loader

Seguridad de la contraseña

  • Las contraseñas de los usuarios están protegidas con una encriptación de industria estándar como bcrypt
  • El personal de DajoSoft no tiene acceso a tu contraseña y no puede recuperarla por ti, la única opción que tienes en caso de perderla es reestablecerla.
  • Las credenciales de inicio de sesión siempre se transmiten de manera segura a través de HTTPS.
  • Políticas de contraseña: los administradores de la base de datos cuentan con una configuración integrada para fomentar que el usuario usa una contraseña con una longitud mínima. Otras políticas de contraseña como las clases requeridas de caracteres no son compatibles de manera predeterminada porque se ha demostrado que son contraproducentes. Ver ejemplo. [Shay et al. 2016]), así como NIST SP 800-63b.

Seguridad de la base de datos

  • La información de los clientes es almacenada en una base de datos exclusiva – no utilizamos bases de datos compartidas entre clientes.
  • Las reglas de control de acceso a los datos implementan un aislamiento completo entre las bases de datos de los clientes que se ejecutan en el mismo grupo, el acceso de una base de datos a otra no es posible.

Copias de seguridad / Recuperación de desastres

  • Contamos con respaldos completos para cada base de datos de DajoSoft hasta un máximo de 2 meses: cada dia. 
  • Las copias de seguridad se replican en al menos dos centros de datos diferentes, en al menos dos continentes distintos.
  • Las ubicaciones reales de nuestros centros de datos están especificados en nuestro Política de Privacidad.
  • También puedes descargar respaldos manuales de tus datos en tiempo real en cualquier momento en el modulo de respaldos dentro de su entorno de software.
  • Puedes contactar a nuestro Servicio de Asistencia para restaurar cualquiera de esos respaldos de tus bases de datos en tiempo real (o las alternas).

Acceso del personal

  • El personal de servicio de asistencia de DajoSoft puede iniciar sesión en tu cuenta para acceder a los ajustes relacionados con tu problema. Para hacer esto, utilizan sus credenciales y no tu contraseña (pues no tienen manera de saberla).
  • Este acceso especial para el personal mejora la eficiencia y seguridad: pueden reproducir de manera inmediata el problema que estás viendo. ¡Nunca tendrás que compartir tu contraseña y podemos auditar y controlar las acciones del personal por separado!
  • Nuestro personal del servicio de asistencia se esfuerza por respetar tu privacidad tanto como es posible, solo accede a los archivos y ajustes necesarios para diagnosticar y resolver tu problema.

Sistema de Seguridad

  • Todos los servidores de la nube de DajoSoft ejecutan distribuciones mejoradas de Linux con parches de seguridad actualizados.
  • Las instalaciones son específicas y mínimas para reducir el número de servicios que podrían contener vulnerabilidades (por ejemplo, sin stack PHP/MySQL).
  • Solo pocos ingenieros de confianza de DajoSoft tienen autorización para administrar de forma remota los servidores. Además, el acceso es posible solo mediante un par de claves SSH personales cifradas, desde una computadora con cifrado de disco completo.

Seguridad física

Los servidores donde esta alojado DajoSoft están alojados en centros de procesamiento de datos confiables en varias regiones del mundo (por ejemplo: OVH,  AWS) y todos deben superar nuestros criterios de seguridad física:

  • Perímetro restringido, con acceso físico solo para los empleados autorizados del centro de datos.
  • Control de acceso físico con gafetes de seguridad o seguridad biométrica.
  • Cámaras de seguridad monitoreando las ubicaciones de los centros de datos 24/7.
  • Personal de seguridad en el sitio 24/7.

Seguridad en pagos con tarjeta de crédito

  • Nunca guardamos información de las tarjetas de crédito en nuestro sistema.
  • La información de tu tarjeta de crédito siempre se transmite de manera segura y directa entre tu y nuestro en cumplimiento con el PCI métodos de pago (vea la lista en nuestra Política de Privacidad página).

Encriptación de datos

La información de los clientes siempre es transferida y almacenada de manera encriptada (encriptación en tránsito y en reposo).

  • Todas las comunicaciones de datos a las instancias del cliente están protegidas con el cifrado SSL de 256 bits (HTTPS) más avanzado.
  • Todas las comunicaciones internas de datos entre nuestros servidores también están protegidas con cifrado de última generación (SSH).
  • Mantenemos nuestros servidores bajo una estricta observación de seguridad y siempre reciben parches contra las últimas vulnerabilidades SSL.
  • Todos nuestros certificados SSL utilizan módulos robustos de 2048 bits con cadenas completas de certificados SHA-2.

Defensa de la red

  • Todos los proveedores de centros de datos utilizados por DajoSoft tienen una gran capacidad de red y su infraestructura está diseñada para hacer frente a los peores ataques de denegación de servicio (DDOS, por sus siglas en inglés). Sus sistemas de atenuación automáticos y manuales pueden detectar y desviar el tráfico de ataque en el borde de sus redes multicontinentales, antes de que tenga la oportunidad de interrumpir la disponibilidad del servicio.
  • Los firewalls y sistemas de prevención de intrusiones en los servidores de DajoSoft ayudan a detectar y bloquear amenazas como ataques de fuerza bruta para descrifrar contraseñas.

Diseño inherentemente seguro

DajoSoft está diseñado de manera que impide que se inserten las vulnerabilidades de seguridad más comunes:

  • La inyección de SQL se previene gracias al uso de una API de mayor nivel que no requiere de consultas SQL manuales.
  • Los ataques XSS se previenen al utilizar un sistema de plantillas web de alto nivel que automáticamente evita datos inyectados.
  • La infraestructura previene el acceso de RPC a metodos privados, haciendo mas difícil la introducción de vulnerabilidades explotables.

Pruebas de seguridad independientes

DajoSoft recibe auditorías de forma regular por parte de las empresas independientes que nuestros clientes y prospectos contratan, así como también pruebas de penetración. El equipo de seguridad de DajoSoft recibe los resultados e implementa las medidas correctivas apropiadas cuando es necesario.

Sin embargo, no podemos divulgar esos resultados ya que son confidenciales y le pertenecen a los comisionados. No preguntes.

Informe de vulnerabilidades informáticas

Para reportar una vulnerabilidad informática consulte nuestra página sobre la divulgación responsable. Los informes de vulnerabilidades son la prioridad del equipo de seguridad de DajoSoft, quienes de inmediato evaluarán y solucionarán el problema con ayuda de la persona que lo reportó. Después se divulgará el problema con los usuarios y clientes de Odoo de manera responsable.