Legal 

 

Política de seguridad en la nube

MERO - Sistema de Información de Sostenibilidad - Última modificación: 12 de abril de 2021

 

1. Introducción

A continuación, se describen los criterios de seguridad usados para el desarrollo, despliegue y operación de MERO - SISTEMA DE INFORMACIÓN DE SOSTENIBILIDAD. Criterios que se consideran suficientes para un sistema que no almacena datos de tarjetas de crédito o similares. 

2. Resumen de la arquitectura de la solución

unque el Sistema fue construido con tecnologías y prácticas actualizadas, por la naturaleza de la aplicación, se realizó bajo una arquitectura monolítica, orientada a ser desplegada en máquinas virtuales.   

MERO fue diseñado con una arquitectura multi instancia, la cual le brinda a cada cliente su propia base de datos, lo que significa que es imposible que sus datos se mezclen con los de otro. Al implementar instancias por cada cliente también permite que puedan tener un crecimiento vertical bastante amplio según lo que ofrecen los proveedores de nube actuales. Otras ventajas son: 

  • Los clientes no se ven afectados de lo que sucede en otras instancias de MERO 
  • La información de los clientes está mucho más segura, completamente separada de otros 
  • Las funciones avanzadas como integración con otros sistemas, pueden soportarse sin problema 
3. Servidores
  • El sistema se ejecuta en dos servidores AWS EC2,uno de aplicación y otro de base de datos; con Windows server 2019 y actualizaciones al día. 
  • Las aplicaciones (FrontEnd y Backend) corren sobre IIS. 
  • Backend contruido en  .Net Core V3.1 
  • FronEnd en Angular 8.X, en proceso de actualización a 10.X 
  • Base de datos en SQL Server 2016 Express con el SP y Cumulative update más reciente.
Para la base de datos se elige SQL server, ya que en años recientes se ha puesto a la par de los grandes de la industria, como son Oracle y DB2, con un excelente desempeño, seguridad superior, características avanzadas, lo suficientemente robusta para realizar las operaciones proyectadas con Mero y gran capacidad de escalabilidad, además de ser natural en el stack de tecnologías con Microsoft .Net Core. 
  • El servidor web tiene expuestos a Internet los puertos 80 (redirecciona a 443), 443 y 3389 (con restricción de IP). 
  • El servidor de DB no tiene puertos expuesto a internet. 

Se siguen las buenas prácticas recomendadas por AWS para segmentación de redes y enrutamiento.  
continuación, la representación gráfica: 

  •  

Servidores

 

4. Ambientes

Tenemos los siguientes ambientes:

  • Ambiente de desarrollo para las pruebas de integración y unitarios (en los cuales no se utilizan datos de producción de los clientes) 
  • Ambiente de pruebas, para realizar el proceso de testing (en los cuales no se utilizan datos de producción de los clientes 
  • Ambiente de producción, que es donde acceden los usuarios finales

 

5. Autenticación y autorización
  • La autenticación se realiza con OAUTH 2.0 + OpenID Connect. 
  • Puede soportar un proveedor de autenticación de propiedad del cliente y/o un proveedor implementado directamente en MERO. 
  • La autorización se realiza con base en perfiles y su mapeo a recursos a los que deba tener acceso. 
  • A excepción del login y la opción de Restablecer contraseña, los métodos de la API requieren autenticación.  
  • En elogin y la opción de reestablecer contraseña (en caso de usuarios registrados en el Provider de Mero), se gestionan los intentos fallidos de autenticación para prevenir ataques que intenten adivinar credenciales de acceso.  
6. Transporte
  • El FronEnd y el Backend están configurados para acceder por canal seguro TLS por defecto. 
  • El FronEnd y el Backend tiene la funcionalidad de redireccionar a puerto 443 en caso de ser accedidos por puerto 80. 
7. Auditoría y log de errores

Los errores que se producen en el sistema son almacenados en la respectiva tabla de Log. 

Se lleva traza de los cambios que realizan los usuarios en los datos, en la respectiva tabla de Auditoría. Para los formularios existe una tabla especial para almacenar los cambios realizados en los diferentes estados del flujo, dado que es el core del sistema y es importante la traza. 

8. Integración con sistemas del cliente

En algunos casos para dar respuesta a cierto número de preguntas, el cliente puede tener actualmente la información en algún sistema, por lo cual Mero ofrece la posibilidad de cargar automáticamente datos, para esto provee: 

  • Se provee una API REST, con autenticación Basic.  
  • Se cargan las respuestas a nivel de pregunta, no de formulario.  

Ver el detalle en el documento 6. Arquitectura integración V1 

9. Varios

Los valores límite del servidor de aplicaciones se mantienen dentro de límites seguros, como el tamaño máximo del request en 30MB, por ejemploy otros atributos que previenen ataques de denegación de servicio. 

 

Los datos en transporte se aseguran con el uso de certificado TLS.  

De los datos en reposo se encriptan los backups con encripción fuerte AES; la base de datos no se encripta, pero si se encriptan algunos datos sensibles como la contraseña de los usuarios (en caso de usuarios registrados en el Provider de Mero) y alguna otra información que lo amerite. En los archivos de configuración se encriptan las cadenas de conexión y otros datos que puedan ser sensibles. 

10. Política de Backups

Se tiene una solución basada en un servidor FTPS (FTP over SSL/TLS) que está en una cuenta diferente de Amazon, y en una región diferente a la de las instancias que respalda 

 

  • Si la instancia de Mero se encuentra en la región Ohio (us-east-2), el servidor FTP de backups estará en Virginia del norte (us-east1) y viceversa. 
  • Esto dará protección contra eventos que comprometan la seguridad de la cuenta de la nube, eventos de hardware/software, eventos de región, entre otros. 

Los backups se almacenan comprimidos en formato 7z (más eficiente que zip en almacenamiento y uso de CPU) y con encripción AES (192 bits) (con contraseña que cumpla criterios de complejidad).  

Estas contraseñas se gestionan según el proceso de ConTreebute para esto. 

11. Backups de base de datos

Son de copia completa, pues no aplica la opción incremental. 

Se realizan diariamente, en la noche o en la madrugada, según la programación que le corresponda a la instancia, entre 10pm y 4AM. 

12. Backups de archivos de aplicación y ejecutables de aplicación

Se realizan diariamente, son incrementales, creando una copia completa cada fin de semana. 

Se realizaen la noche o en la madrugada, según la programación que le corresponda a la instancia, entre 10pm y 4AM. 

Se realizausando instantáneas de volumen, para prevenir posibles errores al intentar respaldar archivos que están siendo usados. 

13. Retenciones

Base de datos 

Se mantiene una copia diaria de los últimos 60 días, y a partir de ahí, semanal, de los últimos 6 meses. 

Archivos de aplicación y ejecutables de aplicación 

Se mantiene una copia diaria de los últimos 30 días (incremental, según se definió anteriormente), y a partir de ahí, mensual, de los últimos 6 meses. 

 

14. Amazon web services – Seguridad

Previamente se explicó la responsabilidad de Contreebute en temas de seguiridad y manejo y datos, a continuación, se describe la responsabilidad del AWS. 

 

Programas de conformidad de AWS 

 

El programa de conformidad de AWS ayuda a nuestros clientes a comprender los controles estrictos que tenemos instaurados en AWS para mantener la seguridad y la conformidad en la nube. Mediante la combinación de características de servicio centradas en el control y la auditoría con los estándares aplicables de conformidad o auditoría, los habilitadores de conformidad de AWS crean programas tradicionales que ayudan a los clientes a establecerse y trabajar en un entorno de control de seguridad de AWS. 

 

Los estándares de TI con los que cumplimos están desglosados por Certificaciones y Atestaciones; Leyes, regulaciones y privacidad; y alineaciones y marcos. Un auditor independiente externo evalúa las certificaciones y acreditaciones de conformidad, lo cual tiene como resultado una certificación, un informe de auditoría o una acreditación de conformidad. Los clientes de AWS tienen la responsabilidad de cumplir las leyes y regulaciones de conformidad y programas de privacidad correspondientes. Las homologaciones y los marcos reguladores de conformidad incluyen requisitos de seguridad y conformidad publicados para una finalidad específica, como un sector o una función determinados. 

 

Para más detalle ver: https://aws.amazon.com/es/compliance/programs/ 

 

Preguntas frecuentes sobre privacidad de datos 

 

En AWS, la confianza del cliente es nuestra prioridad. Prestamos servicios a millones de clientes activos, incluidas compañías, instituciones educativas y agencias gubernamentales de más de 190 países. Entre nuestros clientes se incluyen proveedores de servicios financieros, de servicios sanitarios y agencias gubernamentales, que confían en nosotros parte de su información más confidencial. 

 

Sabemos que los clientes se preocupan seriamente por la confidencialidad y la seguridad de los datos. Por ello, AWS le permite controlar su contenido mediante herramientas sencillas y potentes con las que puede determinar dónde se almacenará su contenido, proteger el contenido en tránsito y en reposo, y administrar el acceso a los servicios y recursos de AWS para sus usuarios. También implementamos controles técnicos y físicos responsables y sofisticados diseñados para evitar el acceso no autorizado al contenido del cliente o su revelación. 

 

AWS controla continuamente el panorama reglamentario y legislativo en constante evolución para identificar los cambios y determinar las herramientas que nuestros clientes pueden necesitar para cumplir con las necesidades de conformidad según sus aplicaciones. Se recomienda que los clientes y socios de APN que tengan dudas relativas a las reglamentaciones en cuanto a la protección de los datos o a AWS y el RGPD contacten con el gestor de cuentas de AWS en primer lugar. Si los clientes se han inscrito en el soporte empresarial, también pueden contactar con el gestor técnico de cuentas (TAM). Los TAM trabajan con arquitectos de soluciones para ayudar a los clientes a identificar posibles riesgos y mitigaciones. Los TAM y los equipos de cuentas también pueden indicar a los clientes y socios de APN recursos específicos en función de su entorno y necesidades. AWS no está en posición de ofrecer consejo legal y recomendamos que los clientes consulten a su asesor legal si tienen preguntas relacionadas con este ámbito. 

 

Tenemos el compromiso permanente de conservar la confianza de los clientes. Nos esforzamos por informarle sobre las políticas, prácticas y tecnologías para la seguridad de los datos y la privacidad. Estos compromisos incluyen: 

 

Acceso: Como cliente, mantiene el control completo de su contenido y la responsabilidad de configurar el acceso a los servicios y recursos de AWS. Proporcionamos un conjunto avanzado de características de acceso, cifrado y registro que le ayudarán a llevar esto a cabo de forma eficaz (por ejemplo: AWS Identity and Access Management, AWS Organizations y AWS CloudTrail). Proporcionamos API para que configure los permisos de control de acceso para cualquier dispositivo que desarrolle o implemente en un entorno de AWS. No accedemos a su contenido ni lo usamos para ningún otro fin sin su consentimiento. En ningún momento utilizamos su contenido ni extraemos información para marketing o publicidad. 

 

Almacenamiento: puede elegir las regiones de AWS en las que se almacenará su contenido y el tipo de almacenamiento. Puede replicar y respaldar el contenido en más de una región de AWS. No transferiremos ni replicaremos su contenido fuera de las regiones de AWS elegidas sin su consentimiento salvo exigencia legal o la necesidad de mantener los servicios de AWS. 

 

Seguridad: puede elegir cómo proteger su contenido. Le ofrecemos un cifrado seguro del contenido en tránsito y en reposo, y le brindamos la opción de administrar sus propias claves de cifrado. Estas características incluyen: 

Funciones de cifrado de datos disponibles en los servicios de almacenamiento y base de datos de AWS, como Amazon Elastic Block Store, Amazon Simple Storage Service, Amazon Relational Database Service y Amazon Redshift. 

 

Opciones flexibles de administración de claves, como AWS Key Management Service (KMS), que permiten a los clientes elegir si AWS administra las claves de cifrado o si quiere mantener el control total sobre ellas. 

 

Los clientes de AWS pueden implementar el Cifrado del lado del servidor (SSE) con las claves gestionadas de Amazon S3 (SSE-S3), SSE con las claves gestionadas de AWS KMW (SSE-KMS) o SSE con claves de cifrado provistas por el cliente (SSE-C). 

 

Divulgación del contenido del cliente: Amazon no revela información de sus clientes a menos que se nos obligue a ello mediante una solicitud vinculante y con validez legal. A menos que nos prohíban hacerlo o haya una clara indicación de conducta ilegal relativa al uso de los productos o servicios de Amazon, avisaremos a los clientes antes de revelar información de su contenido. 

 

Garantía de seguridad: hemos desarrollado un programa de garantía de seguridad en el que se incorporan las mejores prácticas recomendadas de privacidad y protección de datos global, para ayudarlo a operar seguro dentro de AWS y utilizar de la mejor forma nuestro control de seguridad. Estos procesos de seguridad y control son validados por evaluaciones independientes de terceros. 

 

 

 

¿Cómo clasifica AWS los datos de los clientes?  

 

AWS clasifica los datos de los clientes en dos categorías: contenido del cliente e información de cuenta. Definimos el contenido del cliente como software (incluidas imágenes de máquina), datos, texto, sonido, vídeo o imágenes que un cliente o cualquier usuario final nos transfiere para su procesamiento, almacenamiento o hosting mediante los servicios de AWS en relación con la cuenta de ese cliente, y cualquier resultado informático que un cliente o usuario final extraiga de lo anterior mediante el uso de los servicios de AWS. Por ejemplo, el contenido del cliente incluye contenido que un cliente o cualquier usuario final almacena en Amazon Simple Storage Service (S3). El contenido del cliente no incluye información de cuenta, algo que se describe a continuación. Las condiciones del Contrato de cliente de AWS y las Condiciones de servicio de AWS se aplican al contenido del cliente. 

 

Definimos la información de cuenta como información sobre un cliente que este nos proporciona en relación con la creación o administración de una cuenta de cliente. Por ejemplo, la información de cuenta incluye nombres, nombres de usuario, números de teléfono, direcciones de correo electrónico e información de facturación asociados con una cuenta de cliente. Las prácticas de información descritas en el aviso sobre confidencialidad de AWS se aplican a la información de las cuentas. 

 

“¿Quién es el propietario del contenido del cliente? 

 

Como cliente, conserva la propiedad de su contenido y puede seleccionar qué servicios de AWS pueden procesar, almacenar y hospedar su contenido. No accedemos a su contenido ni lo usamos para ningún otro fin sin su consentimiento. En ningún momento utilizamos el contenido del cliente ni extraemos información para marketing o publicidad.” 

 

¿Qué función desempeño en la protección de mi contenido?”  

 

Al evaluar la seguridad de una solución en la nube, es importante comprender lo que es la seguridad de la nube y la seguridad en la nube, y saber diferenciar ambos conceptos. La seguridad de la nube abarca las medidas de seguridad que AWS implementa y utiliza. Nos responsabilizamos de la seguridad de la nube. La seguridad en la nube engloba las medidas de seguridad que el usuario implementa y utiliza en relación con los servicios de AWS empleados. El responsable de la seguridad en la nube es, por tanto, el usuario. 

Si desea consultar una lista completa de todas las medidas de seguridad integradas en la infraestructura, las plataformas y los servicios principales de la nube de AWS, consulte el documento técnico con información general acerca de los procesos de seguridad. 

 

Desempeño protección de contenido AWS

 

¿Dónde se almacena el contenido de los clientes? 

Los centros de datos de AWS se crean en clústeres de distintas regiones de AWS de todo el mundo. Como cliente, puede elegir las regiones de AWS en las que se almacenará su contenido, lo que le permite implementar los servicios de AWS en la ubicación que seleccione según los requisitos geográficos específicos. Por ejemplo, si un cliente de AWS en Australia quiere asegurarse de que sus datos solo estén en dicho país, puede optar por implementar sus servicios de AWS exclusivamente en la región Asia Pacífico (Sídney) de AWS. 

Puede realizar copias de seguridad de su contenido y replicarlo en más de una región de AWS. No lo migraremos ni replicaremos fuera de las regiones de AWS seleccionadas a menos que las cambie. Sin embargo, cabe destacar que puede que no todos los servicios de AWS estén disponibles en todas las regiones de AWS. Para obtener más información sobre las regiones de AWS, consulte la página web Infraestructura global de AWS. Para obtener más información sobre los servicios que están disponibles en las distintas regiones de AWS, consulte la página web relativa a las regiones de AWS.” 

 

Para más información: https://aws.amazon.com/es/compliance/data-privacy-faq/ 

 

Descargar