¡Su seguridad es muy importante para nosotros! Aquí tiene un resumen de lo que hacemos cada día por la seguridad de sus datos y para garantizarle que aplicamos las mejores prácticas en nuestra plataforma SaaS.
Copias de seguridad / Recuperación ante desastres
Copias de seguridad
Los datos de los clientes son el centro de atención de los equipos de Madiasoft. Con el fin de asegurar su integridad y disponibilidad, Madiasoft opera un sistema de copias de seguridad eficiente y redundante.
Las infraestructuras de copia de seguridad no se encuentran en la misma región (es decir, el mismo centro de datos) que los sistemas de producción. Esta organización permite garantizar un nivel de disponibilidad e integridad óptimo, asegurando al mismo tiempo nuestros requisitos de RTO y RPO.
La frecuencia de las copias de seguridad y el periodo de retención son los siguientes:
- Fichas de clientes almacenadas por Kafinea: copia de seguridad diaria, retención de 100 días
- Base de datos de clientes de Kafinea: copia de seguridad diaria, retención de 7 días
Recuperación ante desastres
- RPO: Recovery Point Objective o Punto de Recuperación de Datos
Para Kafinea, es de 24 horas por defecto. - RTO: Recovery Time Objective o Tiempo de Recuperación del Servicio
De forma estándar, Madiasoft no define un RTO para Kafinea.
No obstante, en caso de siniestro grave que provoque una interrupción prolongada del servicio para un cliente determinado, Madiasoft se compromete a restaurar, en un plazo de 48 horas, el Servicio Kafinea basándose en la copia de seguridad más adecuada.
Seguridad de la base de datos
- Los datos de los clientes se almacenan en una base de datos dedicada; no se comparten datos entre clientes.
- Las reglas de control de acceso a los datos implementan un aislamiento completo entre las bases de datos de los clientes que funcionan en el mismo clúster; no es posible ningún acceso de una base de datos a otra.
Seguridad de las contraseñas
Cada usuario de Kafinea se autentica mediante un identificador único y una contraseña segura. Se recomienda encarecidamente añadir un segundo factor de autenticación, que pronto será obligatorio.
Las contraseñas de los usuarios no se almacenan en texto claro en el sistema de información de Madiasoft.
La regla por defecto para nuestros perímetros es utilizar funciones de cifrado no reversibles de tipo «hash» con algoritmos seguros.
Seguridad del sistema
Se ha implementado una política de endurecimiento destinada a asegurar los sistemas operativos. Se trata de reducir la superficie de ataque posible, desactivando o eliminando los objetos (servicios, aplicaciones, funcionalidades…) no esenciales. Esto consiste en implementar opciones de seguridad particulares y asegurar las actualizaciones de software.
Las operaciones de endurecimiento en los sistemas operativos de los servidores afectan a:
- Actualización
- Estrategia de cuenta
- Derechos de usuario y red
- Registro de actividad
- Protección contra software malicioso
- Servicio, rol y funcionalidad
- Espacio de usuario
- Espacio en disco
Seguridad de la información bancaria
- Nunca almacenamos información relativa a tarjetas de crédito en nuestros propios sistemas.
- La información relativa a su tarjeta de crédito se transmite siempre de forma segura directamente entre usted y nuestros adquirentes de pago que cumplen con las normas PCI.
Seguridad del diseño de aplicaciones
Madiasoft ha implementado un enfoque destinado a integrar la seguridad a lo largo de todo el ciclo de vida de las aplicaciones desarrolladas. Este se inspira en las recomendaciones de OWASP.
Cifrado de datos
Transferencia de datos a redes públicas
Los datos se cifran durante las transferencias a redes públicas con protocolos seguros (HTTPS, TLS, SFTP, SSH…).
Certificados
Con el fin de garantizar el mejor nivel de seguridad, los certificados HTTPS utilizados por Kafinea provienen de autoridades de certificación públicas y reconocidas. La gestión de estos certificados está regulada por procedimientos que cubren su ciclo de vida.
Cifrados
Las reglas relativas a la longitud de las claves de cifrado son:
Cifrado asimétrico: superior o igual a 2048 bits
Cifrado simétrico: superior o igual a 256 bits
Madiasoft utiliza software de cifrado basado en AES256 para crear archivos seguros.
Gestión de vulnerabilidades de seguridad
Escáner de vulnerabilidades
Se realizan análisis periódicos en todo el perímetro de internet del sistema de información de Madiasoft a través de un escáner de vulnerabilidades gestionado por el equipo de seguridad de Madiasoft.
Estos análisis permiten controlar la correcta configuración del hardware y el software con el fin de detectar la aparición de vulnerabilidades.
Los resultados se revisan y son objeto de planes de acción específicos.
Informar sobre vulnerabilidades de seguridad
Si necesita informar sobre una vulnerabilidad de seguridad, comparta los detalles escribiendo a security@madiasoft.com. Estos informes se tratan con alta prioridad y el problema será evaluado y resuelto por el equipo de seguridad de Kafinea, en colaboración con el informador.