Seguridad

A nivel de plataforma

Copia de Seguridad / Recuperación de Desastres

  • Guardamos 12 copias de seguridad completas de cada instancia de los productos online durante 3 meses.
  • Realizamos una copia de seguridad cada semana.
  • Las copias de seguridad se replican en al menos 3 centros de datos diferentes en diferentes continentes.
  • También puedes descargar copias de seguridad manuales de tus datos a tiempo real usando el panel de control del sistema.
  • Puedes consultar con nuestro Centro de Soporte para restaurar cualquiera de estas copias de seguridad en tu base de datos activa (o a un lado).
  • Recuperación de desastres:  en caso de desastre completo, con un centro de datos completamente inactivo durante un largo periodo de tiempo, previniendo conmutación a nuestro sistema de espera activa (por el momento nunca ha pasado, pero este es el plan para el peor de los casos), tenemos los siguientes objetivos:
    • RPO (Objetivo de Punto de Recuperación) = 24h. Esto significa que puedes perder un máximo de 24h de trabajo si los datos no se pueden recuperar y necesitamos restaurar tu última copia de seguridad.
    • Cómo se logra esto: monitoreamos activamente nuestras copias de seguridad, y son replicadas en múltiples ubicaciones en diferentes continentes. Tenemos aprovisionamiento automatizado para deployar nuestros servicios en una nueva ubicación de almacenaje en menos de 90 minutos. Restaurar los datos basados en nuestras copias de seguridad del día anterior puede ser realizado en un par de horas con prioridad.

Seguridad de Bases de Datos

  • Los datos de los clientes se almacenan en una base de datos dedicada - no se comparten los datos entre clientes.
  • Las reglas de control de acceso de datos implementan aislamiento completo entre las bases de datos de los clientes corriendo en el mismo conjunto, no se permite el acceso de una base de datos a otra. 

Seguridad de Contraseñas

  • Las contraseñas de los clientes están protegidas con estándares de la industria. PBKDF2+SHA512 encryption (salted + stretched for thousands of rounds).
  • Los empleados NAVEGASOFT S.A.S no tienen acceso a tu contraseña, y no la pueden recuperar por ti. La única opción si la pierdes es reiniciarla.
  • Las credenciales de inicio siempre se transmiten de manera segura a través de HTTPS.

Acceso a Empleados

  • Los empleados del Centro de Soporte de NAVEGASOFT S.A.S pueden entrar a tu cuenta para acceder a la configuración relacionada con tu ticket de soporte. Para hacer esto usan sus propias credenciales de empleados, no tu contraseña (que no tienen forma de saber).
  • Este acceso especial de los empleados mejora la eficiencia y seguridad: pueden reproducir de inmediato los problemas que estás teniendo. En ningún caso necesitas compartir tu contraseña, y podemos auditar y controlar las acciones de los empleados de manera independiente. 
  • Nuestro Centro de Soporte trabaja para respetar tu privacidad en todo momento, y solo accede a archivos y configuraciones que necesitan para diagnosticar y resolver tu problema.

Seguridad del Sistema

·         Todos los servidores utilizados por NAVEGASOFT S.A.S ejecutan distribuciones de Linux reforzadas con parches de seguridad actualizados.

  • Las instalaciones son a medida y mínimas para limitar el número de servicios que puedan contener vulnerabilidades (no PHP/MySQL stack, por ejemplo).
  • Solo unos pocos ingenieros confiables de NAVEGASOFT. S.AS tienen autorización para administrar los servidores de forma remota, y el acceso solo es posible mediante un par de claves SSH personal cifradas, desde una computadora con cifrado de disco completo.

Seguridad Física

Los servidores utilizados por NAVEGASOFT S.A.S están alojados en centros de datos de confianza en varias regiones del mundo (Amazon, Google Cloud, Digital Ocean, etc.), y todos deben seguir nuestro criterio de seguridad física:

  • Perímetro restringido, accesible físicamente por empleados autorizados de los centros de datos únicamente.
  • Control del acceso físico con tarjetas de seguridad o seguridad biométrica.
  • Cámaras de seguridad monitoreando los centros de datos 24/7
  • Personal de seguridad en el lugar 24/7

Seguridad de Tarjetas de Crédito

·         Nunca almacenamos información de tarjetas de crédito en nuestros propios sistemas.

·         La información de tu tarjeta de crédito solo se transmite entre tú y tus pasarelas de pago PCI-Compliant.

Comunicaciones

  • Todas las conexiones web a instancias de clientes están protegidas con encriptación de vanguardia 256-bit SSL.
  • Nuestros servidores están vigilados estrictamente, y siempre parcheados contra las vulnerabilidades SSL, y valoraciones de SLL
    Grade B en todo momento.
  • Todos nuestros certificados SSL usan un módulo 2048-bit con cadenas de certificados SHA-2 completas.

Defensa de la red

·         Todos los proveedores de centros de datos utilizados por NAVEGASOFT S.A.S tienen capacidades de red muy grandes y han diseñado su infraestructura para resistir los mayores ataques de denegación de servicio distribuido (DDoS). Sus sistemas de mitigación automáticos y manuales pueden detectar y desviar el tráfico de ataque en el borde de sus redes multicontinentales, antes de que tenga la oportunidad de interrumpir la disponibilidad del servicio.

·         Los firewalls y los sistemas de prevención de intrusiones en los servidores de NAVEGASOFT S.A.S ayudan a detectar y bloquear amenazas como los ataques de fuerza bruta a contraseñas.

A nivel de software

Seguridad del Software

Odoo es de código abierto, así que toda la base del código está continuamente bajo examinación por parte de usuarios de Odoo y contribuidores a nivel global. Los reportes de problemas de la comunidad son una manera importante de conseguir feedback relacionado a la seguridad. 

NAVEGASOFT S.A.S trabaja bajo la edición community (Actualmente la versión 11 y Versión 13) y se guía bajo los criterios de la casa matriz, adicional de sus propias políticas de seguridad.

Los procesos de I+D de Odoo tienen pasos para revisar el código que incluyen aspectos de seguridad, para piezas de código nuevas y contribuidas.

Seguridad por Diseño

Odoo está diseñado de manera que previene la invasión de las más comunes vulnerabilidades de seguridad:

  • Las inyecciones SQL se previenen por el uso de una API de más alto nivel que no requiere queries manuales.
  • Los ataques XSS se previenen por el uso de un sistema de alto nivel de templado que automáticamente escapa los datos inyectados.
  • El framework previene acceso RPC a métodos privados, haciéndolo más difícil de explotar las vulnerabilidades.

Auditorías de Seguridad Independientes

Odoo se audita automáticamente por compañías independientes que son contratadas por nuestros clientes y prospectos para realizar auditorías y exámenes de penetración. El equipo de seguridad de Odoo recibe los resultados y toma medidas apropiadas de corrección cuando sea necesario.

No podemos revelar ninguno de esos resultados, porque son confidenciales y pertenecen a los comisarios. Por favor no pregunten ;-)

Odoo también tiene una comunidad muy activa de investigadores de seguridad independientes, que continuamente monitorean el código fuente y trabajan con nosotros para mejorar la seguridad de Odoo. 

El control de acceso de Odoo no está implementado a nivel de interfaz de usuario, y la seguridad no depende de esconder ninguna URL en especial. Los atacantes no pueden evitar la capa de control de acceso o manipular ninguna URL porque cada petición todavía tiene que estar hecha a través de la capa de validación de acceso. En los casos raros en los que una URL provee de acceso no autorizado a datos sensibles, como URLs especiales que los clientes usan para confirmar una orden, estas URLs son firmadas digitalmente con tókens únicos y solo se envían vía email a los receptores intencionados.

Reportando Vulnerabilidades de Seguridad

Si necesitas reportar una vulnerabilidad de seguridad, por favor ve escríbenos a seguridad@navegasoft.com. Estos reportes son tratados como de alta prioridad, el problema es tratado de inmediato y resuelto por el equipo de seguridad, en colaboración con la persona que reporta, y luego compartido de manera responsable con el cliente y los usuarios.