Seguridad Odoo y Tecnativa

Compromiso y tranquilidad con nuestros clientes



Lo más importante, tu seguridad


A continuación encuentra un resúmen de lo que hacemos cada día para garantizar que tu información esté a salvo con Odoo y que aplicamos las mejores prácticas de seguridad en nuestra versión alojada en la nube, Odoo Online.

A continuación se especifican los posibles riesgos a los que se ven expuestos los datos personales de los que TECNATIVA actúa en papel de encargado del tratamiento, y las medidas de seguridad adoptadas para paliarlos.

                                                        Ataque de fuerza bruta por SSH


                                                        Un atacante podría efectuar un ataque de fuerza bruta para intentar obtener acceso al servidor en el que se encuentran los datos personales que pertenezcan al CLIENTE.
                                                        En caso de conseguirlo, podría tener acceso a los datos personales contenidos y usarlos sin consentimiento.

                                                        Medidas de seguridad

                                                        FORZAR ACCESO MEDIANTE CLAVE PRIVADA

                                                        Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.

                                                        Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.


                                                        Soportada Obligatoria Técnica

                                                        FORZAR ACCESO MEDIANTE CLAVE PRIVADA

                                                        Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.

                                                        Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.


                                                        Soportada Obligatoria Técnica

                                                        FORZAR ACCESO MEDIANTE CLAVE PRIVADA

                                                        Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.

                                                        Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.


                                                        Soportada Obligatoria Técnica

                                                        FORZAR ACCESO MEDIANTE CLAVE PRIVADA

                                                        Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.

                                                        Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.


                                                        ESTADO: Soportada NIVEL: Obligatoria Técnica

                                                        0-day en cualquier componente del sistema


                                                        Para tener un servicio ejecutándose y sirviendo al CLIENTE, es necesario tener una serie de componentes de software que se comunican con el sistema operativo, el cual a su vez tiene más componentes que se comunican con el hardware.

                                                        Si se descubre una vulnerabilidad de seguridad en cualquiera de estos componentes, estas son denominadas 0-day (significa que cualquier atacante que la hubiera descubierto antes del día cero habría podido explotarla a su antojo).

                                                        Por su propia naturaleza, estas vulnerabilidades son impredecibles, y su alcance también. Como norma general, las 0-day de los que más nos debemos preocupar son aquellas que afecten a servicios públicamente expuestos. Sin embargo, hay medidas que se pueden tomar para paliarlas.

                                                        Medidas de seguridad

                                                        Aislamiento de los servicios expuestos

                                                        Todos los servicios ofrecidos a CLIENTES están lógicamente aislados entre sí, incluso en los casos en que solo exista un servicio en una máquina física.
                                                        De este modo, la superficie de ataque de un posible 0-day se ve reducida.


                                                        Soportada Obligatoria Técnica

                                                        Actualizaciones de seguridad automáticas constantes

                                                        Como norma general, las 0-day son notificadas a los mantenedores del software en cuestión, que publican una actualización de seguridad un poco de tiempo antes de darse a conocer públicamente.
                                                        El periodo más peligroso de una 0-day es desde el momento en que se hace pública hasta el momento en que has aplicado el parche, ya que en ese periodo, atacantes de todo el mundo pueden explotarla con mucha más facilidad. La medida de protección más eficaz es, por tanto, usar sistemas que reciben automáticamente las últimas actualizaciones de seguridad y las aplican.


                                                        Soportada Obligatoria Técnica

                                                        Robo de datos por parte del personal autorizado


                                                        Toda persona que tenga acceso a un dato personal puede extraerlo y utilizarlo de manera delictiva. Por otro lado, es necesario tener acceso a las bases de datos para poder mantenerlas y corregir posibles incidencias.

                                                        También existe la posibilidad de que cierto personal haya sido autorizado antes, y ahora ya no lo sea, pero continúe accediendo a los datos personales a los que antes accedía.


                                                        Medidas de seguridad

                                                        Contrato de confidencialidad

                                                        Esta vulnerabilidad es imposible de controlar completamente por medios técnicos, pero hay medios legales que sí se pueden utilizar.
                                                        Todos los administradores de sistemas que, por la naturaleza intrínseca a su trabajo, necesitan poder acceder a datos personales contenidos en las bases de datos de los CLIENTES, han firmado un acuerdo de confidencialidad legalmente vinculante que los responsabiliza en caso de utilizar dichos datos para cualquier fin no autorizado.


                                                        Soportada Obligatoria Legal

                                                        Revocación de credenciales de acceso

                                                        Todas las credenciales de acceso de un extrabajador o excolaborador de TECNATIVA serán revocadas para evitar su futuro acceso a los datos personales a los que antes accedía.


                                                        Soportada Obligatoria Técnica

                                                        Acceso entre servidores de diferentes subredes


                                                        En los casos en que el CLIENTE proporciona su propio servidor, existiría el riesgo de que obtuviera acceso a otros servidores en los que se encuentran alojados otros CLIENTES, a través de la VPN.


                                                        Medidas de seguridad

                                                        Restricción de subredes por firewall

                                                        Cada grupo lógico de servidores se encuentra en una subred diferente, restringida por firewall, de modo que si un CLIENTE tiene 3 servidores y otro CLIENTE tiene 2, esos 3 podrán intercomunicarse a través de la VPN, y los otros 2 también entre sí, pero nunca los del primer CLIENTE con los del segundo.


                                                        Soportada Obligatoria Legal

                                                            Borrado accidental de datos


                                                            Diversas circunstancias pueden causar que un dato se pierda:

                                                            - Un usuario lo borra accidentalmente.
                                                            - Un fallo en el sistema produce pérdida de datos.
                                                            - Un fallo o un ataque DDoS deja el sistema sin acceso o inutilizado.


                                                            Medidas de seguridad

                                                            Copias de respaldo automatizadas

                                                            Diariamente TECNATIVA realizará una copia de seguridad automatizada.
                                                            El CLIENTE siempre puede solicitar su copia. En ningún caso aceptaremos un proyecto sin copias de seguridad.
                                                            TECNATIVA decidirá el programa utilizado para la automatización y almacenamiento de las copias de seguridad.


                                                            Soportada Obligatoria Técnica

                                                            Copias de respaldo remotas en las dependencias de TECNATIVA

                                                            Para que las copias de seguridad sean realmente seguras, es necesario que se almacenen de forma remota. De otro modo, un fallo que dejase el sistema inutilizado o inaccesible, muy probablemente causaría el mismo efecto en las copias de seguridad, con lo que ya no podrían restaurarse en otro sistema.
                                                            TECNATIVA ofrece un servicio de almacenamiento remoto, incluido en el paquete de hosting, con garantías de recuperación inmediata para copias de hasta hace 7 días, y de hasta hace 90 días de forma lenta (esperando normalmente 1-2 días para poder restaurarlas).
                                                            Si la ubicación en la que se almacenan queda inaccesible y no se pueden recuperar los archivos, quedará bajo la responsabilidad del CLIENTE.
                                                            Si el CLIENTE desea realizar su propio proceso de copias de seguridad, queda bajo su responsabilidad y no tendrá soporte por parte de TECNATIVA.


                                                            Soportada Recomendada Técnic

                                                            Protección contra ataques DDoS

                                                            El paquete de hosting ofrecido por TECNATIVA incluye de serie protección contra ataques  de denegación de servicio, en los que una red masiva de computadoras lanza peticiones aparentemente legítimas para sobrecargar la red y los servidores, dejando el servicio inaccesible.
                                                            En caso de que el CLIENTE quiera alojar los servicios en sus dependencias, TECNATIVA no podrá ofrecer garantías de protección al respecto.


                                                            Soporte Recomendada Técnica

                                                            Copias de respaldo remotas en las dependencias del CLIENTE

                                                            Si el CLIENTE desea que las copias de seguridad se almacenen en sus dependencias, deberá proporcionar un acceso remoto mediante cualquiera de los protocolos soportados por el software utilizado por TECNATIVA.
                                                            Si la ubicación en la que se almacenan queda inaccesible y no se pueden recuperar los archivos, quedará bajo la responsabilidad del CLIENTE.
                                                            Opcionalmente, el CLIENTE puede escoger almacenar copias de seguridad tanto en sus dependencias como en las de TECNATIVA.


                                                            Soportada Opcional Técnica

                                                            Copias de respaldo usando un software o proceso diferente al proporcionado por TECNATIVA

                                                            Si el CLIENTE desea realizar su propio proceso de copias de seguridad, utilizando su propio software, queda bajo su entera responsabilidad.


                                                            No Soportada
                                                            Técnica