Seguridad de la información

Control de acceso y autenticación

Concepto de funciones y derechos

Un concepto personalizable de roles y derechos proporciona la base para restringir el acceso a datos o información a la persona autorizada.
 

Inicio de sesión único

BCS admite la autenticación mediante SAML, Active Directory (LDAP/KERBEROS) u OAuth 2.0 con OpenID Connect.

Directrices para contraseñas

Projektron BCS es compatible con políticas de contraseñas relativas a la complejidad de las contraseñas y la frecuencia de cambio.

Autenticación de 2 factores

El inicio de sesión puede asegurarse adicionalmente mediante un segundo factor generado con el método TOTP.

Passkeys

BCS soporta Passkeys, un método de autenticación sin contraseña que sustituye las contraseñas por un procedimiento asimétrico, aumentando así la facilidad de uso y eliminando vulnerabilidades como el phishing, el robo de contraseñas y las contraseñas débiles.

Mecanismos de seguridad y protección de datos

Conexiones cifradas

Es posible la comunicación cifrada para la transmisión segura de datos entre Projektron BCS y los usuarios o sistemas externos (https, imaps, smtps).

Bóveda de contraseñas

Las contraseñas necesarias para sistemas ajenos se pueden almacenar de forma criptográficamente segura en una cámara acorazada de contraseñas.

Contraseñas seguras

Las contraseñas se protegen en Projektron BCS mediante el algoritmo PBKDF2 y Salt and Pepper.

Ataques de fuerza bruta

Las cuentas de usuario están protegidas mediante tiempos de espera o un bloqueo de la cuenta de usuario tras varios intentos de inicio de sesión fallidos. El acceso a cuentas individuales puede restringirse a direcciones IP y rangos de IP específicos.

Pruebas y verificación

Análisis de vulnerabilidades

El software se analiza periódicamente en busca de vulnerabilidades de seguridad conocidas.

Pentests

En colaboración con nuestros clientes, se llevan a cabo pruebas con regularidad. Los resultados de estas pruebas se incorporan continuamente al desarrollo y la protección de Projektron BCS.

Pruebas automatizadas

Projektron BCS se somete a pruebas de funcionalidad y facilidad de uso. Los patrones de ataque habituales se pueden comprobar automáticamente. Las pruebas automatizadas se integran en el proceso de integración continua (CI) para garantizar que cada cambio en el código se comprueba inmediatamente.

Pruebas de integración

Realizamos pruebas de integración para garantizar que los distintos componentes del software funcionan juntos de forma segura y que no surgen nuevas vulnerabilidades de seguridad.

Pruebas unitarias

Para cada historia de usuario, desarrollamos pruebas unitarias para verificar la correcta funcionalidad y seguridad a nivel de código.

Informes de cobertura de pruebas

Creamos informes de cobertura de las pruebas que muestran la cobertura de las historias de usuario por parte de las pruebas y garantizan que no queden áreas críticas para la seguridad sin probar.

Pruebas de extremo a extremo

Creamos pruebas de extremo a extremo que cubren toda la historia de usuario y garantizan que la aplicación funciona como se espera y es segura.

Medidas de seguridad internas

Definición de requisitos de seguridad

Los objetivos y requisitos de seguridad se definen claramente al principio del proyecto.

Planificación de la seguridad

Seguimos un plan de seguridad detallado que describe las medidas y procedimientos de seguridad.

Equipo experto en desarrollo de productos

Un equipo especializado se ocupa continuamente de los temas actuales de seguridad informática e implementa las últimas medidas de seguridad en Projektron BCS. Esto garantiza que nuestro software cumpla siempre los estándares de seguridad más exigentes.

Directriz interna «Desarrollo seguro de software

La directriz interna tiene como objetivo minimizar los déficits y vulnerabilidades de seguridad en el desarrollo de Projektron BCS y reaccionar adecuadamente ante ellos. Para ello se tiene en cuenta el SANS Top 25, que enumera las 25 vulnerabilidades más peligrosas y relevantes en el software, y el OWASP Top 10, que describe las diez vulnerabilidades más extendidas e importantes para las aplicaciones web.

Formación de los empleados

Nuestros desarrolladores reciben formación periódica y están sensibilizados con los aspectos de seguridad y las mejores prácticas.

Programas de concienciación

Llevamos a cabo programas para fomentar la concienciación sobre la seguridad en todo el equipo de desarrollo.

Documentación sobre seguridad

Todos los requisitos, medidas y pruebas de seguridad se documentan detalladamente.

Informes

Las partes interesadas reciben informes periódicos sobre el estado de la seguridad y los incidentes ocurridos.

Directrices de programación y desarrollo seguros

Normas y directrices de codificación

Seguimos normas y directrices de codificación probadas para evitar vulnerabilidades de seguridad.

Revisión del código y revisión por pares

El código es revisado periódicamente por compañeros para identificar posibles problemas de seguridad en una fase temprana.

Análisis estático del código

Se utilizan herramientas de análisis estático del código para detectar vulnerabilidades en el código fuente.

Evaluación de riesgos

Los posibles riesgos de seguridad se identifican y evalúan a lo largo de todo el proceso de desarrollo.

Gestión de vulnerabilidades

Se ha implantado el correspondiente proceso para reconocer, evaluar y rectificar las vulnerabilidades de seguridad.

Control de versiones y gestión de la configuración

Control de versiones

Utilizamos sistemas de control de versiones (por ejemplo, Git) para seguir los cambios en el código y garantizar la trazabilidad.

Gestión de la configuración

Nos aseguramos de que todas las configuraciones se gestionan y documentan de forma segura.

Respuesta a incidentes y planes de emergencia

Planes de emergencia

Se han creado planes de contingencia que se mantienen continuamente para garantizar una respuesta rápida y eficaz en caso de incidente de seguridad.

Respuesta a incidentes

Hemos establecido un proceso para responder a los incidentes de seguridad, que incluye el análisis y la eliminación de las causas.

Ubicación y disponibilidad

Centro de datos en Alemania

El centro de datos está situado en Alemania y está sujeto a altos niveles de seguridad. Pertenece a la clase Tier IV con ISP POP redundante.

Copias de seguridad y recuperación

Hosting ofrece copias de seguridad y recuperación rápida en caso necesario.

Certificado

Nuestro centro de datos y las áreas de Projektron relevantes para la seguridad están certificados según ISO 27001. El centro de datos dispone además de otros certificados: VdS ISO 9001 NSL e IS, DIN 14675 para BMA y DIN EN 50518.

Disponibilidad

Garantizamos la disponibilidad acordada, que se supervisa permanentemente.

Seguridad física y control de acceso

Control de acceso

Sólo pueden acceder al centro de datos las personas autorizadas encargadas del cumplimiento de tareas con registro previo.

Vigilancia

El centro de datos está vigilado 24 horas al día, 7 días a la semana y 365 días al año por un guardia de seguridad in situ.

Pruebas de seguridad y actualizaciones

Actualizaciones automatizadas

Las máquinas virtuales y Projektron BCS se actualizan automáticamente para que siempre esté al día y seguro.

Ventanas de mantenimiento

Existen ventanas de mantenimiento programadas regularmente para instalar actualizaciones y parches. En caso de una vulnerabilidad de seguridad grave, se llevan a cabo actualizaciones no programadas, que se anuncian con dos horas de antelación.

Pentest

Nuestro alojamiento se somete a un pentest anual.

Seguridad de datos y de acceso

Servidores de bases de datos separados

Los datos de los clientes se almacenan en servidores de bases de datos independientes. Esto permite un mejor rendimiento y la creación de interfaces personalizadas.

SSL

Cuando se aloja, accede a Projektron BCS a través de un acceso cifrado con certificado SSL.

Túnel VPN

Las máquinas virtuales no son accesibles a través de Internet. Projektron sólo accede a ellas a través de túneles VPN.

Cortafuegos

Un cortafuegos centralizado con estrictas reglas de filtrado individuales para cada cliente le protege de ataques externos. A petición, se puede proporcionar un cortafuegos para aplicaciones web.

Conexiones seguras mediante HTTPS/SFTP/SSH y SCP

Por lo general, sólo puede acceder a su máquina virtual a través de conexiones seguras (mediante HTTPS/SFTP/SSH) y crear así copias de seguridad o copias de datos (mediante SCP), por ejemplo.

Servicios adicionales y formación continua

KVD

Nuestros clientes se conectan automáticamente al servicio de versionado de configuraciones (KVD). Esto significa que sus configuraciones se gestionan en un repositorio SVN.

Formación continua

Los empleados reciben formación en función de sus necesidades sobre la seguridad de los servicios de alojamiento.

Portal de asistencia

Seguridad de transporte

La seguridad del transporte en el portal de asistencia está garantizada por el uso opcional pero recomendado de HTTPS.

Intercambio de mensajes y autenticación

Los mensajes se intercambian mediante SOAP, y la autenticación se garantiza mediante el nombre de usuario y la contraseña en la cabecera SOAP. El usuario de sincronización debe estar protegido con una contraseña segura, ya que tiene amplios derechos. Esta contraseña debe almacenarse en el almacén de contraseñ

Configuración de los atributos que deben sincronizarse

Se pueden configurar los atributos que se van a sincronizar, excluyendo de la sincronización los atributos sensibles.

Restricciones de puerto

Se pueden aplicar restricciones de puerto para restringir específicamente el intercambio HTTP entre los sistemas implicados.

Aplicación Web

Seguridad de transporte

La seguridad de transporte de la aplicación web está garantizada, ya que sólo puede utilizarse junto con HTTPS.

Autenticación y gestión de cookies

La autenticación se realiza mediante nombre de usuario y contraseña, seguida del uso de una cookie persistente que se almacena de forma segura en la memoria y se elimina de la aplicación cuando el usuario se desconecta explícitamente.

Aplicación de derechos durante la sincronización

En la sincronización de la aplicación web con Projektron BCS se aplican los derechos establecidos en BCS.

Microsoft Exchange On-Premises

Seguridad de transporte

La seguridad de transporte para Microsoft Exchange On-Premises está garantizada por el uso opcional pero recomendado de HTTPS.

Autenticación

Projektron BCS soporta los tipos de autenticación BASIC, DIGEST y NTLM, que sin embargo son susceptibles a determinados patrones de ataque. BCS aún no es compatible con el moderno tipo de autenticación AD FS, que se basa en OAuth 2.0 y es utilizado por Exchange 2019.

Microsoft Exchange Online

Seguridad de transporte

La seguridad de transporte al utilizar Microsoft Exchange Online está garantizada por el uso exclusivo de HTTPS.

Autenticación

La autenticación segura basada en tokens proporciona protección adicional al utilizar Exchange Online.

Jira On-Premises

Seguridad de transporte

La seguridad de transporte para Jira On-Premises está garantizada por el uso opcional pero recomendado de HTTPS.

Intercambio de mensajes

Los mensajes se intercambian mediante SOAP, por lo que la contraseña del usuario de sincronización debe estar protegida de forma segura.

Suplantación y seguridad

Después de iniciar sesión a través del usuario de sincronización, la suplantación se utiliza para guardar acciones en el contexto del usuario que ha iniciado sesión.

Jira Cloud

Autenticación

En Jira Cloud, la autenticación tiene lugar mediante una clave API en el usuario a través de la interfaz REST en BCS, por lo que la clave API se crea y almacena de forma segura.

Recomendación de seguridad

Se recomienda instalar Jira Cloud y Projektron BCS en el mismo sistema para poder bloquear los puertos mediante un cortafuegos.

Gestión de usuarios

Solo el administrador puede gestionar las asignaciones de usuarios en BCS.