Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| informaciontecnicaba360 [2026/03/16 14:22] – [Política de recuperación y desastres (DRP)] aolano | informaciontecnicaba360 [2026/04/23 16:27] (actual) – clopez | ||
|---|---|---|---|
| Línea 55: | Línea 55: | ||
| * Be Aware 360 realiza gestión de contactos y usuarios mediante contraseña almacenada en la base de datos de forma segura con encriptación (algoritmo de encriptación) en un solo sentido. Las contraseñas no pueden ser observadas directamente, | * Be Aware 360 realiza gestión de contactos y usuarios mediante contraseña almacenada en la base de datos de forma segura con encriptación (algoritmo de encriptación) en un solo sentido. Las contraseñas no pueden ser observadas directamente, | ||
| * Be Aware 360 realiza la gestión de usuarios en la plataforma mediante la organización por Roles (que a su vez permiten la definición de los permisos dentro de la misma plataforma). Cada usuario puede estar asociado a uno y solo un rol. Los Roles pueden recibir los permisos correspondientes, | * Be Aware 360 realiza la gestión de usuarios en la plataforma mediante la organización por Roles (que a su vez permiten la definición de los permisos dentro de la misma plataforma). Cada usuario puede estar asociado a uno y solo un rol. Los Roles pueden recibir los permisos correspondientes, | ||
| + | |||
| + | ==== Manejo seguro de errores en autenticación ==== | ||
| + | Be Aware 360 cuenta con un manejo seguro de mensajes de error en los endpoints de la API de autenticación, | ||
| + | |||
| + | Este manejo aplica a todos los endpoints del módulo de autenticación, | ||
| + | |||
| + | * Autenticación estándar (''/ | ||
| + | * Cierre de sesión (''/ | ||
| + | * Autenticación por Azure AD (''/ | ||
| + | * Autenticación por KeyCloak (''/ | ||
| + | * Autenticación SSO (''/ | ||
| + | * Autenticación por token (''/ | ||
| + | * Recuperación de contraseña (''/ | ||
| + | |||
| + | En caso de error, el sistema no expone detalles internos como nombres de clases, trazas de pila (stack traces) o información de la infraestructura subyacente. Adicionalmente, | ||
| + | |||
| + | ==== Protección contra Cross-site Scripting (XSS) ==== | ||
| + | Be Aware 360 cuenta con protección contra ataques de Cross-site Scripting (XSS) en los módulos que permiten la entrada de contenido por parte de los usuarios, como las notas de caso. | ||
| + | |||
| + | Se implementó la sanitización completa de caracteres especiales de HTML potencialmente maliciosos en la entrada de datos. | ||
| + | |||
| + | ==== Invalidación de token al cierre de sesión ==== | ||
| + | Be Aware 360 cuenta con un mecanismo de invalidación de token de sesión al momento del cierre de sesión. Cuando el usuario ejecuta la acción de logout, el token de sesión se invalida de forma inmediata, impidiendo su reutilización posterior. De esta forma, un token capturado no puede ser utilizado para acceder al sistema una vez que el usuario ha cerrado su sesión. | ||
| + | |||
| + | ==== Gestión de versiones de API ==== | ||
| + | Be Aware 360 mantiene un control sobre las versiones activas de la API. Las versiones deprecadas de la API son dadas de baja para evitar la exposición de información sensible a través de endpoints que no cuentan con las medidas de seguridad implementadas en versiones posteriores. Los endpoints activos corresponden a la versión vigente de la API (v10.5, v11 y v12). | ||
| ==== Autogestión de contraseñas de usuarios y contactos ==== | ==== Autogestión de contraseñas de usuarios y contactos ==== | ||
| Línea 65: | Línea 91: | ||
| Para más información consultar [[portales|Portal de clientes de Be Aware 360]]. | Para más información consultar [[portales|Portal de clientes de Be Aware 360]]. | ||
| + | |||
| + | ==== Protección contra intentos masivos (Rate Limiting) ==== | ||
| + | Be Aware 360 cuenta con un mecanismo de limitación de intentos (Rate Limiting) que protege contra ataques de fuerza bruta y consumo excesivo de recursos. Este mecanismo aplica a todos los endpoints de la API de login, incluyendo el servicio de recuperación de contraseña. | ||
| + | |||
| + | El comportamiento del Rate Limiting es el siguiente: | ||
| + | |||
| + | * Se permite un máximo de 5 intentos fallidos consecutivos por dirección IP. | ||
| + | * Tras superar el límite de intentos, el acceso se bloquea automáticamente para esa dirección IP. | ||
| + | * El bloqueo se levanta automáticamente después de 300 segundos (5 minutos). | ||
| + | |||
| + | Esta sección es configurable por cada implementación de BeAware, para ajustarlo a las necesidades particulares de cada cliente. | ||
| + | |||
| + | ==== Protección contra enumeración de usuarios ==== | ||
| + | Be Aware 360 cuenta con protección contra la enumeración de usuarios en el servicio de recuperación de contraseña. Independientemente de si el usuario o contacto existe en el sistema, el servicio retorna siempre la misma respuesta, de modo que no es posible determinar la existencia de una cuenta a través de diferencias en los mensajes de error o respuestas del servicio. | ||
| + | |||
| + | Adicionalmente, | ||
| ==== Bloqueo de usuarios ==== | ==== Bloqueo de usuarios ==== | ||