Seguridad Odoo y Tecnativa
Compromiso y tranquilidad con nuestros clientes
Lo más importante, tu seguridad
A continuación encuentra un resúmen de lo que hacemos cada día para garantizar que tu información esté a salvo con Odoo y que aplicamos las mejores prácticas de seguridad en nuestra versión alojada en la nube, Odoo Online.
A continuación se especifican los posibles riesgos a los que se ven expuestos los datos personales de los que TECNATIVA actúa en papel de encargado del tratamiento, y las medidas de seguridad adoptadas para paliarlos.
Ataque de fuerza bruta por SSH
Un atacante podría efectuar un ataque de fuerza bruta para intentar obtener acceso al servidor en el que se encuentran los datos personales que pertenezcan al CLIENTE.
En caso de conseguirlo, podría tener acceso a los datos personales contenidos y usarlos sin consentimiento.
Medidas de seguridad
FORZAR ACCESO MEDIANTE CLAVE PRIVADA
Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.
Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.
| Soportada | Obligatoria | Técnica |
FORZAR ACCESO MEDIANTE CLAVE PRIVADA
Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.
Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.
| Soportada | Obligatoria | Técnica |
FORZAR ACCESO MEDIANTE CLAVE PRIVADA
Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.
Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.
| Soportada | Obligatoria | Técnica |
FORZAR ACCESO MEDIANTE CLAVE PRIVADA
Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.
Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.
| ESTADO: Soportada | NIVEL: Obligatoria | Técnica |
0-day en cualquier componente del sistema
Para tener un servicio ejecutándose y sirviendo al CLIENTE, es necesario tener una serie de componentes de software que se comunican con el sistema operativo, el cual a su vez tiene más componentes que se comunican con el hardware.
Si se descubre una vulnerabilidad de seguridad en cualquiera de estos componentes, estas son denominadas 0-day (significa que cualquier atacante que la hubiera descubierto antes del día cero habría podido explotarla a su antojo).
Por su propia naturaleza, estas vulnerabilidades son impredecibles, y su alcance también. Como norma general, las 0-day de los que más nos debemos preocupar son aquellas que afecten a servicios públicamente expuestos. Sin embargo, hay medidas que se pueden tomar para paliarlas.
Medidas de seguridad
Aislamiento de los servicios expuestos
Todos los servicios ofrecidos a CLIENTES están lógicamente aislados entre sí, incluso en los casos en que solo exista un servicio en una máquina física.
De este modo, la superficie de ataque de un posible 0-day se ve reducida.
De este modo, la superficie de ataque de un posible 0-day se ve reducida.
| Soportada | Obligatoria | Técnica |
Actualizaciones de seguridad automáticas constantes
Como norma general, las 0-day son notificadas a los mantenedores del software en cuestión, que publican una actualización de seguridad un poco de tiempo antes de darse a conocer públicamente.
El periodo más peligroso de una 0-day es desde el momento en que se hace pública hasta el momento en que has aplicado el parche, ya que en ese periodo, atacantes de todo el mundo pueden explotarla con mucha más facilidad. La medida de protección más eficaz es, por tanto, usar sistemas que reciben automáticamente las últimas actualizaciones de seguridad y las aplican.
El periodo más peligroso de una 0-day es desde el momento en que se hace pública hasta el momento en que has aplicado el parche, ya que en ese periodo, atacantes de todo el mundo pueden explotarla con mucha más facilidad. La medida de protección más eficaz es, por tanto, usar sistemas que reciben automáticamente las últimas actualizaciones de seguridad y las aplican.
| Soportada | Obligatoria | Técnica |
Robo de datos por parte del personal autorizado
Toda persona que tenga acceso a un dato personal puede extraerlo y utilizarlo de manera delictiva. Por otro lado, es necesario tener acceso a las bases de datos para poder mantenerlas y corregir posibles incidencias.
También existe la posibilidad de que cierto personal haya sido autorizado antes, y ahora ya no lo sea, pero continúe accediendo a los datos personales a los que antes accedía.
Medidas de seguridad
Contrato de confidencialidad
Esta vulnerabilidad es imposible de controlar completamente por medios técnicos, pero hay medios legales que sí se pueden utilizar.
Todos los administradores de sistemas que, por la naturaleza intrínseca a su trabajo, necesitan poder acceder a datos personales contenidos en las bases de datos de los CLIENTES, han firmado un acuerdo de confidencialidad legalmente vinculante que los responsabiliza en caso de utilizar dichos datos para cualquier fin no autorizado.
Todos los administradores de sistemas que, por la naturaleza intrínseca a su trabajo, necesitan poder acceder a datos personales contenidos en las bases de datos de los CLIENTES, han firmado un acuerdo de confidencialidad legalmente vinculante que los responsabiliza en caso de utilizar dichos datos para cualquier fin no autorizado.
| Soportada | Obligatoria | Legal |
Revocación de credenciales de acceso
Todas las credenciales de acceso de un extrabajador o excolaborador de TECNATIVA serán revocadas para evitar su futuro acceso a los datos personales a los que antes accedía.
| Soportada | Obligatoria | Técnica |
Acceso entre servidores de diferentes subredes
En los casos en que el CLIENTE proporciona su propio servidor, existiría el riesgo de que obtuviera acceso a otros servidores en los que se encuentran alojados otros CLIENTES, a través de la VPN.
Medidas de seguridad
Restricción de subredes por firewall
Cada grupo lógico de servidores se encuentra en una subred diferente, restringida por firewall, de modo que si un CLIENTE tiene 3 servidores y otro CLIENTE tiene 2, esos 3 podrán intercomunicarse a través de la VPN, y los otros 2 también entre sí, pero nunca los del primer CLIENTE con los del segundo.
| Soportada | Obligatoria | Legal |
Borrado accidental de datos
Diversas circunstancias pueden causar que un dato se pierda:
- Un usuario lo borra accidentalmente.
- Un fallo en el sistema produce pérdida de datos.
- Un fallo o un ataque DDoS deja el sistema sin acceso o inutilizado.
Medidas de seguridad
Copias de respaldo automatizadas
Diariamente TECNATIVA realizará una copia de seguridad automatizada.
El CLIENTE siempre puede solicitar su copia. En ningún caso aceptaremos un proyecto sin copias de seguridad.
TECNATIVA decidirá el programa utilizado para la automatización y almacenamiento de las copias de seguridad.
El CLIENTE siempre puede solicitar su copia. En ningún caso aceptaremos un proyecto sin copias de seguridad.
TECNATIVA decidirá el programa utilizado para la automatización y almacenamiento de las copias de seguridad.
| Soportada | Obligatoria | Técnica |
Copias de respaldo remotas en las dependencias de TECNATIVA
Para que las copias de seguridad sean realmente seguras, es necesario que se almacenen de forma remota. De otro modo, un fallo que dejase el sistema inutilizado o inaccesible, muy probablemente causaría el mismo efecto en las copias de seguridad, con lo que ya no podrían restaurarse en otro sistema.
TECNATIVA ofrece un servicio de almacenamiento remoto, incluido en el paquete de hosting, con garantías de recuperación inmediata para copias de hasta hace 7 días, y de hasta hace 90 días de forma lenta (esperando normalmente 1-2 días para poder restaurarlas).
Si la ubicación en la que se almacenan queda inaccesible y no se pueden recuperar los archivos, quedará bajo la responsabilidad del CLIENTE.
Si el CLIENTE desea realizar su propio proceso de copias de seguridad, queda bajo su responsabilidad y no tendrá soporte por parte de TECNATIVA.
TECNATIVA ofrece un servicio de almacenamiento remoto, incluido en el paquete de hosting, con garantías de recuperación inmediata para copias de hasta hace 7 días, y de hasta hace 90 días de forma lenta (esperando normalmente 1-2 días para poder restaurarlas).
Si la ubicación en la que se almacenan queda inaccesible y no se pueden recuperar los archivos, quedará bajo la responsabilidad del CLIENTE.
Si el CLIENTE desea realizar su propio proceso de copias de seguridad, queda bajo su responsabilidad y no tendrá soporte por parte de TECNATIVA.
| Soportada | Recomendada | Técnic |
Protección contra ataques DDoS
El paquete de hosting ofrecido por TECNATIVA incluye de serie protección contra ataques de denegación de servicio, en los que una red masiva de computadoras lanza peticiones aparentemente legítimas para sobrecargar la red y los servidores, dejando el servicio inaccesible.
En caso de que el CLIENTE quiera alojar los servicios en sus dependencias, TECNATIVA no podrá ofrecer garantías de protección al respecto.
En caso de que el CLIENTE quiera alojar los servicios en sus dependencias, TECNATIVA no podrá ofrecer garantías de protección al respecto.
| Soporte | Recomendada | Técnica |
Copias de respaldo remotas en las dependencias del CLIENTE
Si el CLIENTE desea que las copias de seguridad se almacenen en sus dependencias, deberá proporcionar un acceso remoto mediante cualquiera de los protocolos soportados por el software utilizado por TECNATIVA.
Si la ubicación en la que se almacenan queda inaccesible y no se pueden recuperar los archivos, quedará bajo la responsabilidad del CLIENTE.
Opcionalmente, el CLIENTE puede escoger almacenar copias de seguridad tanto en sus dependencias como en las de TECNATIVA.
Si la ubicación en la que se almacenan queda inaccesible y no se pueden recuperar los archivos, quedará bajo la responsabilidad del CLIENTE.
Opcionalmente, el CLIENTE puede escoger almacenar copias de seguridad tanto en sus dependencias como en las de TECNATIVA.
| Soportada | Opcional | Técnica |
Copias de respaldo usando un software o proceso diferente al proporcionado por TECNATIVA
Si el CLIENTE desea realizar su propio proceso de copias de seguridad, utilizando su propio software, queda bajo su entera responsabilidad.
| No Soportada | Técnica |