Este artículo también está disponible en:
Este artículo está traducido utilizando un traductor automático. Podría contener algunos errores o traducciones extrañas. De todos modos, creemos que es valioso que puedas leer este artículo de ayuda en tu idioma materno. Déjanos tu comentario al final del artículo si este artículo te resultó útil o si tienes algún otro comentario.

Este artículo describe algunas de las técnicas y procedimientos que tenemos en marcha.

En Easy LMS, la seguridad de sus datos es nuestra máxima prioridad. Intentamos constantemente romper nuestros propios sistemas de seguridad para identificar los puntos débiles.

Arquitectura del software

Easy LMS está construido sobre nuestro propio Sistema de Gestión de Contenidos (CMS). Este sistema está desarrollado sobre el framework PHP de código abierto Yii. Yii utiliza una arquitectura basada en el modelo-vista-controlador (MVC) que permite un código estructurado, limpio y mantenible. Yii se considera sólido, rápido y seguro.



Yii Framework

Utilizamos muchas de las características de seguridad integradas en Yii, como la encriptación de datos, la prevención de XSS y el saneamiento de datos. Los datos introducidos por el usuario siempre se validan en el servidor, incluso si también se utiliza la validación del lado del cliente.

Autenticación

Autorización de roles

Tenemos varios tipos de usuarios que pueden acceder al sistema, como se puede ver en el diagrama de abajo. Por nivel de seguridad, cada rol tiene acceso a partes adicionales del sistema y a los datos. A partir del nivel de soporte utilizamos un tipo de login que difiere del login de cliente como capa de seguridad extra.



Preguntas frecuentes

A continuación encontrará una lista de preguntas sobre seguridad que recibimos a menudo.

#¿Dónde están ubicados sus servidores?

Easy LMS se ejecuta en una nube de Amazon Web Services, o AWS para abreviar. Los servidores y las bases de datos están ubicados físicamente en Frankfurt, Alemania.

¿Cómo protegen mis datos?

Protegemos sus datos de varias maneras:

Todos los datos se almacenan en la base de datos que está totalmente encriptada. Esto significa que los datos de la base de datos sólo se pueden recuperar de formas específicas.
Los datos personales que solicitamos se almacenan en la base de datos utilizando una capa adicional de encriptación. Esto significa que incluso si la base de datos se ve comprometida, un atacante no podría leer los datos sin la clave para descifrarlos.
Las contraseñas se almacenan utilizando un algoritmo de hash altamente seguro. A diferencia de otros datos, es imposible recuperar la contraseña original a partir de su hash.
Las contraseñas nunca se envían a nadie de ninguna manera.
Toda la comunicación entre el cliente (usted) y el servidor se realiza a través de una conexión cifrada.

¿Quién tiene acceso a mis datos?

Tú, en todo momento. Nosotros podemos acceder a algunos de sus datos, por ejemplo, para fines de asistencia y facturas. Nunca compartimos sus datos sin su consentimiento.

¿Quién tiene acceso a la base de datos?

Sólo los usuarios autorizados pueden acceder a nuestra base de datos. Esta autorización se gestiona mediante un sistema independiente, por lo que ninguna cuenta de Easy LMS tiene acceso directo a la base de datos. Este sistema sólo es accesible desde nuestra propia red interna.

¿Procesan y almacenan datos personales?

Sólo pedimos los datos que necesitamos, por ejemplo para la facturación. Almacenamos estos datos encriptados en nuestra base de datos.

¿Tienen un procedimiento en caso de fuga de datos?

Sí. Si se detecta una fuga de datos, actuaremos inmediatamente para reparar primero la fuga y desactivar el acceso externo. Informaremos a las partes interesadas en un plazo de 48 horas desde que se detecte una fuga de datos.

¿Qué tipo de cifrado utilizan?

La comunicación se realiza a través de HTTPS (TLS 1.2).
Todos los datos se cifran utilizando AES-256.
Las contraseñas se almacenan utilizando bcrypt-hashing.
Los datos personales se almacenan usando encriptación CBC o ECB (dependiendo del tipo y uso).

¿Cómo utilizamos la encriptación para los datos sensibles?

Las contraseñas se cifran mediante bcrypt
Los datos personales, salvo las direcciones de correo electrónico, se cifran mediante AES-128-CBC

¿Apoyan el inicio de sesión único?

Sí. Puedes leer sobre los métodos de SSO que soportamos en este artículo.

¿Tiene copias de seguridad?

Sí, las tenemos. Hacemos instantáneas diarias de nuestra base de datos con un periodo de retención de 35 días.

¿Qué plataformas de software utilizan?

Ubuntu ≥ 18,04
Alpine ≥ 3,12
Apache ≥ 2.4
PHP ≥ 7.4
MariaDB ≥ 10.4

¿Realiza revisiones de código?

Sí, todos los cambios del código requieren una revisión del código. Un cambio no puede entrar en producción sin la aprobación de al menos dos desarrolladores.

¿Qué tipo de soporte tienen?

Puede contactar con nosotros a través de nuestra sitio web. Nuestro departamento de soporte está disponible desde las 08:30 hasta las 23:00 (CET), de lunes a viernes. Nuestros asesores de soporte hablan holandés, inglés, alemán, francés, portugués y español. Proporcionamos soporte a todos los demás idiomas con la ayuda de la traducción automática.

¿Cuánto tiempo se tarda en responder a una solicitud?

Depende del tipo de solicitud, pero normalmente en un plazo de 48 horas. Por término medio, le respondemos en 67 minutos.

¿Realizan pruebas de penetración?

Lo estamos estudiando. Algunos de nuestros clientes realizan sus propias pruebas de penetración en nuestro sistema y comparten sus resultados. No hace falta decir que cualquier problema que surja recibe nuestra atención inmediata.

¿Puedo realizar una prueba de penetración?

Le invitamos a hacerlo, muchos de nuestros otros clientes también lo han hecho. Le pedimos que nos lo comunique por adelantado para que sepamos que puede haber una presión extra en nuestros servidores.

¿Con qué frecuencia actualizan el software?

Continuamente. Trabajamos constantemente en la mejora de la seguridad del software y en nuevas funciones. Siempre que hay una corrección de un error o un problema de seguridad, la implementamos inmediatamente.

¿Cómo prueban su software?

Probamos nuestro software tanto manual como automáticamente. Antes de cada despliegue, nuestro sistema pasa por varias etapas. Una de ellas es la fase de pruebas. Durante esta fase, un sistema automatizado ejecuta miles de pruebas automatizadas, como pruebas unitarias, pruebas funcionales y pruebas de integración. Esto asegura que cualquier cambio que hagamos en nuestro software no rompa otras funcionalidades o medidas de seguridad. Incluso si sólo falla una prueba, la compilación se rechaza y se envía de nuevo a desarrollo para que la corrija.

¿Todos los empleados encargados del tratamiento de los datos se han comprometido a mantenerlos en secreto?

Sí, cada uno de nuestros empleados firma una declaración en la que se compromete a no compartir nunca ninguna información con partes no implicadas.

¿Disponen de algún proceso de endurecimiento?

Sí, los tenemos:

Tenemos instalados todos los parches de seguridad de nuestros sistemas operativos.
Tenemos instalados antivirus y antispyware en todos nuestros sistemas.
Tenemos instalada la protección de puntos finales.
Todas las credenciales de inicio de sesión, tanto en nuestras estaciones de trabajo como en la plataforma, deben ser fuertes. Utilizamos la autenticación de dos factores cuando es necesario.
Bloqueamos todos los ordenadores automáticamente cuando alguien abandona su puesto de trabajo.
Disponemos de un cortafuegos.

¿Cómo se aplica la separación entre la red corporativa con sus credenciales y el entorno de producción?

Las credenciales de la red corporativa son diferentes a las del entorno de producción. No permitimos el acceso al entorno de producción utilizando una forma de SSO desde nuestra red corporativa. Así que el inicio de sesión en el entorno de producción funciona con credenciales diferentes, que sólo están disponibles para los devops y los sysadmins. Los registros de acceso se mantienen.

¿Cómo está organizada la gestión de accesos y claves?

El CTO está a cargo de la gestión de accesos y claves y de la asignación de autorizaciones. Sólo asignamos el acceso si es necesario para el trabajo del empleado.

¿Cumplen con el GDPR?

El GDPR entró en vigor el 25 de mayo, 2018. Nos complace confirmar que Easy LMS es totalmente compatible con el GDPR. Hemos actualizado nuestra Política de privacidad, Los Términos y Condiciones y las operaciones de acuerdo con el GDPR. Si necesita un Acuerdo de Procesamiento de Datos con nosotros, háganoslo saber y le enviaremos un documento digital para que lo firme. Puede encontrar más información sobre el GDPR y lo que implica aquí.

¿Este artículo te resultó útil?
Cancelar
¡Gracias!