SEGURIDAD DE LA PLATAFORMA
La seguridad de tus datos es nuestra prioridad
En Webdox seguimos un conjunto de mejores prácticas y políticas para garantizar la protección y seguridad de los datos.
Con la confianza de las mejores empresas
Cumplimiento asociado a la seguridad de la información
La ISO 27001 proporciona controles para un sistema de gestión integral de Seguridad de la Información (SGSI).
A-LIGN Compliance and Security, Inc. certifica que la organización opera un Sistema de Gestión de Seguridad de la Información que cumple con los requisitos de ISO/IEC 27001:2022.
El sistema de gestión de la seguridad de la información y la privacidad está sujeto a los sistemas y procesos que respaldan la plataforma basada en la nube (CLM) de Webdox Contract Lifecycle Management, incluida su aplicación web, el servicio de firma electrónica y los servicios de atención al cliente.
Cumplimiento asociado a la privacidad de la información
La ISO 27701 es la primera norma global de gestión de la privacidad de la información. Es una extensión de ISO 27001 e incluye requisitos, objetivos y controles específicos relacionados con la implementación de un Sistema de Gestión de la Privacidad de la Información (SGPI), lo que deja a Webdox alineado con Estándares como GDPR o LGPD Sistema de gestión de la información de privacidad - ISO/IEC 27701:2019
A-LIGN Compliance and Security, Inc. certifica que la organización opera un Sistema de gestión de información de privacidad que cumple con los requisitos de ISO/IEC 27701:2019.
El alcance de la certificación incluye el rol de Webdox como controlador y procesador de datos. La declaración de aplicabilidad incluye además objetivos de control del marco ISO 27018:2019. La declaración de aplicabilidad incluye objetivos de control de ISO/IEC 27001:2022 e ISO 27701 :2019 Marco del Anexo A (Controlador) y Anexo B (Procesador).ISO/IEC 27001:2013.
Seguridad aplicada a nuestra infraestructura en Google Cloud Platform
La plataforma de Google es una infraestructura completa que cuenta con varias características y herramientas, para que podamos tener una gestión más eficiente y una seguridad digital completa.
Además de su propio espacio en la nube, Google Cloud Platform posee los más altos niveles de seguridad, con un sistema encriptado que evita la invasión del sistema, el robo de datos y la permanencia de los sistemas.
Arquitectura Robusta
Toda gran solución está respaldada por un gran partner estratégico. Google Cloud Platform, junto con otros partners reconocidos, nos brindan todas las funcionalidades de seguridad que se requieren en el mercado.
- Webdox es Google Cloud Partner, la infraestructura y seguridad son heredadas de servicios Google, con alta disponibilidad en todas sus capas.
- Cloudflare, Gitlab y New Relic son algunos de los servicios que utilizamos para la creación, uso y monitoreo de Webdox.
- Sistemas diseñados para un objetivo de nivel de servicio (SLO) del 99,99% y acuerdos de nivel de servicio (SLA) se adaptan, generalmente al 99,5%.
- Backups se ejecutan cada 24 horas con una retención de 30 días y las réplicas de conmutación por error se activan mejorando la Alta Disponibilidad.
- Disaster Recovery Planning (DRP) con RTO (Recovery Time Objective) de 2 horas por servicio y RPO (Recovery Point Objective) de hasta 24 horas.
- Toda la metadata en reposo es encriptada usando AES 256.
- Toda la metadata en tránsito es encriptada usando TLS 1.2 o 1.3.
- Webdox cuenta con herramientas de monitoreo y generación de alarmas ante eventos anómalos.
Desarrollo Seguro
A nivel aplicativo Webdox cuenta con una serie de características de seguridad que podrás integrar con tu infraestructura tecnológica y si deseas apoyo técnico contamos con un equipo de especialistas que resolverán todas tus consultas. Hoy en día nos basamos en las buenas prácticas entregadas por OWASP (Top Ten) para tratar los riesgos más recurrentes y además trabajamos directamente con hackers éticos para la mejora continua de la aplicación.
- Configuración de parámetros de sesión de usuarios: Tiempo de inactividad, duración de sesión, formato de contraseñas.
- Gestión de acceso perimetral, se configura desde donde se puede acceder y desde donde no, a través de direcciones IP.
- Mecanismos de Single Sign On via SAML V2.
- Integración con LDAP o SAML para la gestión de usuarios.
- Integración de OAUTH a través de API y APP otorgando robustez en las integraciones que se puedan generar.
- Segundo factor de autenticación.
- Los accesos y permisos son controlados por roles asignados a los usuarios.
- Logs de Auditorías con todas las acciones generadas por los usuarios.
- DevSecOps en todo el ciclo de desarrollo.
- Identificación de cada proceso interno (UUID), otorgando un mejor funcionamiento y auditoría de la plataforma.
Monitoreo y Deployment
En Webdox trabajamos arduamente en el descubrimiento de nuevas vulnerabilidades y su tratamiento, es por ello que contamos con el servicio recurrente y especializado de diferentes proveedores de seguridad para ensayos Pentesting y Ethical Hacking, trabajando en conjunto la resolución de los hallazgos evidenciados. Esto nos permite seguir fortaleciendo el servicio a los niveles más exigentes del mercado.
Adicionalmente, nuestro equipo de Tecnología y Seguridad planifica anualmente pruebas de recuperación de respaldos, para garantizar los tiempos de continuidad operativa. Complementándose con los Disaster Recovery Planning (DRP) para cada uno de los sistemas críticos, que junto con las auditorías internas y externas programadas durante el año, alimentan nuestro proceso de mejora continua tanto a nivel de procesos como de producto Webdox.
Preguntas frecuentes Infraestructura y Arquitectura
-
¿Cuáles son los servicios de nube utilizados?
Webdox es un SaaS cuya infraestructura se encuentra alojada en Google Cloud usando servicios como CloudSQL y GKE, de los cuales son heredadas todas características de seguridad. Webdox es una plataforma que resuelve los desafíos asociados al manejo eficiente de los contratos en grandes empresas. Webdox no requiere recursos en la nube por parte del cliente, toda la infraestructura es provista como parte de la solución.
-
¿Cómo son los respaldos de datos en la nube?
El respaldo en la nube es realizado por el subprocesador Google Cloud de acuerdo a nuestras pautas de frecuencia y alcance. Al mismo tiempo, todos los procesos de respaldo cubren los distintos escenarios dispuestos en nuestro plan de recuperación en caso de desastres. Contemplamos un RPO de 24 horas y un RTO de 2 horas por servicio. La información respaldada es completa (no incremental) por lo que no existen dependencias y la factibilidad de recuperación está libre de riesgo.
-
¿El sistema permite escalar de manera automática?
El servicio está diseñado para tener un nivel de servicio de 99.9% lo que incluye la capacidad de escalar automáticamente el servicio sin alterar su calidad. El escalamiento es realizado tanto de forma vertical como de forma horizontal según los umbrales definidos.
-
¿El sistema es escalable según el crecimiento del número de transacciones?
La infraestructura es consciente de los consumos y transacciones realizadas, por lo que es completamente capaz de detectar que alguno de estos excede los límites y escala automáticamente.
-
¿El sistema permite operar en un modelo de alta disponibilidad?
El servicio está diseñado para tener un nivel de servicio de 99.9%. Adicionalmente contempla planes de recuperación ante desastres y planes de continuidad operacional para disponer de alta disponibilidad.
-
¿El sistema permite identificar si las transacciones son normales o anómalas, basado en reglas y parámetros?
Nuestro sistema de monitoreo utiliza inteligencia artificial para detectar situaciones anómalas y ejecutar alertas a los equipos responsables.
-
¿El sistema permite rastrear las actividades realizadas por un usuario?
Webdox mantiene un sistema de auditorías a nivel de software el cual puede ser supervisado por los usuarios administradores de la cuenta o consumidos a través de la API para integraciones con SIEM. Las acciones registradas mantienen su autor, fecha exacta, nombre de acción, etc.
-
¿El sistema permite volver al punto anterior de funcionamiento frente a una falla en el deploy?
El servicio está diseñado en base a versionamiento, por lo cual se puede ir a la versión que sea necesaria.
-
¿El sistema posee un modelo de soporte con escalamientos definidos para resolución?
El procedimiento de soporte dispone de mecanismos de escalamiento, desde un nivel de Atención al Usuario (Nivel 1), Soluciones Operativas (Nivel 2) hasta el nivel del Equipo de Ingeniería (Nivel 3)
-
¿Cómo se asegura la integridad de los datos?
Los servicios provistos por Webdox disponen de mecanismos de fingerprint y se evalúan entre emisor y receptor que la información recibida mantenga el mismo fingerprint, de tal forma se garantiza que la información no ha sido alterada en la comunicación. Adicionalmente, los datos en reposo son cubiertos con distintas capas de seguridad y de cifrado que impide el acceso a los datos y evalúa que la firma sea la correcta.
-
¿La solución soporta integración continua, testing y automatización asociado al proceso de desarrollo?
El proceso de desarrollo contempla etapas de evaluación de códigos tanto en búsqueda de deficiencias técnicas y/o de seguridad. Así mismo, se contemplan evaluaciones del correcto funcionamiento de la funcionalidad, por lo tanto es vital la integración continua y la ejecución de pruebas dado que se generan garantías del software que vaya a ser desplegado a entornos productivos.
-
¿Cómo es el procedimiento de control de cambios?
Se establece política de desarrollo seguro que contempla gestión de cambios y se considera el ciclo de integración continua. Desde la generación de solicitud de revisión de código, análisis de seguridad hasta la puesta en producción.
-
¿Cuál es su política de actualizaciones de mantenimiento (corrección de bugs, service packs, etc.)?
El equipo de tecnología gestiona cambios por actualizaciones de acuerdo a hardening y la criticidad. Mientras criticidad sea mayor, mayor urgencia tendrá el cambio.
Preguntas frecuentes de Seguridad
-
¿Cómo es la autenticación de API?
Webdox implementa autenticación por Token a través de Oauth2 con expiración de tiempo. Las políticas determinan límites y monitores para detección de situaciones anómalas.
-
¿Cómo son los token de autenticación?
Los token de acceso son de alta complejidad y son gestionados con expiración y uso de fingerprints asociados a los usuarios. Al mismo tiempo, los token no almacenan información sensible.
-
¿Cómo se limitan peticiones (Throttling) para prevenir ataques DDoS y de fuerza bruta?
Webdox dispone de mecanismos cloud que evalúan intentos de accesos anómalos y los gestiona de acuerdo a su clasificación. Los excesos de peticiones son bloqueados por el WAF a través de Cloudflare y se genera auditoría con los puntos de conexión para la correspondiente comunicación con las autoridades en caso de que corresponda.
-
¿Se audita tu diseño e implementación con tests unitarios/integración, test coverage y pruebas funcionales?
El proceso de desarrollo contempla revisión de código entre pares del equipo y por analizadores estáticos de código. Se evalúan desde las pautas de desarrollo seguro hasta el cumplimiento de mejores prácticas de desarrollo de software. Adicionalmente, se analiza el código en búsqueda de vulnerabilidades. Si el cambio cumple con todo lo anterior, inicia el proceso de aprobación e integración continua, donde se generan las imágenes correspondientes y se evalúa el cumplimiento del set de tests y de scanner de seguridad. Cuando el proceso de CI culmina, se genera una solicitud de promoción de release, en la que el Área de Calidad, da su ok y aprueban el despliegue. El sistema CI & CD facilita la opción de rollback a un estado anterior y seguro.
-
¿Cómo se gestiona el uso de controles criptográficos?
Nuestra Política de controles criptográficos cubre la protección de la información, contemplando controles criptográficos, gestión de llaves, cifrado, etc.
-
¿Cómo se gestionan las claves en términos de cifrado y encriptación?
Especificado en nuestra política de controles criptográficos en la sección de KMS. La gestión de las llaves de cifrado debe utilizar software de gestión de llaves de cifrado (KMS) que gestione el control de acceso de forma automática, que tenga almacenamiento seguro y que tenga backup y rotación de llaves.
-
¿Cómo son los tipos de cifrado para conexiones externas?
Al ser Webdox un SaaS, las conexiones tanto internas como externas son encriptadas con SSL a través de TLS 1.2 y sus versiones superiores. La seguridad es una prioridad principal para Webdox. Invertimos recursos y trabajamos para ofrecer una conexión HTTPS moderna de forma predeterminada en nuestros sitios web, servicios y productos.
-
Cifrado de la información
- Los datos del cliente se cifran en reposo mediante AES 256.
- Claves de encriptación personalizadas para documentos cuando se usa un depósito de Google Cloud Storage.
- Todos los datos en tránsito utilizan TLS 1.2 o superior si el cliente lo admite.
- Los correos electrónicos usan TLS cuando están habilitados. DKIM, SPF y DMARC están habilitados de forma predeterminada.
- La firma electrónica utiliza más capas de cifrado, incluido el cifrado de sobres y el uso de HSM FIPS 140 Nivel-3. Las claves se rotan periódicamente cada 30 y 90 días.
-
Privacidad de la Información
- Los datos del cliente siguen la política de cifrado de datos y están clasificados como RESTRINGIDOS, siendo el nivel de seguridad más alto de nuestra política de seguridad.
- Los servidores de aplicaciones pueden acceder a los datos del cliente solo si los tickets de usuario autorizados son válidos.
- Los empleados de Webdox no pueden acceder a los datos del cliente.
- La autorización explícita del cliente permite un acceso limitado a los agentes de soporte.
-
Disponibilidad de la Información
- Los datos del cliente se dividen en dos sistemas independientes: documentos y metadatos.
- Diseño del sistema para un objetivo de nivel de servicio (SLO) del 99,99%.
- Los acuerdos de nivel de servicio (SLA) se adaptan. Generalmente 99,5%.
- Las copias de seguridad completas se ejecutan cada 24 horas y las réplicas de conmutación por error están en espera.
- RTO de 2 horas por servicio y RPO de 24 horas.
- Ejercicios de DRP y Recuperación de Data se realizan 2 veces al año.
