario y dirección de email. El sistema generará una clave aleatoria que el usuario deberá usar para ingresar al portal. | + | |
- | Para más información consultar https:// | + | * Contactos pueden realizar el cambio de la contraseña a través de la opción de perfil en el portal de clientes de BA360, ingresando su contraseña actual y la contraseña nueva. |
+ | * Contactos podrán recuperar su contraseña a través de la opción de recuperación de contraseña disponible en el portal de clientes de BA360 ingresando su número de identificación y usuario (dirección de email). El sistema generará una clave aleatoria que el usuario deberá usar para ingresar al portal. | ||
+ | * Usuario podrán realizar cambio de la contraseña a través de la opción de perfil en la consola de administración de BA360, ingresando su contraseña actual y la contraseña nueva. | ||
+ | * Usuarios podrán recuperar su contraseña a través de la opción de recuperación de contraseña disponible en la consola de administración de BA360 ingresando su nombre de usuario y dirección de email. El sistema generará una clave aleatoria que el usuario deberá usar para ingresar al portal. | ||
- | === Bloqueo de usuarios === | + | Para más información consultar [[portales|Portal de clientes de Be Aware 360]]. |
+ | |||
+ | ==== Bloqueo de usuarios | ||
El sistema permite la inhabilitación de cuentas de usuario. Este cambio se puede realizar por un usuario con privilegios suficientes. | El sistema permite la inhabilitación de cuentas de usuario. Este cambio se puede realizar por un usuario con privilegios suficientes. | ||
- | Para más información consultar https://wiki.beaware360.com/doku.php?id=gestiondeusuarios# | + | Para más información consultar |
+ | |||
+ | ===== Desarrollo y mantenimiento ===== | ||
+ | |||
+ | ==== Gestión de ambientes de Be Aware 360 ==== | ||
+ | Be Aware 360 cuenta con ambientes separados de producción, | ||
+ | |||
+ | ==== Actualizaciones periódicas de la plataforma ==== | ||
+ | Be Aware 360 provee un despliegue mensual donde se liberan las funcionalidades, | ||
+ | |||
+ | También, además de las actualizaciones mensuales de la plataforma, se incluyen parches de seguridad según requerimientos y roadmap. | ||
+ | |||
+ | ==== Planes de contingencia ==== | ||
+ | |||
+ | En caso de que un despliegue presente inconvenientes, | ||
+ | |||
+ | ===== Integración con otros sistemas ===== | ||
+ | |||
+ | El modelo de datos maestro soporta la sincronización/ | ||
+ | |||
+ | * Soporte a los estándares clave de web services (API REST pública) | ||
+ | * Descubrimiento y mapeo de web services (API REST pública) | ||
+ | * Exposición de funcionalidad vía Web services (API REST pública) | ||
+ | |||
+ | ===== Tecnología y soporte ===== | ||
+ | |||
+ | ==== Mensajería ==== | ||
+ | Be Aware 360 implementa colas de mensajes para la gestión de los reportes extraíbles (reportes en segundo plano) haciendo uso de la tecnología de Amazon SQS (https://aws.amazon.com/es/sqs/) consistente en un servicio de colas de mensajes completamente administrado. Y también, permite la emisión de correos para funcionalidades de envió de notas cliente y notificaciones del sistema. | ||
+ | |||
+ | ==== Movilidad ==== | ||
+ | |||
+ | Be Aware 360 cuenta con la capacidad para ejecutarse en dispositivos móviles sin efectuar cambios en las aplicaciones o requerir aplicaciones específicas para cada dispositivo (Android y iOS), soporte de Geolocalización. Y también, brinda la opción de contratar desarrollo de portales personalizados que se adapten a las características de navegadores web diferentes a los recomendados por el producto (No incluidos en contrato estándar). | ||
+ | |||
+ | ==== Documentación ==== | ||
+ | |||
+ | Be Aware 360 cuenta con una Wiki pública donde se encuentra la documentación de ayuda del producto. Esta es accesible desde internet y se encuentra en español. | ||
+ | |||
+ | La base de datos opera con UTF-8. El uso de formatos específicos al momento de extraer información desde la plataforma depende de Prueba de Concepto (POC) y desarrollo adicional (No incluidos en contrato estándar). | ||
+ | |||
+ | ==== Globalización ==== | ||
+ | |||
+ | La internacionalización de Be Aware 360 aplica para uso de la plataforma en idioma inglés, español y portugués. Uso de formatos específicos para campos de Be Aware 360 dependen de Prueba de Concepto (POC) y desarrollo adicional (No incluidos en contrato estándar). | ||
+ | |||
+ | ==== Monitoreo ==== | ||
+ | |||
+ | Be Aware 360 cuenta con: | ||
+ | |||
+ | * Panel accesible para monitoreo de la plataforma donde se pueda verificar chequeo de salud, estado de componentes, | ||
+ | * Indicadores de rendimiento de la plataforma (Incluidos en panel de monitoreo) | ||
+ | * Informes de tiempo de inactividad del servicio (Incluido en panel de monitoreo) | ||
+ | * Verificación de salud por componente (incluido en panel de monitoreo) | ||
+ | * Registro de errores por componente (incluido en panel de monitoreo) | ||
+ | * Generación de reportes de Salud en Intervalos de tiempo | ||
+ | |||
+ | ==== Esquema de atención ==== | ||
+ | |||
+ | Be Aware 360 cuenta con: | ||
+ | |||
+ | * Un esquema de soporte 7x24 para incidentes. | ||
+ | * Un esquema de soporte 8x5 para defectos, consultas, mejoras y solicitudes sujetas a servicios contratados. | ||
+ | * Diferentes canales de contacto (teléfono, portal de cliente para creación y seguimiento de casos, correo electrónico). | ||
+ | * Un esquema diferenciado de atención y resolución por consultas, defectos, incidentes, solicitud de mejoras del producto. | ||
+ | * Una herramienta de registros y seguimiento de casos (PUC) | ||
+ | * Un esquema de soporte que considera la clasificación por prioridad. | ||
+ | |||
+ | ===== Continuidad Operacional ===== | ||
+ | |||
+ | Se considera como plan de continuidad operacional de Be Aware 360 a los elementos, definiciones o acciones implementados con el objetivo de asegurar la continuidad operativa de la plataforma ante la ocurrencia de eventos que puedan crear una interrupción o inestabilidad en el servicio. | ||
+ | |||
+ | ==== Separación de Ambientes ===== | ||
+ | |||
+ | Be Aware 360 opera con ambientes separados, destinados a Desarrollo, QA y Producción. Los ambientes se encuentran completamente segregados, especialmente los productivos. | ||
+ | Los ambientes DEV y QA se despliegan en redes virtuales independientes y no conectadas, cada red virtual con mecanismos locales de conexión remota completamente diferenciados. | ||
+ | A su vez, cada entorno de trabajo está segregado en subredes específicas, | ||
+ | |||
+ | ==== Alta Disponibilidad ==== | ||
+ | |||
+ | Be Aware 360, a nivel de aplicación, | ||
+ | |||
+ | ==== Infraestructura ==== | ||
+ | Infraestructura en la nube de Amazon Web Services (AWS), la cual cumple con los estándares de seguridad y certificaciones de conformidad más importantes a nivel mundial, como: PCI-DSS, HIAA/ | ||
+ | |||
+ | ==== Comunicaciones ==== | ||
+ | |||
+ | El servicio SaaS de Be Aware 360 es accesible a través de Internet, mediante protocolos de comunicación HTTPS/ | ||
+ | |||
+ | ==== Protección de datos ==== | ||
+ | |||
+ | Todos los datos son almacenados en la infraestructura de Amazon Web Services. A nivel de datos en reposo se implementa Base de Datos con Cifrado, y en cuanto a datos en tránsito se aplica encriptación basada en servicio HTTPS a nivel de aplicación y TLS1.2+ a nivel de transporte, con el uso de algoritmos fuertes. | ||
+ | |||
+ | ==== Monitoreo de Seguridad ==== | ||
+ | |||
+ | Toda la infraestructura de servidores se provee adjunta al servicio Azure Sentinel, que implementa monitoreo en tiempo real de eventos de seguridad, administración y gestión centralizada basada en SIEM, con notificaciones y acciones automatizadas, | ||
+ | |||
+ | ==== Protección End Point (End to End) ==== | ||
+ | |||
+ | Toda la plataforma provista por in Motion se encuentran protegida por sistema antimalware avanzado basado en ESET Protect Advanced. Front-end de conexión a aplicaciones y/o servicios SaaS BeAware, se encuentran protegidos por Web Application Firewall. | ||
+ | |||
+ | ==== Trazas y Auditoría ==== | ||
+ | La actividad global de la plataforma se registra y monitoriza en línea a través de Azure Sentinel Service. Esta característica almacena las secuencias de logs capturados en la plataforma, las cuales son auditadas y analizadas en línea utilizando algoritmos basados en inteligencia artificial provistos por Azure, para detectar y actuar de manera automatizada frente a comportamientos anómalos, incidentes de seguridad, entre otros. A nivel de infraestructura, | ||
+ | ==== Seguridad de Redes === | ||
+ | Be Aware 360 basa la seguridad en redes en la segmentación (subredes), el direccionamiento IP privado, uso de Firewall de RED, ACL granular, Web Application Firewall, Security Groups, DDoS Protection, Uso de Protocolos Seguros, entre otros. | ||
+ | ==== Servidores ==== | ||
+ | Se aplica hardening de servidores mediante la actualización con base en los informes de seguridad de los proveedores, | ||
+ | El producto tiene un plan de mantenimientos y despliegues mensuales; en caso de requerirse ventanas de mantenimiento, | ||
+ | ==== Acciones frente a incidentes ==== | ||
+ | El equipo de infraestructura de Be Aware monitorea constante y continuamente los componentes de la solución, ellos garantizan la continuidad operacional de la solución, y si se detecta algún problema de performance que afecta la operación de un cliente, se aplica una mitigación inmediata con el incremento de la capacidad del componente afectado y se procede a identificar la causa raíz y dar solución a la misma. | ||
+ | Es importante resaltar que si se detecta un problema que afecta la operación de un cliente, este tipo de incidentes son de alta prioridad y se declara una war room para resolver la situación a la brevedad. |