Seguridad de Datos

Seguridad sobre el diseño de la plataforma

Cada cambio y nueva característica de la plataforma de datos, está gobernado por una política de gestión de cambios para asegurar que todos los cambios en la aplicación estén autorizados antes de ser implementados en producción. Nuestro Ciclo de Vida de Desarrollo de Software (SDLC, por sus siglas en inglés) exige el cumplimiento de pautas de codificación segura, así como la revisión de los cambios de código en busca de posibles problemas de seguridad mediante herramientas de análisis de código, escáneres de vulnerabilidades y procesos de revisión manual.

Nuestro sólido marco de seguridad, basado en los estándares de OWASP e implementado en la capa de aplicación, proporciona funcionalidades para mitigar amenazas como inyección SQL, scripting entre sitios y ataques de denegación de servicio a nivel de aplicación

Open Web Application Security Project (OWASP) es una organización sin fines de lucro que se dedica a mejorar la seguridad de las aplicaciones web. OWASP proporciona una serie de estándares y guías de seguridad que se utilizan para identificar y mitigar las vulnerabilidades comunes en las aplicaciones web, como la inyección SQL, el cross-site scripting y la falsificación de solicitudes entre sitios. Estos estándares y guías se utilizan para desarrollar aplicaciones más seguras y protegerlas contra posibles ataques.

Aislamiento de datos

Nuestro marco de trabajo distribuye y mantiene el espacio en la nube para nuestros clientes. Los datos del servicio de cada cliente están separados lógicamente de los datos de otros clientes mediante un conjunto de protocolos seguros en el marco de trabajo. Esto garantiza que los datos del servicio de un cliente no sean accesibles para otro cliente.
Los datos del servicio se almacenan en nuestros servidores cuando utilizas nuestros servicios. Tus datos te pertenecen a ti, y no a la empresa Atec Ingeniería. No compartimos estos datos con ningún tercero sin tu consentimiento.

Cifrado o encriptación

En tránsito: Todos los datos de los clientes transmitidos a nuestros servidores a través de redes públicas están protegidos mediante protocolos de cifrados sólidos. Exigimos que todas las conexiones a nuestros servidores utilicen el cifrado de Seguridad de la Capa de Transporte (TLS 1.2/1.3) con cifrados sólidos, para todas las conexiones, incluido el acceso web, el acceso a la API, nuestras aplicaciones móviles y el acceso a clientes de correo electrónico IMAP/POP/SMTP.
Esto garantiza una conexión segura al permitir la autenticación de ambas partes involucradas en la conexión y al cifrar los datos que se van a transferir.

Además, para el correo electrónico, nuestros servicios aprovechan el TLS oportunista de forma predeterminada. TLS cifra y entrega el correo electrónicamente de manera segura, mitigando el espionaje entre servidores de correo cuando los servicios pares admiten este protocolo.

Tenemos soporte completo para el Perfect Forward Secrecy (PFS) con nuestras conexiones encriptadas, lo cual asegura que incluso si de alguna manera fuéramos comprometidos en el futuro, ninguna comunicación anterior podría ser descifrada. Hemos habilitado la cabecera de Seguridad de Transporte Estricta de HTTP (HSTS) en todas nuestras conexiones web. Esto indica a todos los navegadores modernos que solo se conecten a nosotros a través de una conexión encriptada, incluso si escribes una URL a una página insegura en nuestro sitio. Además, en la web marcamos todas nuestras cookies de autenticación como seguras.

Perfect Forward Secrecy (PFS), también conocido como Secreto Perfecto (hacia) Adelante, es un concepto de seguridad utilizado en criptografía para proteger las comunicaciones en línea. PFS garantiza que la privacidad de las comunicaciones anteriores no se vea comprometida si las claves de cifrado se ven comprometidas en el futuro.

En lugar de utilizar una clave de cifrada estática para todas las comunicaciones, PFS utiliza un mecanismo que genera una clave de sesión única para cada sesión de comunicación. Esto significa que, si un atacante logra obtener acceso a una clave de cifrado específica, solo podrá descifrar los mensajes enviados durante esa sesión en particular. No podrá descifrar las comunicaciones anteriores o futuras, ya que se utilizan claves diferentes para cada sesión.

En reposo: Los datos sensibles de los clientes en reposo se encriptan utilizando Advanced Encryption Standard (AES) de 256 bits. Los datos que se encriptan en reposo varían según los servicios que elija. Poseemos y mantenemos las claves utilizando nuestro servicio interno de administración de claves (KMS). Brindamos capas adicionales de seguridad al encriptar las claves de encriptación de datos utilizando claves maestras. Las claves maestras y las claves de encriptación de datos están físicamente separadas y almacenadas en servidores diferentes con acceso limitado.

El Advanced Encryption Standard (AES) es un algoritmo de cifrado ampliamente utilizado que se utiliza para proteger la confidencialidad de la información. Utiliza una clave para transformar los datos en un formato ilegible, lo que dificulta su lectura sin la clave correcta. AES es considerado uno de los estándares de cifrado más seguros y eficientes disponibles en la actualidad

Retención y eliminación de datos

Mantenemos los datos en su cuenta mientras decida utilizar los servicios de Atec Ingeniería. Una vez que termine su cuenta de usuario de Atec, sus datos se eliminarán de la base de datos activa durante la próxima limpieza que ocurre cada 6 meses. Los datos eliminados de las bases de datos activas se eliminarán de las copias de seguridad después de 3 meses. En caso de que su cuenta impaga esté inactiva durante un período continuo de 120 días, nos reservamos el derecho de cancelarla después de darle aviso previo y opción para hacer una copia de cseguridad de sus datos.

Un proveedor verificado y autorizado realiza la eliminación de dispositivos inutilizables. Hasta ese momento, los categorizamos y almacenamos en un lugar seguro. Cualquier información contenida dentro de los dispositivos se formatea antes de la eliminación. Desmagnetizamos los discos duros fallidos y luego los destruimos físicamente utilizando una trituradora. Borramos criptográficamente y trituramos los dispositivos de estado sólido (SSD) fallados.

Cifrado de disco completo

Empleamos unidades de cifrado automático (SED) para admitir el cifrado de disco completo basado en hardware. Un SED es una unidad de disco duro (HDD) o una unidad de estado sólido (SSD) que tiene un circuito de cifrado incorporado.
El cifrado automático simplemente significa que todos los datos escritos en el medio de almacenamiento son cifrados por la unidad de disco antes de ser escritos y se descifran por la unidad de disco cuando se leen.

Los datos escritos en la unidad se cifran/descifran utilizando una clave de cifrado de datos (DEK), que se almacena en el disco. La DEK predeterminada proporcionada por el fabricante se regenera por nosotros en el momento de la configuración para mantener nuestros estándares de seguridad.

Para mejorar aún más la seguridad de las SED, utilizamos claves de autenticación. Una clave de autenticación (AK) se utiliza para cifrar la DEK y para bloquear/desbloquear la unidad. Las AK se gestionan mediante un sistema de gestión de claves local (LKMS).
La AK se transfiere a los servidores de forma segura cuando se habilita el cifrado en el servidor. En caso de robo o acceso físico no autorizado al disco, la DEK no se puede descifrar sin la AK y, por lo tanto, los datos en el disco no se pueden acceder
ni leer. De esta manera, la AK agrega una capa adicional de protección.

Actualmente, el cifrado completo de disco basado en hardware se aplica de forma predeterminada para todos los servicios de Atec Ingeniería, en los centros de datos

¿Cómo funciona todo el conjunto?

1. Datos encriptados
2. DEKs
3. DEK encriptadas
4. KEKs
5. KEKs encriptadas
6. Llave maestra