Introducción
Este documento describe las medidas y esfuerzos de PlanRadar para proporcionar estándares altos y modernos para la seguridad de los datos, la privacidad y la disponibilidad del servicio para nuestro software.
Infraestructura / Alojamiento
Documentos técnicos y documentación de AWS Información
Gestión de configuración
Seguimos los principios de infraestructura inmutable e infraestructura como código. En caso de error/fallo, el sistema se puede regenerar en función de sus plantillas y código fuente. Utilizamos Kubernetes y Argocd para gestionar nuestra infraestructura.
Alta disponibilidad / escalabilidad
AWS hace que nuestro sistema responda a picos de carga elevados y automáticamente proporcionará más recursos si es necesario. Nuestros clientes no experimentarán impactos en el rendimiento.
Protección contra vulnerabilidades web/DDOS
Nuestra aplicación web está blindada y protegida con el sistema de proxy web cloudflare.
Desarrollo de software
Implementación
Nuestro sistema se basa en tecnología de código abierto moderna, robusta y probada en batalla. Nuestra aplicación web está desarrollada con Ruby on Rails utilizando una versión actualizada compatible con parches de seguridad. Nuestros clientes móviles están desarrollados en Java, Objective-C y .NET.
Toda la transferencia de datos se realiza a través de HTTPS/TLS y los datos se cifran en reposo. (En nuestra base de datos relacional y en nuestro almacenamiento de objetos). Todas las imágenes, planos y documentos se almacenan en el sistema de almacenamiento Amazon S3 de gran durabilidad.
OWASP
En nuestra implementación seguimos el principio de seguridad por diseño.
TDD
Toda nuestra funcionalidad principal se implementa con la metodología de desarrollo impulsado por pruebas.
Medidas de seguridad de la aplicación
La aplicación está protegida por múltiples servidores proxy y balanceadores de carga. Tenemos las posibilidades de autenticación multifactor de inicio de sesión federado con SAMl, políticas de contraseña personalizadas, intentos de inicio de sesión limitados, bloqueos de usuarios en intentos de inicio de sesión incorrectos y una configuración detallada de permisos de usuario.
Procesos
Empleados
Todos nuestros empleados, pero especialmente los de soporte e ingeniería, son conscientes de la privacidad/seguridad de los datos y reciben capacitaciones y SOP para el tratamiento responsable de los datos de nuestros clientes. Todos los empleados solo obtienen el acceso mínimo necesario a nuestros sistemas de TI. Solo empleados seleccionados pueden acceder a los datos de los clientes.
Administracion de incidentes
Los incidentes de seguridad y privacidad se recopilan en cada punto de contacto y luego se envían a la unidad organizativa responsable. Nuestros sistemas de registro detectan anomalías en el uso del sistema y envían alarmas automáticas si es necesario. Contamos con procedimientos escritos para recuperación ante desastres y restauración de copias de seguridad.
Acceso
El acceso a los sistemas administrativos está limitado a ciertas VPN y está protegido por autenticación de 2 factores.
Certificación de Gestión de Seguridad de la Información ISO/IEC 27001
Contamos con una certificación ISO que se puede ver aquí:
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.