SEGURIDAD DE DATOS
Privacidad y Arquitectura en Servicios Basados en La Nube
  Descargar PDF
INTRODUCCIÓN: TODOS LOS CAMINOS LLEVAN A LA NUBE

El mundo ahora está apuntalando las olas de disrupción tecnológica en casi todas las industrias y en el epicentro de todo son las soluciones integradas en la nube que reemplazan las pilas de tecnología existentes que el mundo usa actualmente. La transformación y la innovación en este período de computación en la nube y movilidad inteligente avanzan a gran velocidad, desde varias direcciones y ocurren más continuamente que nunca. Estar en el negocio y el entorno en la nube requiere que las organizaciones elaboren estrategias de antemano, participen realmente en la interacción con los clientes y proporcionen una respuesta rápida para mantener la supervivencia, porque emprender soluciones en la nube no les da ese lujo de tiempo para pensar, reflexionar y ajustar. Al comienzo del milenio, las compañías de tecnología podían ahorrar 10 años, ahora la velocidad del cambio se ha reducido a solo meses. El valor global de las soluciones en la nube se estima en más de 3.5 billones de dólares estadounidenses y con eso, las empresas tecnológicas enfrentan otro gran obstáculo en forma de problemas de seguridad que surgen debido a la exponenciación de vulnerabilidades y amenazas junto con las transiciones tecnológicas. Por esa razón, los proveedores de la nube deben contar con estrategias viables para garantizar que los problemas de seguridad se aborden de manera adecuada para garantizar la continuidad del negocio.
TimeTec es una marca mundial reconocida que ha proporcionado soluciones basadas en la nube para la seguridad y la gestión de la fuerza de trabajo para diversas industrias en todo el mundo. Como desarrollador de sistemas basado en la nube, TimeTec ha cumplido todos los requisitos siguientes con el objetivo clave de mantener la confianza de los clientes en nuestra marca.


19 Principales Preocupaciones de Seguridad Sobre La Nube Que Los Desarrolladores Necesitan Entregar

La confianza del cliente es primordial para crear y mantener un negocio en la nube y un proveedor debe dedicarse a lograrlo manteniendo un sólido programa de seguridad y privacidad que se ocupe de la protección de datos del cliente en todas las soluciones, incluidos los datos recibidos de los clientes a través del servicios.
  1. Arquitectura y Segregación de Datos
Los servicios operados y ofrecidos en la nube deben residir en una arquitectura multiusuario por la cual el acceso a los datos del cliente solo se puede ver en función de la autorización asignada por la empresa. Proporciona una separación efectiva de datos lógicos a través de una Identificación de Empleado única que permite el acceso a la información en función de los privilegios de un rol. La segregación de datos debe llevarse a cabo proporcionando entornos separados para diferentes funciones, es decir, para pruebas y producción.
  2. Control de Procesamiento
Esto devuelve el poder al cliente, asegurándole que los datos solo se procesan cuando el cliente lo instruye, a lo largo de toda la cadena de actividades de procesamiento y que el cumplimiento de las medidas implementadas debe estar sujeto a auditorías.
  3. Auditorías y Certificaciones
Al menos una vez al año, todos los servicios ofrecidos deberán pasar por evaluaciones de seguridad realizadas por personal interno que incluyen evaluaciones de vulnerabilidad de infraestructura y evaluaciones de seguridad de aplicaciones.
  4. Registros de Seguridad
Se mantendrán todos los sistemas utilizados para transportar los Servicios Ofrecidos, incluidos los sistemas operativos, la información de registro a sus respectivas instalaciones de registro del sistema de aplicaciones o un servidor syslog centralizado (para sistemas de red) para habilitar revisiones y análisis de seguridad, y los registros del sistema y de la aplicación mantenerse por un período mínimo de sesenta (60) días.
  5. Controles de Seguridad
Los Servicios ofrecidos disponibles a través del Navegador de Internet o la Aplicación Móvil deben tener una variedad de características de seguridad configurables. Estos controles incluyen, pero no están limitados a lo siguiente:
 
•  Los ID de Usuario como identificadores de usuario únicos para garantizar que las actividades se puedan rastrear hasta el individuo.
•  El uso de Controles ReCaptcha para impugnar el acceso después de varios intentos de inicio de sesión fallidos consecutivos.
•  Para finalizar una sesión de usuario después de un período de inactividad.
•  Para controlar la longitud de la contraseña.
•  Para hacer coincidir los requisitos de complejidad de la contraseña.
  6. Políticas y Procedimientos de Seguridad
Los Servicios Ofrecidos se deben operar de acuerdo con las siguientes políticas y procedimientos para mejorar la seguridad:
 
•  Las contraseñas de los usuarios se guardan usando un formato hash salado y no se transmiten sin cifrar.
•  Se mantendrán las entradas de registro de acceso de usuario, que contienen la fecha, la hora, la URL ejecutada o la ID de la entidad operada, la operación realizada (vista, editada, etc.) y la dirección IP de origen. Tenga en cuenta que la dirección IP de origen puede no estar disponible si NAT (Traducción de Direcciones de Red) o PAT (Traducción de Direcciones por Puerto) es utilizada por un cliente o su ISP.
•  Los registros se almacenarán en un alojamiento centralizado y seguro para evitar manipulaciones.
•  Las contraseñas no están registradas.
  7. Detección de Intrusos
Los Servicios Ofrecidos se deben supervisar en caso de intrusiones no autorizadas mediante mecanismos de detección de intrusiones basados en la red por parte del desarrollador o del tercero asignado para esa tarea. Los datos recopilados por los navegadores web de los usuarios (por ejemplo, tipo de dispositivo, resolución de pantalla, zona horaria, versión del sistema operativo, tipo de navegador y versión, fuentes del sistema, complementos para navegadores instalados, tipos MIME habilitados, etc.) pueden analizarse para propósitos de seguridad para prevenir autenticaciones fraudulentas y para asegurar que los Servicios Ofrecidos funcionen correctamente.
  8. Gestión de Incidentes
Un proveedor necesita mantener políticas y procedimientos de gestión de incidentes de seguridad, y notifica a los clientes impactados sin demoras indebidas de cualquier revelación no autorizada de sus respectivos Datos del Cliente por parte del Desarrollador o sus agentes de los cuales el Desarrollador tenga conocimiento en la medida permitida por la ley.
  9. Autentificación de Usuario
Todo acceso a los Servicios Ofrecidos a través del Navegador de Internet, la Aplicación Móvil o vía API, exige una combinación de una ID de usuario y contraseña válida que se encriptan a través de HTTPS mientras están en transmisión. Después de una autenticación exitosa, se genera una ID de sesión aleatoria y se almacena en el navegador del usuario para preservar y rastrear el estado de la sesión.
  10. Seguridad Física
Si los centros de datos de producción que se usan para proporcionar los Servicios cubiertos son manejados por Servicios externos, obtenga sus detalles de Proceso de Seguridad conocidos como este: AWS Security Whitepaper.pdf
  11. Confiabilidad y Respaldo
Todos los componentes de red, balanceadores de carga, servidores Web y servidores de aplicaciones se configuran en una configuración redundante. Todos los Datos del Cliente enviados a los Servicios cubiertos se almacenan en un servidor de base de datos principal con copia de seguridad automática utilizando las funciones de recuperación puntual. Todas las copias de seguridad Diarias de AMI se conservarán durante al menos 2 días y la copia de seguridad semanal de AMI se conservará al menos un mes.
  12. Recuperación Ante Desastres
Los sistemas de producción de los Servicios Ofrecidos deben estar protegidos por un plan de recuperación ante desastres de niveles múltiples que brinde respaldo de datos y servicios críticos. Existe un sistema integral de procesos de recuperación para volver a poner en línea los sistemas críticos para la empresa en el menor tiempo posible. Los procesos de recuperación para bases de datos, seguridad, administración de sistemas y configuración de red y datos proporcionan una hoja de ruta para que el personal ponga a disposición los procesos después de una interrupción del servicio.
  13. Los Virus
Los Servicios Ofrecidos no analizarán en busca de virus que puedan ser incluidos en archivos adjuntos u otros datos cargados en los Servicios Ofrecidos por los clientes. Los archivos adjuntos cargados no se ejecutan en los Servicios Ofrecidos y, por lo tanto, no dañarán ni comprometerán los Servicios Ofrecidos en línea en virtud de contener un virus.
  14. Cifrado de Datos
Los Servicios Ofrecidos deben usar productos de cifrado aceptados por la industria para proteger los Datos del Cliente y las comunicaciones durante las transmisiones entre la red del cliente y los Servicios cubiertos, incluyendo los Certificados TLS de 128 bits y las claves públicas RSA de 2048 bits como mínimo.
  15. Devolución de Los Datos del Cliente
Los Datos del Cliente enviados a los Servicios Ofrecidos se devolverán al Cliente cuando se solicite.
  16. Eliminación de Los Datos del Cliente
Después de la finalización de los Servicios Ofrecidos, los clientes pueden solicitar la eliminación de los datos del cliente enviados a los Servicios Ofrecidos, y este proceso está sujeto a los requisitos legales aplicables. Los Datos del Cliente almacenados en la infraestructura para los Servicios Ofrecidos se eliminarán en consecuencia.
  17. Datos Confidenciales
Importante: Los siguientes tipos de datos personales confidenciales no pueden enviarse a los Servicios Ofrecidos: información financiera (como números de tarjetas de crédito o débito, ningún códigos de seguridad relacionados o contraseñas y números de cuentas bancarias); información relacionada con la salud física o mental de un individuo; e información relacionada con la provisión o pago de la atención médica. Para mayor claridad, las restricciones anteriores no se aplican a la información financiera provista al desarrollador a los efectos de verificar las calificaciones financieras de, y cobrar los pagos de sus clientes.
  18. Analítica
Un desarrollador puede rastrear y analizar el uso de los Servicios Ofrecidos por motivos de seguridad y ayudar a los desarrolladores a mejorar tanto los Servicios Ofrecidos como la experiencia del usuario en el uso de los Servicios Ofrecidos.

Un desarrollador puede compartir datos de uso anónimos con sus proveedores de servicios con el fin de ayudar al desarrollador en dicho seguimiento, análisis y mejoras. Además, el desarrollador puede compartir dichos datos de uso anónimos en forma agregada en el curso normal de operación de nuestro negocio; por ejemplo, podemos compartir información públicamente para mostrar tendencias sobre el uso general de nuestros servicios.

  19. Integración o Interoperación con Otros Servicios
Los servicios ofrecidos por un desarrollador pueden integrar o interoperar con otros servicios proporcionados por el desarrollador o terceros. El desarrollador también podría proporcionar muchas plataformas y características que permitan a los usuarios conocer los productos, participar en comunidades, conectar aplicaciones de terceros y participar en prueba piloto, pruebas y evaluaciones, que están fuera del alcance de esta documentación. Comunicación con los usuarios que participan en dichas plataformas y características debe ser en una manera coherente con la Declaración de Privacidad. Además, el desarrollador puede contactar a los usuarios para proporcionar información transaccional sobre los Servicios ofrecidos; por ejemplo, a través del Administrador de Cuentas o a través de mensajes de correo electrónico generados por el sistema. El desarrollador debe ofrecer a los clientes y usuarios la posibilidad de desactivar u optar por no recibir dichos mensajes.
Consulte las soluciones basadas en la nube por TimeTec en
www.timeteccloud.com