Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
informaciontecnicaba360 [2023/07/19 19:31] aolanoinformaciontecnicaba360 [2026/04/23 16:27] (actual) clopez
Línea 39: Línea 39:
  
 ==== Política de recuperación y desastres (DRP) ==== ==== Política de recuperación y desastres (DRP) ====
-Be Aware 360 cuenta con una política de recuperación de desastres.  +Be Aware 360 cuenta con una política de recuperación de desastres. Respecto del RPO y RTO en casos de contingencia, el RPO es de 15 minutos con un RTO de 60 minutosEstos tiempos pueden presentar algunas diferencias menores dependiendo de la evaluación del incidente y las vías de resolución, a través de, por ejemplo, Restore to Point in time, promoción de réplicas, etc. En cualquiera de estos casos, el RPO se mantiene en el orden de 60 minutos dadas las actualizaciones de configuración y restauración de datos. 
-Respecto del RPO y RTO, por la naturaleza de la infraestructura implementada, hay distintos indicadores dependiendo de la gravedad del incidente. Por ejemplo, si hay una pérdida completa del servicio de bases de datos, sin posibilidad de utilizar o promover alguna de las réplicas como Master, el RTO máximo es de 24 horas considerando volver al último respaldo diario. En este escenario, el RTO es de aproximadamente 2 horas. + 
-En otros escenarios menos complejos, el RTO puede variar desde algunos minutos hasta unas pocas horas, dependiendo de la evaluación del incidente y las vías de resolución, a través de, por ejemplo, Restore to Point in time, promoción de réplicas, etc. En cualquiera de estos casos, el RPO se mantiene en el orden de 2 horas dadas las actualizaciones de configuración y restauración de datos. +
 ===== Seguridad ===== ===== Seguridad =====
  
Línea 56: Línea 54:
   * Soporte de autenticación delegada propietaria (API Rest).   * Soporte de autenticación delegada propietaria (API Rest).
   * Be Aware 360 realiza gestión de contactos y usuarios mediante contraseña almacenada en la base de datos de forma segura con encriptación (algoritmo de encriptación) en un solo sentido. Las contraseñas no pueden ser observadas directamente, ante la pérdida de la clave de un usuario y/o contacto deberá acudir al mecanismo de recuperación de password que le generará una nueva clave (Para el caso de usuarios se puede asignar directamente una clave en el perfil por una persona con los permisos correspondientes).   * Be Aware 360 realiza gestión de contactos y usuarios mediante contraseña almacenada en la base de datos de forma segura con encriptación (algoritmo de encriptación) en un solo sentido. Las contraseñas no pueden ser observadas directamente, ante la pérdida de la clave de un usuario y/o contacto deberá acudir al mecanismo de recuperación de password que le generará una nueva clave (Para el caso de usuarios se puede asignar directamente una clave en el perfil por una persona con los permisos correspondientes).
-  * Be Aware 360 realiza la gestión de usuarios en la plataforma mediante la organización por Roles (que a su vez permiten la definición de los permisos dentro de la misma plataforma). Cada usuario puede estar asociado a un y solo un rol. Los Roles pueden recibir los permisos correspondientes, definidos por el cliente y heredados por los usuarios que pertenezcan a dicho rol. Para más información consultar [[gestiondeusuarios|roles]]+  * Be Aware 360 realiza la gestión de usuarios en la plataforma mediante la organización por Roles (que a su vez permiten la definición de los permisos dentro de la misma plataforma). Cada usuario puede estar asociado a uno y solo un rol. Los Roles pueden recibir los permisos correspondientes, definidos por el cliente y heredados por los usuarios que pertenezcan a dicho rol. Para más información consultar [[gestiondeusuarios|roles]] 
 + 
 +==== Manejo seguro de errores en autenticación ==== 
 +Be Aware 360 cuenta con un manejo seguro de mensajes de error en los endpoints de la API de autenticación, retornando respuestas genéricas que no revelan información sobre la arquitectura interna del sistema. 
 +  
 +Este manejo aplica a todos los endpoints del módulo de autenticación, incluyendo: 
 +  
 +  * Autenticación estándar (''/auth''
 +  * Cierre de sesión (''/logout''
 +  * Autenticación por Azure AD (''/loginByAzure''
 +  * Autenticación por KeyCloak (''/loginByKeycloak''
 +  * Autenticación SSO (''/loginSSO''
 +  * Autenticación por token (''/loginWithToken'', ''/loginTokenExternal'', ''/validateToken''
 +  * Recuperación de contraseña (''/recovery''
 +  
 +En caso de error, el sistema no expone detalles internos como nombres de clases, trazas de pila (stack traces) o información de la infraestructura subyacente. Adicionalmente, la configuración del servidor de aplicaciones no muestra páginas de error con información del servidor. 
 + 
 +==== Protección contra Cross-site Scripting (XSS) ====  
 +Be Aware 360 cuenta con protección contra ataques de Cross-site Scripting (XSS) en los módulos que permiten la entrada de contenido por parte de los usuarios, como las notas de caso. 
 +  
 +Se implementó la sanitización completa de caracteres especiales de HTML potencialmente maliciosos en la entrada de datos. 
 +  
 +==== Invalidación de token al cierre de sesión ==== 
 +Be Aware 360 cuenta con un mecanismo de invalidación de token de sesión al momento del cierre de sesión. Cuando el usuario ejecuta la acción de logout, el token de sesión se invalida de forma inmediata, impidiendo su reutilización posterior. De esta forma, un token capturado no puede ser utilizado para acceder al sistema una vez que el usuario ha cerrado su sesión. 
 +  
 +==== Gestión de versiones de API ==== 
 +Be Aware 360 mantiene un control sobre las versiones activas de la API. Las versiones deprecadas de la API son dadas de baja para evitar la exposición de información sensible a través de endpoints que no cuentan con las medidas de seguridad implementadas en versiones posteriores. Los endpoints activos corresponden a la versión vigente de la API (v10.5, v11 y v12).
  
 ==== Autogestión de contraseñas de usuarios y contactos ==== ==== Autogestión de contraseñas de usuarios y contactos ====
Línea 67: Línea 91:
  
 Para más información consultar [[portales|Portal de clientes de Be Aware 360]]. Para más información consultar [[portales|Portal de clientes de Be Aware 360]].
 +
 +==== Protección contra intentos masivos (Rate Limiting) ====
 +Be Aware 360 cuenta con un mecanismo de limitación de intentos (Rate Limiting) que protege contra ataques de fuerza bruta y consumo excesivo de recursos. Este mecanismo aplica a todos los endpoints de la API de login, incluyendo el servicio de recuperación de contraseña.
 + 
 +El comportamiento del Rate Limiting es el siguiente:
 + 
 +  * Se permite un máximo de 5 intentos fallidos consecutivos por dirección IP.
 +  * Tras superar el límite de intentos, el acceso se bloquea automáticamente para esa dirección IP.
 +  * El bloqueo se levanta automáticamente después de 300 segundos (5 minutos).
 + 
 +Esta sección es configurable por cada implementación de BeAware, para ajustarlo a las necesidades particulares de cada cliente.
 +
 +==== Protección contra enumeración de usuarios ====
 +Be Aware 360 cuenta con protección contra la enumeración de usuarios en el servicio de recuperación de contraseña. Independientemente de si el usuario o contacto existe en el sistema, el servicio retorna siempre la misma respuesta, de modo que no es posible determinar la existencia de una cuenta a través de diferencias en los mensajes de error o respuestas del servicio.
 + 
 +Adicionalmente, el servicio no devuelve información del usuario en la respuesta de recuperación de contraseña, limitándose a confirmar la recepción de la solicitud sin revelar datos personales.
  
 ==== Bloqueo de usuarios ==== ==== Bloqueo de usuarios ====
Línea 79: Línea 119:
  
 ==== Actualizaciones periódicas de la plataforma ==== ==== Actualizaciones periódicas de la plataforma ====
-Be Aware 360 provee un despliegue mensual donde se liberan las funcionalidades, mejoras y correcciones trabajadas en el sprint del mes y/o del mes anterior. En caso de necesidad de corrección urgente, se libera un FIX prioritario de la versión actual con el ajuste correspondiente. El detalle por desplegar se indica en la Wiki, sección Release Notes y se notifica a los clientes a través de correo electrónico.+Be Aware 360 provee un despliegue semanal, donde se liberan las funcionalidades, mejoras y correcciones trabajadas en el sprint anterior. En caso de necesidad de corrección urgente, se libera un FIX prioritario de la versión actual con el ajuste correspondiente. El detalle por desplegar se indica en la Wiki, sección Release Notes y se mensualmente se notifica a los clientes a través de correo electrónico de las mejoras y correcciones liberadas en el mes anterior
  
 También, además de las actualizaciones mensuales de la plataforma, se incluyen parches de seguridad según requerimientos y roadmap. También, además de las actualizaciones mensuales de la plataforma, se incluyen parches de seguridad según requerimientos y roadmap.
Línea 135: Línea 175:
   * Una herramienta de registros y seguimiento de casos (PUC)   * Una herramienta de registros y seguimiento de casos (PUC)
   * Un esquema de soporte que considera la clasificación por prioridad.   * Un esquema de soporte que considera la clasificación por prioridad.
 +
 +===== Continuidad Operacional =====
 +
 +Se considera como plan de continuidad operacional de Be Aware 360 a los elementos, definiciones o acciones implementados con el objetivo de asegurar la continuidad operativa de la plataforma ante la ocurrencia de eventos que puedan crear una interrupción o inestabilidad en el servicio.
 +
 +==== Separación de Ambientes =====
 +
 +Be Aware 360 opera con ambientes separados, destinados a Desarrollo, QA y Producción. Los ambientes se encuentran completamente segregados, especialmente los productivos.
 +Los ambientes DEV y QA se despliegan en redes virtuales independientes y no conectadas, cada red virtual con mecanismos locales de conexión remota completamente diferenciados.
 +A su vez, cada entorno de trabajo está segregado en subredes específicas, complementado además con el uso granular de grupos de seguridad con el fin de limitar los accesos, utilizando el principio de mínimo privilegio a nivel de red.
 +
 +==== Alta Disponibilidad ====
 +
 +Be Aware 360, a nivel de aplicación, basa su alta disponibilidad en su implementación con balanceador de carga e infraestructura de granja de servidores EC2 en configuración N+1. A nivel de Base de Datos se usa la infraestructura RDS de alta disponibilidad de Amazon.
 +
 +====  Infraestructura ====
 +Infraestructura en la nube de Amazon Web Services (AWS), la cual cumple con los estándares de seguridad y certificaciones de conformidad más importantes a nivel mundial, como: PCI-DSS, HIAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-171. Más información en: https://aws.amazon.com/es/compliance/
 +
 +==== Comunicaciones ====
 +
 +El servicio SaaS de Be Aware 360 es accesible a través de Internet, mediante protocolos de comunicación HTTPS/TLS1.2 con cifrado fuerte.
 +
 +==== Protección de datos ====
 +
 +Todos los datos son almacenados en la infraestructura de Amazon Web Services. A nivel de datos en reposo se implementa Base de Datos con Cifrado, y en cuanto a datos en tránsito se aplica encriptación basada en servicio HTTPS a nivel de aplicación y TLS1.2+ a nivel de transporte, con el uso de algoritmos fuertes.
 +
 +==== Monitoreo de Seguridad ====
 +
 +Toda la infraestructura de servidores se provee adjunta al servicio Azure Sentinel, que implementa monitoreo en tiempo real de eventos de seguridad, administración y gestión centralizada basada en SIEM, con notificaciones y acciones automatizadas, integrando algoritmos de inteligencia artificial provisto por Azure para ampliar el espectro de detección. https://azure.microsoft.com/en-us/products/microsoft-sentinel Todas las aplicaciones y servicios front-end de BeAware se publican bajo un balanceador de carga y un WAF ( Web Application Firewall) que monitoriza el tráfico HTTPS de aplicación y permite detectar y bloquear de manera automatizada intentos de vulneración y tráfico sospechoso.
 +
 +==== Protección End Point (End to End) ====
 +
 +Toda la plataforma provista por in Motion se encuentran protegida por sistema antimalware avanzado basado en ESET Protect Advanced. Front-end de conexión a aplicaciones y/o servicios SaaS BeAware, se encuentran protegidos por Web Application Firewall.
 +
 +==== Trazas y Auditoría ====
 +
 +La actividad global de la plataforma se registra y monitoriza en línea a través de Azure Sentinel Service. Esta característica almacena las secuencias de logs capturados en la plataforma, las cuales son auditadas y analizadas en línea utilizando algoritmos basados en inteligencia artificial provistos por Azure, para detectar y actuar de manera automatizada frente a comportamientos anómalos, incidentes de seguridad, entre otros. A nivel de infraestructura, los accesos privilegiados se registran en syslogs respectivos y son auditados periódicamente de acuerdo con las políticas de gestión de seguridad con certificación ISO27001. A nivel de aplicación Be Aware 360, todos los accesos de usuarios (ingreso al aplicativo) se registran en log propietario y se almacena en base de datos, lo que garantiza su integridad y habilita auditabilidad de consulta en línea al rol Administrador del producto/software y usuarios con perfil/rol administrador designados por el cliente.
 +
 +==== Seguridad de Redes ===
 +Be Aware 360 basa la seguridad en redes en la segmentación (subredes), el direccionamiento IP privado, uso de Firewall de RED, ACL granular, Web Application Firewall, Security Groups, DDoS Protection, Uso de Protocolos Seguros, entre otros.
 +
 +==== Servidores ====
 +
 +Se aplica hardening de servidores mediante la actualización con base en los informes de seguridad de los proveedores, así como la aplicación de actualizaciones y parches de seguridad de sistemas operativos y bases de datos, propios de cada fabricante.
 +El producto tiene un plan de mantenimientos y despliegues mensuales; en caso de requerirse ventanas de mantenimiento, estás se anuncian con anticipación a los clientes.
 +
 +==== Acciones frente a incidentes ====
 +
 +El equipo de infraestructura de Be Aware monitorea constante y continuamente los componentes de la solución, ellos garantizan la continuidad operacional de la solución, y si se detecta algún problema de performance que afecta la operación de un cliente, se aplica una mitigación inmediata con el incremento de la capacidad del componente afectado y se procede a identificar la causa raíz y dar solución a la misma.
 +
 +Es importante resaltar que si se detecta un problema que afecta la operación de un cliente, este tipo de incidentes son de alta prioridad y se declara una war room para resolver la situación a la brevedad.
informaciontecnicaba360.1689795110.txt.gz · Última modificación: (editor externo)
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International


  • Ver página
  • Revisiones antiguas
  • Enlaces a esta página
  • Cambios recientes
  • Administrador de Ficheros
  • Índice