Este artículo también está disponible en:
Este artículo describe algunas de las técnicas y procedimientos que tenemos en marcha.

En Easy LMS, la seguridad de sus datos es nuestra principal prioridad. Constantemente tratamos de romper nuestros propios sistemas de seguridad para identificar los puntos débiles.

Arquitectura de software

Easy LMS está construido sobre nuestro propio Sistema de Gestión de Contenidos (CMS). Este sistema está desarrollado sobre el marco PHP de código abierto Yii. Yii utiliza una arquitectura basada en el modelo de vista-controlador (MVC) que permite un código estructurado, limpio y mantenible. Yii se considera sólido, rápido y seguro.



Yii Framework

Utilizamos muchas de las características de seguridad incorporadas de Yii, como la encriptación de datos, la prevención de XSS y la desinfección de datos. Los datos introducidos por el usuario siempre son validados en el servidor, incluso si también se utiliza la validación del lado del cliente.

Autenticación

Autorización de la función

Tenemos varios tipos de usuarios que pueden acceder al sistema, como se puede ver en el diagrama siguiente. Por nivel de seguridad, cada función tiene acceso a partes extras del sistema y a los datos. Desde el nivel de soporte y en adelante, usamos un tipo de acceso que difiere del acceso de un cliente como una capa de seguridad adicional.



Preguntas frecuentes

A continuación hay una lista de preguntas de seguridad que a menudo recibimos.

¿Dónde están ubicados sus servidores? ##

Easy LMS funciona en una nube de servicios web de Amazon, o AWS para abreviar. Los servidores y las bases de datos están físicamente ubicados en Frankfurt, Alemania. Sus datos están protegidos por el Escudo de Privacidad. Lea más sobre Alojamiento de Amazon, privacidad y normas de la UE aquí. Si tiene una cuenta de búho de la empresa y desea poder almacenar datos en una ubicación diferente, contáctenos para obtener más información.

¿Cómo proteges mis datos?

Protegemos sus datos de varias maneras:

Los datos personales que pedimos se almacenan en la base de datos utilizando una encriptación. Esto significa que incluso si la base de datos está comprometida, un atacante no podría leer los datos sin la clave para desencriptarlos.
Las contraseñas se almacenan utilizando un algoritmo hashing de alta seguridad. A diferencia de otros datos, es imposible recuperar la contraseña original de su hash.
Las contraseñas nunca se envían a nadie de ninguna manera.
Toda la comunicación entre el cliente (usted) y el servidor se realiza a través de una conexión encriptada.

¿Quién tiene acceso a mis datos?

Lo haces, en todo momento. Podemos acceder a algunos de sus datos, por ejemplo, para fines de apoyo y facturas. Nunca compartimos sus datos sin su consentimiento.

¿Quién tiene acceso a la base de datos?

Nuestra base de datos es accesible sólo para usuarios autorizados. Esta autorización es manejada por un sistema separado, por lo que ninguna cuenta de Easy LMS tiene acceso directo a la base de datos. Este sistema es accesible sólo desde nuestra propia red interna.

¿Procesa y almacena datos personales? ##

Sólo pedimos los datos que necesitamos, por ejemplo para la facturación. Almacenamos estos datos encriptados en nuestra base de datos.

¿Tiene un procedimiento en caso de una fuga de datos? ##

Sí. Si se detecta una fuga de datos, tomaremos medidas de inmediato para reparar primero la fuga y desactivar el acceso externo. Informaremos a las partes interesadas dentro de las 48 horas de detectarse una fuga de datos.

¿Qué tipo de encriptación usas? ##

La comunicación se realiza a través de https (SSL, TLS 1.2)
Las contraseñas se almacenan usando bcrypt-hashing.
Los datos personales se almacenan utilizando el cifrado CBC o ECB (dependiendo del tipo y el uso)

¿Cómo usamos la encriptación para los datos sensibles?

Las contraseñas son obtenidas por medio de los peces globo
Las direcciones de correo electrónico están encriptadas a través de aes-128-ecb
Otra información personal es encriptada a través de aes-128-cbc

¿Apoya usted el Single sign-on? ##

Sí, apoyamos los siguientes métodos de SSO:

Azure AD
CAS
OKTA
AFAS en vivo
OAuth
SAML

¿Tiene copias de seguridad?

Sí que lo hacemos. Hacemos instantáneas diarias de nuestra base de datos con un período de retención de 35 días.

¿Qué plataformas de software utiliza?

Debian ≥ Jessie
Apache ≥ 2.4
PHP ≥ 7.2
MariaDB ≥ 10.2

¿Realiza revisiones de código?

Sí, todos los cambios del código requieren una revisión del código. Un cambio no puede entrar en producción sin la aprobación de al menos dos desarrolladores.

¿Qué tipo de apoyo tienes? ##

Puede contactarnos a través de nuestro sitio web. Nuestro departamento de apoyo está disponible desde las 09:30 am hasta las 11:00 pm (CET). Nuestros consultores de apoyo hablan holandés, inglés, francés, portugués y español. Proporcionamos apoyo a todos los demás idiomas con la ayuda de la traducción automática.

¿Cuánto tiempo se tarda en responder a una solicitud? ##

Esto depende del tipo de solicitud, pero normalmente en un plazo de 48 horas. En promedio le respondemos en 67 minutos.

¿Realiza pruebas de penetración? ##

Estamos investigando esto. Algunos de nuestros clientes realizan sus propias pruebas con bolígrafo en nuestro sistema y comparten sus resultados. No hace falta decir que cualquier problema que surja recibe nuestra atención inmediata.

¿Puedo hacer una prueba de penetración?

Le invitamos a hacerlo, muchos de nuestros otros clientes también lo han hecho. Le pedimos que nos lo haga saber por adelantado para que sepamos que puede haber alguna presión extra en nuestros servidores.

¿Con qué frecuencia actualizas el software? ##

Continuamente. Trabajamos constantemente en mejoras de la seguridad del software y nuevas características. Siempre que hay una solución para un error o un problema de seguridad, la implementamos inmediatamente.

¿Cómo pruebas tu software?

Probamos nuestro software tanto manual como automáticamente. Antes de cada despliegue nuestro sistema pasa por varias etapas. Una de las cuales es la fase de prueba. Durante esta fase un sistema automatizado ejecuta miles de pruebas automatizadas, como pruebas de unidad y pruebas funcionales. Esto asegura que cualquier cambio que hagamos en nuestro software no rompa otras medidas de funcionalidad o seguridad. Incluso si sólo una prueba falla, la construcción es rechazada y enviada de vuelta al desarrollo para ser corregida.

¿Utilizas Adobe Flash?

No, no lo hacemos, ni lo haremos nunca.

¿Todos los empleados encargados del procesamiento de datos se han comprometido a mantener el secreto de los datos?

Sí, cada uno de nuestros empleados firma una declaración de que nunca compartirá ninguna información con partes que no estén involucradas.

¿Tiene algún proceso de endurecimiento en su lugar? ##

Sí, lo hacemos:

Todos los parches de seguridad de nuestros sistemas operativos están instalados.
Tenemos antivirus y antispyware instalados en todos nuestros sistemas.
Tenemos protección de punto final en su lugar.
Todas las credenciales de acceso, tanto en nuestras estaciones de trabajo como en la plataforma, deben ser fuertes. Usamos autenticación de dos factores cuando es apropiado.
Bloqueamos todos los PCs automáticamente cuando alguien deja su estación de trabajo.
Tenemos un cortafuegos.

¿Cómo se hace la separación entre la red corporativa con sus credenciales y el entorno de producción? ##

Las credenciales de la red corporativa son diferentes a las del entorno de producción. No permitimos el acceso al entorno de producción usando una forma de SSO de nuestra red corporativa. Así que entrar en el entorno de producción funciona con diferentes credenciales, que sólo están disponibles para los desarrolladores y administradores de sistemas.

¿Cómo está organizado el acceso y la administración de las llaves? ##

El CTO se encarga de la gestión del acceso y de las claves, así como de la asignación de autorizaciones. Sólo asignamos acceso si es necesario para el trabajo del empleado.

¿Está usted conforme con el GDPR?

El GDPR entró en vigor el 25 de mayo de 2018. Nos complace confirmar que Easy LMS cumple con la normativa GDPR. Hemos actualizado nuestra Política de Privacidad, Términos y Condiciones y operaciones de acuerdo a la GDPR. Si necesita un Acuerdo de Procesador con nosotros, háganoslo saber y le enviaremos un documento digital para que lo firme. Puede encontrar más información sobre la GDPR y lo que implica aquí.

¿Este artículo te resultó útil?
Cancelar
¡Gracias!