Este artículo describe algunas de las técnicas y procedimientos que aplicamos.
En Easy LMS, la seguridad de sus datos es nuestra máxima prioridad. Intentamos constantemente romper nuestros propios sistemas de seguridad para identificar los puntos débiles.
Arquitectura del software
Easy LMS está construido sobre nuestro propio Sistema de Gestión de Contenidos (CMS). Este sistema está desarrollado sobre el framework PHP de código abierto Yii. Yii utiliza una arquitectura basada en modelo-vista-controlador (MVC) que permite un código estructurado, limpio y fácil de mantener. Yii se considera sólido, rápido y seguro.
Framework Yii
Utilizamos muchas de las características de seguridad integradas en Yii, como el cifrado de datos, la prevención de XSS y la limpieza de datos. Los datos de entrada del usuario siempre se validan en el servidor, incluso si también se utiliza la validación del lado del cliente.
Autenticación
Autorización de roles
Tenemos varios tipos de usuarios que pueden acceder al sistema, como puede verse en el diagrama siguiente. Por nivel de seguridad, cada rol tiene acceso a partes extra del sistema y datos. A partir del nivel de soporte utilizamos un tipo de login que difiere del login de cliente como capa de seguridad extra.
Preguntas más frecuentes
A continuación encontrará una lista de preguntas sobre seguridad que nos hacen a menudo.
¿Dónde están ubicados sus servidores?
Easy LMS se ejecuta en una nube de Amazon Web Services, o AWS para abreviar. Los servidores y las bases de datos están ubicados físicamente en Frankfurt, Alemania.
¿Cómo protegen mis datos?
Protegemos sus datos de varias maneras:
Todos los datos se almacenan en una base de datos totalmente encriptada. Esto significa que los datos de la base sólo pueden recuperarse de determinadas maneras.
Los datos personales que solicitamos se almacenan en la base de datos utilizando una capa adicional de encriptación. Esto significa que incluso si la base de datos se ve comprometida, un atacante no podría leer los datos sin la clave para descifrarlos.
Las contraseñas se almacenan mediante un algoritmo hash de alta seguridad. A diferencia de otros datos, es imposible recuperar la contraseña original a partir de su hash.
Las contraseñas nunca se envían a nadie de ninguna manera.
Toda la comunicación entre el cliente (usted) y el servidor se realiza a través de una conexión cifrada.
¿Quién tiene acceso a mis datos?
Usted, en todo momento. Nosotros podemos acceder a algunos de sus datos, por ejemplo, con fines de asistencia y facturación. Nunca compartimos sus datos sin su consentimiento.
¿Quién tiene acceso a la base de datos?
Sólo los usuarios autorizados pueden acceder a nuestra base de datos. Esta autorización se gestiona mediante un sistema independiente, por lo que ninguna cuenta de Easy LMS tiene acceso directo a la base de datos. Este sistema sólo es accesible desde nuestra propia red interna.
¿Procesan y almacenan datos personales?
Sólo pedimos los datos que necesitamos, por ejemplo, para la facturación. Almacenamos estos datos encriptados en nuestra base de datos.
¿Tienen algún procedimiento en caso de fuga de datos?
Sí. Si se detecta una filtración de datos, actuaremos inmediatamente para reparar primero la filtración y desactivar el acceso externo. Informaremos a las partes interesadas en las 48 horas siguientes a la detección de una fuga de datos.
¿Qué tipo de cifrado utilizan?
La comunicación se realiza a través de HTTPS (TLS 1.2).
Todos los datos se cifran mediante AES-256.
Las contraseñas se almacenan mediante bcrypt-hashing.
Los datos personales se almacenan mediante cifrado CBC o ECB (según el tipo y el uso).
¿Son compatibles con el inicio de sesión único (SSO)?
Sí. Puede consultar los métodos SSO que admitimos.
¿Tienen copias de seguridad?
Sí, las tenemos. Hacemos instantáneas diarias de la base de datos con un periodo de conservación de 35 días.
¿Qué tipo de soporte tienen?
Puede ponerse en contacto con nosotros a través de nuestro sitio web. Nuestro departamento de soporte está disponible de 08:30 a 16:30 (CET), de lunes a viernes. Nuestros asesores hablan neerlandés, inglés, alemán y polaco. En todos los demás idiomas ofrecemos asistencia mediante traducción automática.
¿Cuánto se tarda en responder a una solicitud?
Depende del tipo de solicitud, pero normalmente en 24 horas.
¿Realizan pruebas de penetración?
Estamos estudiando esta posibilidad. Algunos de nuestros clientes realizan sus propias pruebas de penetración en nuestro sistema y comparten sus resultados. Huelga decir que cualquier problema que surja recibe nuestra atención inmediata.
¿Puedo realizar una prueba de penetración?
Le invitamos a hacerlo, como ya han hecho otros clientes. Le pedimos que nos lo comunique por adelantado para que podamos prever cualquier presión adicional sobre nuestros servidores.
¿Con qué frecuencia actualizan el software?
Continuamente. Trabajamos constantemente para mejorar la seguridad del software y añadir nuevas funciones. Siempre que hay una solución para un error o un problema de seguridad, la aplicamos inmediatamente.
¿Cómo prueban su software?
Probamos nuestro software tanto manual como automáticamente. Antes de cada implantación, nuestro sistema pasa por varias fases. Una de ellas es la fase de pruebas. Durante esta fase, un sistema automatizado ejecuta miles de pruebas automatizadas, como pruebas unitarias, pruebas funcionales y pruebas de integración. Así nos aseguramos de que cualquier cambio que hagamos en nuestro software no rompa otras funciones o medidas de seguridad. Incluso si falla una sola prueba, la compilación se rechaza y se devuelve a desarrollo para que la corrija.
¿Todos los empleados encargados del tratamiento de datos se han comprometido a guardar el secreto de los datos?
Sí, cada uno de nuestros empleados firma una declaración en la que se compromete a no compartir nunca ninguna información con partes no implicadas.
¿Disponen de algún proceso de endurecimiento?
Sí, los tenemos:
Tenemos instalados todos los parches de seguridad de nuestros sistemas operativos.
Tenemos antivirus y antispyware instalados en todos nuestros sistemas.
Disponemos de protección de puntos finales.
Todas las credenciales de inicio de sesión, tanto en nuestras estaciones de trabajo como en la plataforma, deben ser seguras. Utilizamos la autenticación de dos factores cuando es necesario.
Todos los ordenadores se bloquean automáticamente cuando alguien abandona su puesto de trabajo.
Disponemos de un cortafuegos.
¿Cómo se aplica la separación entre las credenciales de la red corporativa y el entorno de producción?
Las credenciales de la red corporativa difieren de las del entorno de producción, lo que añade una capa adicional de seguridad. Las credenciales del entorno de producción sólo están disponibles para DevOps y SysAdmins. Se mantienen registros de acceso.
¿Cómo está organizada la gestión de accesos y claves?
Cada sistema tiene un propietario que es responsable de su acceso y gestión de claves. Solo asignamos acceso si es necesario para el trabajo del empleado, y todas las solicitudes de acceso se registran y supervisan.
¿Cumplen el GDPR?
El GDPR entró en vigor el 25 de mayo de 2018. Nos complace confirmar que Easy LMS cumple totalmente con el GDPR. Hemos actualizado nuestra Política de Privacidad, Términos y Condiciones, y operaciones de acuerdo con el GDPR. Nuestro Acuerdo de Procesamiento de Datos está disponible en nuestro sitio web y forma parte de nuestros Términos y Condiciones. Más información sobre el GDPR y lo que implica.
¿Tienen la certificación ISO 27001?
Sí. Contamos con la certificación ISO 27001. Esto significa que disponemos de un sistema de gestión de la seguridad de la información (SGSI) que cumple las normas internacionales para garantizar que sus datos están seguros bajo nuestro cuidado. También nos ayuda a mejorar continuamente nuestra seguridad y la forma en que gestionamos posibles incidentes.
¿Proporcionan autenticación de dos factores para los administradores?
Sí. Cualquier administrador puede configurar la autenticación de doble factor (2FA) en su perfil. Cada administrador debe configurar 2FA por sí mismo. Esta función no puede ser aplicada por un administrador global o el propietario de la cuenta. Más información sobre la configuración de 2FA.