Seguridad

Tu seguridad es importante para nosotros! A continuación, te presentamos un resumen de lo que hacemos para garantizar que tu información se encuentre a salvo, y las mejores prácticas de seguridad que aplicamos en nuestra plataforma.

Última actualización: 05 de octubre del 2021

  • • Guardamos 3 copias de seguridad completas de cada instancia durante 03 días.
  • • Las copias de seguridad se replican en al menos 01 centro de datos diferente.
  • • Las ubicaciones reales de nuestros centros de datos se especifican en nuestra Política de privacidad.
  • • Puedes consultar con nuestro Centro de Soporte para restaurar cualquiera de estas copias de seguridad en tu base de datos activa. (únicamente datos de la aplicación, no configuración).
  • • Conmutación del Hardware: dado qué fallas en el hardware es posible, implementamos una réplica del sistema en un proceso manual de conmutación que tarda menos de 30 minutos.
  • • Protección contra eliminación.
  • • Recuperación de desastres: en caso de desastre completo, con un centro de datos completamente inactivo durante un largo periodo de tiempo, previniendo conmutación a nuestro sistema de espera activa (por el momento nunca ha pasado, pero este es el plan para el peor de los casos), tenemos los siguientes objetivos:
    • ○ Punto de Recuperación (RPO): 24 horas. Esto significa que puedes perder un máximo de 24h de trabajo, los datos no se pueden recuperar y necesitamos restaurar la última copia de seguridad.
    • ○ Tiempo de Recuperación (RTO): Estimamos qué en un máximo de 08 horas logramos restaurar el servicio en un centro de datos diferente, si ocurre un desastre y el centro de datos está completamente inactivo. Para lograr esto monitoreamos activamente nuestras copias de seguridad diarias y ejecutamos nuestros procesos automatizados de despliegue en una nueva ubicación.
Seguridad de las Bases de Datos
  • • Los datos de los clientes se almacenan en un esquema de base de datos dedicada, no se comparten los datos entre clientes.
Seguridad de Contraseñas
  • • Las contraseñas de usuario están protegidas con el estándar de la industria AES/GCM.
  • • Los colaboradores de Seratic, no tienen acceso a tu contraseña, y no la pueden recuperar por ti. La única opción si la pierdes es resetearla.
  • • Las credenciales de inicio de sesión siempre se transmiten de manera segura a través de HTTPS.
  • • Las políticas de contraseñas de Applikalo tienen valores por defectos dependiendo del rol dentro de la empresa, y son configurables dependiendo de la suscripción elegida. Éstas son las opciones qué se tienen:
    • ○ Intentos de ingreso,
    • ○ Fuerza y longitud de la contraseña
    • ○ Cambio inicial de la contraseña
    • ○ Vencimiento de contraseña.
    • ○ Histórico de contraseñas.
Acceso a Colaboradores
  • • Los colaboradores del equipo de soporte de Seratic (Applikalo) pueden entrar a tu cuenta para acceder a la configuración relacionada con tu ticket de soporte. Para hacer esto usan una cuenta de soporte, no tu contraseña (ya que no tienen forma de saber).
  • • Para acelerar la réplica de los incidentes los colaboradores de Seratic podrían crear nuevos usuarios con el perfil identificado en el incidente, sin afectar tu suscripción.
  • • Nuestro equipo de soporte trabaja para respetar tu privacidad en todo momento, y solo accede a archivos y configuraciones que necesitan para diagnosticar y resolver tu problema.
Seguridad del Sistema
  • • Todos los servidores de Applikalo corren en distribuciones de Linux con los últimos parches de seguridad.
  • • Únicamente se instalan el software requerido a medida, para evitar vulnerabilidades en paquetes preconfigurados.
  • • Solo ingenieros certificados tienen acceso remoto a los servidores. El acceso es mediante una llave cifrada a través de una VPN.
Seguridad Física

Los servidores de Applikalo están alojados en centros de datos de confianza, de nuestro socio estratégico AWS y todos deben seguir nuestro criterio de seguridad física (https://aws.amazon.com/es/security/)

Comunicaciones
  • • Las conexiones web a instancias de clientes están protegidas con encriptación de vanguardia 256-bit SSL.
  • • Las comunicaciones de datos internas entre nuestros servidores están protegidas con cifrado de última generación (SSH).
Defensa de la red
  • • Todos los proveedores de centros de datos utilizados por Applikalo tienen capacidades de red muy grandes y han diseñado su infraestructura para resistir los mayores ataques de denegación de servicio distribuido (DDoS). Sus sistemas de mitigación automáticos y manuales pueden detectar y desviar el tráfico de ataque en el borde de sus redes multi continentales, antes de que tenga la oportunidad de interrumpir la disponibilidad del servicio.
  • • Los cortafuegos y los sistemas de prevención de intrusiones en los servidores de Applikalo ayudan a detectar y bloquear amenazas como los ataques de contraseña por fuerza bruta.
Seguridad por Diseño

Applikalo está diseñado de manera que previene la invasión de las más comunes vulnerabilidades de seguridad:

  • • Las inyecciones SQL se previenen por el uso de una API de más alto nivel que no requiere queries manuales.
  • • Los ataques XSS se previenen por el uso de un sistema de alto nivel que automáticamente ignora los datos inyectados.
  • • Nuestro framework de desarrollo previene el acceso RPC a métodos privados, haciendo más difícil de explotar las vulnerabilidades.
Auditorías de Seguridad Independientes

Applikalo es auditado por empresas privadas que son contratadas por nosotros,  nuestros clientes y prospectos para realizar auditorías y exámenes de penetración. El equipo de Seguridad de Applikalo recibe los resultados y toma medidas apropiadas de corrección cuando sea necesario.

No podemos revelar ninguno de esos resultados, porque son confidenciales.

Mayores Vulnerabilidades OWASP

Applikalo trabaja continuamente para identificar y solucionar problemas de alta seguridad de sus aplicaciones web como se listan en Proyecto de seguridad de aplicaciones web abiertas (OWASP):

  • • Defectos de inyección.
  • • Secuencias de comandos entre sitios (XSS).
  • • Falsificación de solicitudes entre sitios (CSRF).
  • • Ejecución de archivos maliciosos.
  • • Referencia de objeto directo inseguro.
  • • Almacenamiento criptográfico inseguro.
  • • Comunicaciones inseguras.
  • • Fallas en el acceso de URL restringidas.
Close Bitnami banner
Bitnami