• • Guardamos 3 copias de seguridad completas de cada instancia durante 03 días.
• • Las copias de seguridad se replican en al menos 01 centro de datos diferente.
• • Las ubicaciones reales de nuestros centros de datos se especifican en nuestra Política de privacidad.
• • Puedes consultar con nuestro Centro de Soporte para restaurar cualquiera de estas copias de seguridad en tu base de datos activa. (únicamente datos de la aplicación, no configuración).
• • Conmutación del Hardware: dado qué fallas en el hardware es posible, implementamos una réplica del sistema en un proceso manual de conmutación que tarda menos de 30 minutos.
• • Protección contra eliminación.
• • Recuperación de desastres: en caso de desastre completo, con un centro de datos completamente inactivo durante un largo periodo de tiempo, previniendo conmutación a nuestro sistema de espera activa (por el momento nunca ha pasado, pero este es el plan para el peor de los casos), tenemos los siguientes objetivos:
  • ○ Punto de Recuperación (RPO): 24 horas. Esto significa que puedes perder un máximo de 24h de trabajo, los datos no se pueden recuperar y necesitamos restaurar la última copia de seguridad.
  • ○ Tiempo de Recuperación (RTO): Estimamos qué en un máximo de 08 horas logramos restaurar el servicio en un centro de datos diferente, si ocurre un desastre y el centro de datos está completamente inactivo. Para lograr esto monitoreamos activamente nuestras copias de seguridad diarias y ejecutamos nuestros procesos automatizados de despliegue en una nueva ubicación.

Seguridad de las Bases de Datos

• • Los datos de los clientes se almacenan en un esquema de base de datos dedicada, no se comparten los datos entre clientes.

Seguridad de Contraseñas

• • Las contraseñas de usuario están protegidas con el estándar de la industria AES/GCM.
• • Los colaboradores de Seratic, no tienen acceso a tu contraseña, y no la pueden recuperar por ti. La única opción si la pierdes es resetearla.
• • Las credenciales de inicio de sesión siempre se transmiten de manera segura a través de HTTPS.
• • Las políticas de contraseñas de Applikalo tienen valores por defectos dependiendo del rol dentro de la empresa, y son configurables dependiendo de la suscripción elegida. Éstas son las opciones qué se tienen:
  • ○ Intentos de ingreso,
  • ○ Fuerza y longitud de la contraseña
  • ○ Cambio inicial de la contraseña
  • ○ Vencimiento de contraseña.
  • ○ Histórico de contraseñas.

Acceso a Colaboradores

• • Los colaboradores del equipo de soporte de Seratic (Applikalo) pueden entrar a tu cuenta para acceder a la configuración relacionada con tu ticket de soporte. Para hacer esto usan una cuenta de soporte, no tu contraseña (ya que no tienen forma de saber).
• • Para acelerar la réplica de los incidentes los colaboradores de Seratic podrían crear nuevos usuarios con el perfil identificado en el incidente, sin afectar tu suscripción.
• • Nuestro equipo de soporte trabaja para respetar tu privacidad en todo momento, y solo accede a archivos y configuraciones que necesitan para diagnosticar y resolver tu problema.

Seguridad del Sistema

• • Todos los servidores de Applikalo corren en distribuciones de Linux con los últimos parches de seguridad.
• • Únicamente se instalan el software requerido a medida, para evitar vulnerabilidades en paquetes preconfigurados.
• • Solo ingenieros certificados tienen acceso remoto a los servidores. El acceso es mediante una llave cifrada a través de una VPN.

Seguridad Física

Los servidores de Applikalo están alojados en centros de datos de confianza, de nuestro socio estratégico AWS y todos deben seguir nuestro criterio de seguridad física (https://aws.amazon.com/es/security/)

Comunicaciones

• • Las conexiones web a instancias de clientes están protegidas con encriptación de vanguardia 256-bit SSL.
• • Las comunicaciones de datos internas entre nuestros servidores están protegidas con cifrado de última generación (SSH).

Defensa de la red

• • Todos los proveedores de centros de datos utilizados por Applikalo tienen capacidades de red muy grandes y han diseñado su infraestructura para resistir los mayores ataques de denegación de servicio distribuido (DDoS). Sus sistemas de mitigación automáticos y manuales pueden detectar y desviar el tráfico de ataque en el borde de sus redes multi continentales, antes de que tenga la oportunidad de interrumpir la disponibilidad del servicio.
• • Los cortafuegos y los sistemas de prevención de intrusiones en los servidores de Applikalo ayudan a detectar y bloquear amenazas como los ataques de contraseña por fuerza bruta.

Seguridad por Diseño

Applikalo está diseñado de manera que previene la invasión de las más comunes vulnerabilidades de seguridad:

• • Las inyecciones SQL se previenen por el uso de una API de más alto nivel que no requiere queries manuales.
• • Los ataques XSS se previenen por el uso de un sistema de alto nivel que automáticamente ignora los datos inyectados.
• • Nuestro framework de desarrollo previene el acceso RPC a métodos privados, haciendo más difícil de explotar las vulnerabilidades.

Auditorías de Seguridad Independientes

Applikalo es auditado por empresas privadas que son contratadas por nosotros,  nuestros clientes y prospectos para realizar auditorías y exámenes de penetración. El equipo de Seguridad de Applikalo recibe los resultados y toma medidas apropiadas de corrección cuando sea necesario.

No podemos revelar ninguno de esos resultados, porque son confidenciales.

Mayores Vulnerabilidades OWASP

Applikalo trabaja continuamente para identificar y solucionar problemas de alta seguridad de sus aplicaciones web como se listan en Proyecto de seguridad de aplicaciones web abiertas (OWASP):

• • Defectos de inyección.
• • Secuencias de comandos entre sitios (XSS).
• • Falsificación de solicitudes entre sitios (CSRF).
• • Ejecución de archivos maliciosos.
• • Referencia de objeto directo inseguro.
• • Almacenamiento criptográfico inseguro.
• • Comunicaciones inseguras.
• • Fallas en el acceso de URL restringidas.