Seguridad Odoo y Tecnativa
Compromiso y tranquilidad con nuestros clientes
Lo más importante, tu seguridad
A continuación encuentra un resúmen de lo que hacemos cada día para garantizar que tu información esté a salvo con Odoo y que aplicamos las mejores prácticas de seguridad en nuestra versión alojada en la nube, Odoo Online.
A continuación se especifican los posibles riesgos a los que se ven expuestos los datos personales de los que TECNATIVA actúa en papel de encargado del tratamiento, y las medidas de seguridad adoptadas para paliarlos.
Ataque de fuerza bruta por SSH
Un atacante podría efectuar un ataque de fuerza bruta para intentar obtener acceso al servidor en el que se encuentran los datos personales que pertenezcan al CLIENTE.
En caso de conseguirlo, podría tener acceso a los datos personales contenidos y usarlos sin consentimiento.
Medidas de seguridad
FORZAR ACCESO MEDIANTE CLAVE PRIVADA
Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.
Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.
Soportada | Obligatoria | Técnica |
FORZAR ACCESO MEDIANTE CLAVE PRIVADA
Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.
Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.
Soportada | Obligatoria | Técnica |
FORZAR ACCESO MEDIANTE CLAVE PRIVADA
Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.
Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.
Soportada | Obligatoria | Técnica |
FORZAR ACCESO MEDIANTE CLAVE PRIVADA
Las conexiones SSH pueden autenticarse mediante contraseña. Este es el más débil de los sistemas de autenticación.
Al deshabilitar el acceso por contraseña y obligar a acceder por clave privada, básicamente el atacante moriría antes de obtener acceso.
ESTADO: Soportada | NIVEL: Obligatoria | Técnica |
0-day en cualquier componente del sistema
Para tener un servicio ejecutándose y sirviendo al CLIENTE, es necesario tener una serie de componentes de software que se comunican con el sistema operativo, el cual a su vez tiene más componentes que se comunican con el hardware.
Si se descubre una vulnerabilidad de seguridad en cualquiera de estos componentes, estas son denominadas 0-day (significa que cualquier atacante que la hubiera descubierto antes del día cero habría podido explotarla a su antojo).
Por su propia naturaleza, estas vulnerabilidades son impredecibles, y su alcance también. Como norma general, las 0-day de los que más nos debemos preocupar son aquellas que afecten a servicios públicamente expuestos. Sin embargo, hay medidas que se pueden tomar para paliarlas.
Medidas de seguridad
Aislamiento de los servicios expuestos
De este modo, la superficie de ataque de un posible 0-day se ve reducida.
Soportada | Obligatoria | Técnica |
Actualizaciones de seguridad automáticas constantes
El periodo más peligroso de una 0-day es desde el momento en que se hace pública hasta el momento en que has aplicado el parche, ya que en ese periodo, atacantes de todo el mundo pueden explotarla con mucha más facilidad. La medida de protección más eficaz es, por tanto, usar sistemas que reciben automáticamente las últimas actualizaciones de seguridad y las aplican.
Soportada | Obligatoria | Técnica |
Robo de datos por parte del personal autorizado
Toda persona que tenga acceso a un dato personal puede extraerlo y utilizarlo de manera delictiva. Por otro lado, es necesario tener acceso a las bases de datos para poder mantenerlas y corregir posibles incidencias.
También existe la posibilidad de que cierto personal haya sido autorizado antes, y ahora ya no lo sea, pero continúe accediendo a los datos personales a los que antes accedía.
Medidas de seguridad
Contrato de confidencialidad
Todos los administradores de sistemas que, por la naturaleza intrínseca a su trabajo, necesitan poder acceder a datos personales contenidos en las bases de datos de los CLIENTES, han firmado un acuerdo de confidencialidad legalmente vinculante que los responsabiliza en caso de utilizar dichos datos para cualquier fin no autorizado.
Soportada | Obligatoria | Legal |
Revocación de credenciales de acceso
Soportada | Obligatoria | Técnica |
Acceso entre servidores de diferentes subredes
En los casos en que el CLIENTE proporciona su propio servidor, existiría el riesgo de que obtuviera acceso a otros servidores en los que se encuentran alojados otros CLIENTES, a través de la VPN.
Medidas de seguridad
Restricción de subredes por firewall
Soportada | Obligatoria | Legal |
Borrado accidental de datos
Diversas circunstancias pueden causar que un dato se pierda:
- Un usuario lo borra accidentalmente.
- Un fallo en el sistema produce pérdida de datos.
- Un fallo o un ataque DDoS deja el sistema sin acceso o inutilizado.
Medidas de seguridad
Copias de respaldo automatizadas
El CLIENTE siempre puede solicitar su copia. En ningún caso aceptaremos un proyecto sin copias de seguridad.
TECNATIVA decidirá el programa utilizado para la automatización y almacenamiento de las copias de seguridad.
Soportada | Obligatoria | Técnica |
Copias de respaldo remotas en las dependencias de TECNATIVA
TECNATIVA ofrece un servicio de almacenamiento remoto, incluido en el paquete de hosting, con garantías de recuperación inmediata para copias de hasta hace 7 días, y de hasta hace 90 días de forma lenta (esperando normalmente 1-2 días para poder restaurarlas).
Si la ubicación en la que se almacenan queda inaccesible y no se pueden recuperar los archivos, quedará bajo la responsabilidad del CLIENTE.
Si el CLIENTE desea realizar su propio proceso de copias de seguridad, queda bajo su responsabilidad y no tendrá soporte por parte de TECNATIVA.
Soportada | Recomendada | Técnic |
Protección contra ataques DDoS
En caso de que el CLIENTE quiera alojar los servicios en sus dependencias, TECNATIVA no podrá ofrecer garantías de protección al respecto.
Soporte | Recomendada | Técnica |
Copias de respaldo remotas en las dependencias del CLIENTE
Si la ubicación en la que se almacenan queda inaccesible y no se pueden recuperar los archivos, quedará bajo la responsabilidad del CLIENTE.
Opcionalmente, el CLIENTE puede escoger almacenar copias de seguridad tanto en sus dependencias como en las de TECNATIVA.
Soportada | Opcional | Técnica |
Copias de respaldo usando un software o proceso diferente al proporcionado por TECNATIVA
No Soportada | Técnica |