Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
informaciontecnicaba360 [2024/10/03 20:08] – [Esquema de atención] aolanoinformaciontecnicaba360 [2026/04/23 16:27] (actual) clopez
Línea 39: Línea 39:
  
 ==== Política de recuperación y desastres (DRP) ==== ==== Política de recuperación y desastres (DRP) ====
-Be Aware 360 cuenta con una política de recuperación de desastres.  +Be Aware 360 cuenta con una política de recuperación de desastres. Respecto del RPO y RTO en casos de contingencia, el RPO es de 15 minutos con un RTO de 60 minutosEstos tiempos pueden presentar algunas diferencias menores dependiendo de la evaluación del incidente y las vías de resolución, a través de, por ejemplo, Restore to Point in time, promoción de réplicas, etc. En cualquiera de estos casos, el RPO se mantiene en el orden de 60 minutos dadas las actualizaciones de configuración y restauración de datos. 
-Respecto del RPO y RTO, por la naturaleza de la infraestructura implementada, hay distintos indicadores dependiendo de la gravedad del incidente. Por ejemplo, si hay una pérdida completa del servicio de bases de datos, sin posibilidad de utilizar o promover alguna de las réplicas como Master, el RTO máximo es de 24 horas considerando volver al último respaldo diario. En este escenario, el RTO es de aproximadamente 2 horas. + 
-En otros escenarios menos complejos, el RTO puede variar desde algunos minutos hasta unas pocas horas, dependiendo de la evaluación del incidente y las vías de resolución, a través de, por ejemplo, Restore to Point in time, promoción de réplicas, etc. En cualquiera de estos casos, el RPO se mantiene en el orden de 2 horas dadas las actualizaciones de configuración y restauración de datos. +
 ===== Seguridad ===== ===== Seguridad =====
  
Línea 57: Línea 55:
   * Be Aware 360 realiza gestión de contactos y usuarios mediante contraseña almacenada en la base de datos de forma segura con encriptación (algoritmo de encriptación) en un solo sentido. Las contraseñas no pueden ser observadas directamente, ante la pérdida de la clave de un usuario y/o contacto deberá acudir al mecanismo de recuperación de password que le generará una nueva clave (Para el caso de usuarios se puede asignar directamente una clave en el perfil por una persona con los permisos correspondientes).   * Be Aware 360 realiza gestión de contactos y usuarios mediante contraseña almacenada en la base de datos de forma segura con encriptación (algoritmo de encriptación) en un solo sentido. Las contraseñas no pueden ser observadas directamente, ante la pérdida de la clave de un usuario y/o contacto deberá acudir al mecanismo de recuperación de password que le generará una nueva clave (Para el caso de usuarios se puede asignar directamente una clave en el perfil por una persona con los permisos correspondientes).
   * Be Aware 360 realiza la gestión de usuarios en la plataforma mediante la organización por Roles (que a su vez permiten la definición de los permisos dentro de la misma plataforma). Cada usuario puede estar asociado a uno y solo un rol. Los Roles pueden recibir los permisos correspondientes, definidos por el cliente y heredados por los usuarios que pertenezcan a dicho rol. Para más información consultar [[gestiondeusuarios|roles]]   * Be Aware 360 realiza la gestión de usuarios en la plataforma mediante la organización por Roles (que a su vez permiten la definición de los permisos dentro de la misma plataforma). Cada usuario puede estar asociado a uno y solo un rol. Los Roles pueden recibir los permisos correspondientes, definidos por el cliente y heredados por los usuarios que pertenezcan a dicho rol. Para más información consultar [[gestiondeusuarios|roles]]
 +
 +==== Manejo seguro de errores en autenticación ====
 +Be Aware 360 cuenta con un manejo seguro de mensajes de error en los endpoints de la API de autenticación, retornando respuestas genéricas que no revelan información sobre la arquitectura interna del sistema.
 + 
 +Este manejo aplica a todos los endpoints del módulo de autenticación, incluyendo:
 + 
 +  * Autenticación estándar (''/auth'')
 +  * Cierre de sesión (''/logout'')
 +  * Autenticación por Azure AD (''/loginByAzure'')
 +  * Autenticación por KeyCloak (''/loginByKeycloak'')
 +  * Autenticación SSO (''/loginSSO'')
 +  * Autenticación por token (''/loginWithToken'', ''/loginTokenExternal'', ''/validateToken'')
 +  * Recuperación de contraseña (''/recovery'')
 + 
 +En caso de error, el sistema no expone detalles internos como nombres de clases, trazas de pila (stack traces) o información de la infraestructura subyacente. Adicionalmente, la configuración del servidor de aplicaciones no muestra páginas de error con información del servidor.
 +
 +==== Protección contra Cross-site Scripting (XSS) ==== 
 +Be Aware 360 cuenta con protección contra ataques de Cross-site Scripting (XSS) en los módulos que permiten la entrada de contenido por parte de los usuarios, como las notas de caso.
 + 
 +Se implementó la sanitización completa de caracteres especiales de HTML potencialmente maliciosos en la entrada de datos.
 + 
 +==== Invalidación de token al cierre de sesión ====
 +Be Aware 360 cuenta con un mecanismo de invalidación de token de sesión al momento del cierre de sesión. Cuando el usuario ejecuta la acción de logout, el token de sesión se invalida de forma inmediata, impidiendo su reutilización posterior. De esta forma, un token capturado no puede ser utilizado para acceder al sistema una vez que el usuario ha cerrado su sesión.
 + 
 +==== Gestión de versiones de API ====
 +Be Aware 360 mantiene un control sobre las versiones activas de la API. Las versiones deprecadas de la API son dadas de baja para evitar la exposición de información sensible a través de endpoints que no cuentan con las medidas de seguridad implementadas en versiones posteriores. Los endpoints activos corresponden a la versión vigente de la API (v10.5, v11 y v12).
  
 ==== Autogestión de contraseñas de usuarios y contactos ==== ==== Autogestión de contraseñas de usuarios y contactos ====
Línea 67: Línea 91:
  
 Para más información consultar [[portales|Portal de clientes de Be Aware 360]]. Para más información consultar [[portales|Portal de clientes de Be Aware 360]].
 +
 +==== Protección contra intentos masivos (Rate Limiting) ====
 +Be Aware 360 cuenta con un mecanismo de limitación de intentos (Rate Limiting) que protege contra ataques de fuerza bruta y consumo excesivo de recursos. Este mecanismo aplica a todos los endpoints de la API de login, incluyendo el servicio de recuperación de contraseña.
 + 
 +El comportamiento del Rate Limiting es el siguiente:
 + 
 +  * Se permite un máximo de 5 intentos fallidos consecutivos por dirección IP.
 +  * Tras superar el límite de intentos, el acceso se bloquea automáticamente para esa dirección IP.
 +  * El bloqueo se levanta automáticamente después de 300 segundos (5 minutos).
 + 
 +Esta sección es configurable por cada implementación de BeAware, para ajustarlo a las necesidades particulares de cada cliente.
 +
 +==== Protección contra enumeración de usuarios ====
 +Be Aware 360 cuenta con protección contra la enumeración de usuarios en el servicio de recuperación de contraseña. Independientemente de si el usuario o contacto existe en el sistema, el servicio retorna siempre la misma respuesta, de modo que no es posible determinar la existencia de una cuenta a través de diferencias en los mensajes de error o respuestas del servicio.
 + 
 +Adicionalmente, el servicio no devuelve información del usuario en la respuesta de recuperación de contraseña, limitándose a confirmar la recepción de la solicitud sin revelar datos personales.
  
 ==== Bloqueo de usuarios ==== ==== Bloqueo de usuarios ====
Línea 79: Línea 119:
  
 ==== Actualizaciones periódicas de la plataforma ==== ==== Actualizaciones periódicas de la plataforma ====
-Be Aware 360 provee un despliegue mensual donde se liberan las funcionalidades, mejoras y correcciones trabajadas en el sprint del mes y/o del mes anterior. En caso de necesidad de corrección urgente, se libera un FIX prioritario de la versión actual con el ajuste correspondiente. El detalle por desplegar se indica en la Wiki, sección Release Notes y se notifica a los clientes a través de correo electrónico.+Be Aware 360 provee un despliegue semanal, donde se liberan las funcionalidades, mejoras y correcciones trabajadas en el sprint anterior. En caso de necesidad de corrección urgente, se libera un FIX prioritario de la versión actual con el ajuste correspondiente. El detalle por desplegar se indica en la Wiki, sección Release Notes y se mensualmente se notifica a los clientes a través de correo electrónico de las mejoras y correcciones liberadas en el mes anterior
  
 También, además de las actualizaciones mensuales de la plataforma, se incluyen parches de seguridad según requerimientos y roadmap. También, además de las actualizaciones mensuales de la plataforma, se incluyen parches de seguridad según requerimientos y roadmap.
informaciontecnicaba360.1727986106.txt.gz · Última modificación: por aolano
Excepto donde se indique lo contrario, el contenido de este wiki esta bajo la siguiente licencia: CC Attribution-Noncommercial-Share Alike 4.0 International


  • Ver página
  • Revisiones antiguas
  • Enlaces a esta página
  • Cambios recientes
  • Administrador de Ficheros
  • Índice