Seguridad de la información
Desarrollo seguro de software y servicios informáticos
Con BCS, obtendrá un sistema ERP y de gestión de proyectos seguro, desarrollado en Alemania según los más altos estándares. Por eso damos gran importancia a una gestión integral de la seguridad de la información. Gracias a la certificación ISO/IEC 27001, las actualizaciones de seguridad periódicas y las medidas integrales para el alojamiento, el desarrollo de software, las interfaces, el portal de soporte y la aplicación BCS, BCS garantiza la máxima confidencialidad, integridad y disponibilidad de sus datos, tanto en la nube (SaaS) como en las instalaciones. Aquí puede descubrir las medidas que hemos implementado para ofrecerle servicios de alojamiento seguros y un producto seguro con BCS.
Calidad certificada por el TÜV - producto seguro BCS
Projektron GmbH concede gran importancia a la seguridad de la información y, por ello, ha implantado un amplio sistema de gestión de la seguridad de la información (SGSI). Con la introducción de este sistema, hemos anclado la seguridad de la información en la organización de la empresa y establecido procesos centrales como la gestión de riesgos. Nuestros objetivos generales son siempre los siguientes:
| Confidencialidad | Integridad | Disponibilidad |
Un elemento central de nuestra gestión de calidad y seguridad de la información es la certificación ISO 27001 de TÜV Rheinland. Esta certificación confirma que nuestros procesos, sistemas y controles cumplen los estrictos requisitos de la norma ISO 27001. Nuestra certificación ISO/IEC 27001:2022 A1 cubre el funcionamiento de los servicios dedesarrollo y TI, así como nuestro soporte y administración de TI. Nuestro SGSI se revisa y adapta periódicamente para responder a las nuevas amenazas y retos. Esto garantiza que nuestras medidas de seguridad estén siempre actualizadas y que sus datos estén continuamente protegidos.
Desarrollo de productos
Desarrollo de software seguro - software seguro: La seguridad de la información en el proceso de desarrollo es fundamental para ofrecer con BCS un producto de software que proporcione una base segura para sus requisitos empresariales y garantice la confidencialidad, integridad y disponibilidad de su información.
Nuestras medidas para un desarrollo de software seguro
Control de acceso y autenticación | |
|---|---|
Modelo de roles y permisosUn modelo de roles y permisos personalizable según los requisitos del cliente proporciona la base para restringir el acceso a datos o información únicamente a las personas autorizadas. |
Single Sign-OnBCS admite la autenticación mediante SAML, Active Directory (LDAP/KERBEROS) u OAuth 2.0 con OpenID Connect. |
Políticas de contraseñasBCS admite políticas de contraseñas relativas a la complejidad de las contraseñas y la frecuencia de cambio. |
Autenticación de dos factoresEl inicio de sesión puede protegerse adicionalmente mediante un segundo factor generado según el método TOTP. |
PasskeysBCS admite passkeys, un método de autenticación sin contraseña que sustituye las contraseñas mediante un procedimiento asimétrico, mejorando así la facilidad de uso y mitigando vulnerabilidades como el phishing, el robo de contraseñas y las contraseñas débiles. | |
Seguridad de los datos y mecanismos de protección | |
Conexiones cifradasPara una transmisión segura de datos entre BCS y los usuarios o sistemas externos, es posible utilizar comunicación cifrada (HTTPS, IMAPS, SMTPS). |
Bóveda de contraseñasLas contraseñas necesarias para sistemas de terceros pueden almacenarse de forma criptográficamente segura en una bóveda de contraseñas. |
Contraseñas segurasEn BCS, las contraseñas se protegen mediante el algoritmo PBKDF2, así como mediante salt y pepper. |
Ataques de fuerza brutaLas cuentas de usuario están protegidas mediante tiempos de espera o bloqueo de la cuenta tras varios intentos fallidos de inicio de sesión. El acceso a cuentas individuales puede restringirse a direcciones IP y rangos de direcciones IP específicos. |
Pruebas y verificación | |
Escaneo de vulnerabilidadesEl software se escanea periódicamente para detectar vulnerabilidades de seguridad conocidas. |
Pruebas de penetraciónSe realizan pruebas de penetración periódicamente en colaboración con nuestros clientes. Los resultados de estas pruebas se incorporan continuamente al desarrollo y la protección de BCS. |
Pruebas automatizadasBCS se prueba tanto en términos de funcionalidad como de facilidad de uso. Los patrones de ataque habituales pueden verificarse de forma automatizada. Las pruebas automatizadas se integran en el pipeline de integración continua (CI) para garantizar que cada cambio en el código se pruebe de inmediato. |
Pruebas de integraciónRealizamos pruebas de integración para garantizar que los distintos componentes del software funcionen juntos de forma segura y que no se introduzcan nuevas vulnerabilidades de seguridad. |
Pruebas unitariasPara cada historia de usuario, desarrollamos pruebas unitarias con el fin de verificar la funcionalidad correcta y la seguridad a nivel de código. |
Informes de cobertura de pruebasCreamos informes de cobertura de pruebas que muestran la cobertura de las historias de usuario mediante las pruebas y garantizan que no queden sin probar áreas críticas para la seguridad. |
Pruebas de extremo a extremoCreamos pruebas de extremo a extremo que cubren toda la historia de usuario y garantizan que la aplicación funcione como se espera y sea segura. | |
Medidas internas de seguridad | |
Definición de requisitos de seguridadLos objetivos y requisitos de seguridad se definen claramente al inicio del proyecto. |
Planificación de seguridadSeguimos un plan de seguridad detallado que describe las medidas y los procedimientos de seguridad. |
Equipo de expertos en desarrollo de productoUn equipo especializado aborda de forma continua temas actuales de seguridad informática e implementa las medidas de seguridad más recientes en BCS. Esto garantiza que nuestro software cumpla siempre con los más altos estándares de seguridad. |
Política interna de “Desarrollo seguro de software”La política interna tiene como objetivo minimizar las deficiencias de seguridad y las vulnerabilidades en el desarrollo de BCS y responder a ellas de forma adecuada. Esto se realiza teniendo en cuenta el SANS Top 25, que enumera las 25 vulnerabilidades de software más peligrosas y relevantes, así como el OWASP Top 10, que describe las diez vulnerabilidades más extendidas e importantes para aplicaciones web. |
Formación de empleadosNuestros desarrolladores reciben formación periódica y son sensibilizados sobre aspectos de seguridad y buenas prácticas. |
Programas de concienciaciónLlevamos a cabo programas para fomentar la concienciación sobre seguridad en todo el equipo de desarrollo. |
Documentación de seguridadTodos los requisitos, medidas y pruebas de seguridad se documentan en detalle. |
InformesSe proporciona periódicamente información a las partes interesadas relevantes sobre el estado de la seguridad y los incidentes ocurridos. |
Programación segura y directrices de desarrollo | |
Estándares y directrices de codificaciónCumplimos con estándares y directrices de codificación probados para evitar vulnerabilidades de seguridad. |
Revisiones de código y revisiones por paresEl código es revisado periódicamente por colegas para identificar posibles problemas de seguridad de forma temprana. |
Análisis estático de códigoSe utilizan herramientas de análisis estático de código para detectar vulnerabilidades en el código fuente. |
Evaluación de riesgosDurante todo el proceso de desarrollo se identifican y evalúan posibles riesgos de seguridad. |
Gestión de vulnerabilidadesSe ha implementado un proceso correspondiente para detectar, evaluar y corregir vulnerabilidades de seguridad. | |
Control de versiones y gestión de configuración | |
Control de versionesUtilizamos sistemas de control de versiones, como Git, para hacer seguimiento de los cambios en el código y garantizar la trazabilidad. |
Gestión de configuraciónGarantizamos que todas las configuraciones se gestionen y documenten de forma segura. |
Respuesta a incidentes y planificación de emergencias | |
Planes de emergenciaSe han creado planes de emergencia y se mantienen de forma continua para poder responder de manera rápida y eficaz en caso de un incidente de seguridad. |
Respuesta a incidentesHemos establecido un proceso para responder a incidentes de seguridad, incluido el análisis de causa raíz y la corrección. |
Alojamiento / SAAS
Sabemos que un sistema seguro es importante para usted, especialmente si aloja BCS con nosotros o con nuestro proveedor de servicios.
Nuestras medidas para un alojamiento seguro
Ubicación y disponibilidad | |
|---|---|
Centro de datos en AlemaniaEl centro de datos está ubicado en Alemania y está sujeto a altos niveles de seguridad. Pertenece a la clase Tier IV y cuenta con puntos de presencia ISP redundantes. |
Copia de seguridad y restauraciónEl servicio de hosting ofrece copias de seguridad y, si es necesario, una restauración rápida. |
Certificado ISO 27001Nuestro centro de datos y las áreas de Projektron relevantes para la seguridad están certificados según ISO 27001. El centro de datos también cuenta con otras certificaciones: VdS ISO 9001 NSL e IS, DIN 14675 para sistemas de alarma contra incendios y DIN EN 50518. |
DisponibilidadGarantizamos la disponibilidad acordada, que se supervisa de forma continua. |
ISO/IEC 27017 & ISO/IEC 27018Nuestros servicios en la nube están certificados según ISO/IEC 27017 para la seguridad en la nube e ISO/IEC 27018 para la protección de datos personales en la nube. De este modo, complementamos de forma específica nuestros estándares de seguridad existentes con requisitos propios de los entornos en la nube y reforzamos especialmente la protección de datos, la transparencia y la definición clara de responsabilidades en la operación en la nube. |
Atestación C5Además, nuestro hosting cumple los requisitos del Cloud Computing Compliance Controls Catalogue (C5) de la Oficina Federal Alemana de Seguridad de la Información con una atestación C5 de tipo 1. Esta confirma la adecuación de las medidas de seguridad implementadas en el momento de la auditoría. Actualmente se está planificando una atestación C5 de tipo 2, que además acreditará la eficacia de estas medidas durante un período definido, y se espera que concluya en marzo de 2027. |
Seguridad física y control de acceso | |
Control de accesoSolo las personas autorizadas encargadas de realizar las tareas correspondientes pueden acceder al centro de datos, y únicamente tras registrarse previamente. |
Servicio de vigilanciaEl centro de datos cuenta con personal de seguridad in situ las 24 horas del día, los 7 días de la semana y los 365 días del año. |
Pruebas de seguridad y actualizaciones | |
Actualizaciones automatizadasLas máquinas virtuales y BCS se actualizan automáticamente para que siempre estén en la versión más reciente y segura. |
Ventanas de mantenimientoExisten ventanas de mantenimiento planificadas periódicas para instalar actualizaciones y parches. En caso de una vulnerabilidad de seguridad crítica, se realizan actualizaciones no programadas que se anuncian con dos horas de antelación. |
Prueba de penetraciónNuestro hosting se somete anualmente a una prueba de penetración. | |
Seguridad de datos y de acceso | |
Servidores de bases de datos separadosLos datos de los clientes se almacenan en servidores de bases de datos separados. Esto permite un mejor rendimiento y la configuración de interfaces individuales. |
SSLCon el hosting, accede a BCS mediante una conexión cifrada con certificado SSL. |
Túnel VPNLas máquinas virtuales no son accesibles a través de Internet. Projektron accede a ellas únicamente mediante túneles VPN. |
FirewallUn firewall centralizado con reglas de filtrado estrictas adaptadas individualmente a cada cliente le protege frente a ataques externos. Se puede proporcionar un firewall para aplicaciones web previa solicitud. |
Conexiones seguras mediante HTTPS/SFTP/SSH & SCPPor lo general, accede a su máquina virtual únicamente mediante conexiones seguras, por ejemplo mediante HTTPS/SFTP/SSH, y crea así copias de seguridad o copias de datos, por ejemplo mediante SCP. | |
Servicios adicionales y formación | |
KVDNuestros clientes se conectan automáticamente al Servicio de Versionado de Configuraciones (KVD). Esto significa que sus configuraciones se gestionan dentro de un repositorio SVN. |
FormaciónLos empleados reciben formación adaptada a sus necesidades sobre la seguridad de los servicios de hosting. |
Las empresas del sector de la seguridad informática confían en BCS
Las empresas del sector de la seguridad informática y el software también confían en BCS para gestionar sus proyectos de forma segura, eficiente y transparente.
Nuestras soluciones basadas en la web cumplen con los más altos requisitos de seguridad de la información y protección de datos, un factor decisivo para las organizaciones que trabajan con datos confidenciales.
Portal de soporte y BCS-App
Las siguientes medidas ofrecen una visión general de los ajustes de seguridad y configuración más importantes que hacen que el portal de soporte y la BCS-App sean aún más seguros y eficientes. Descubra cómo puede proteger sus datos de forma óptima y adaptar la plataforma a sus necesidades.
Nuestras medidas de seguridad para el portal de asistencia y la aplicación BCS
Portal de soporte | |
|---|---|
Seguridad del transporteLa seguridad del transporte en el portal de soporte se garantiza mediante el uso opcional, aunque recomendado, de HTTPS. |
Intercambio de mensajes y autenticaciónEl intercambio de mensajes se realiza a través de SOAP, y la autenticación se garantiza mediante el nombre de usuario y la contraseña en el encabezado SOAP. El usuario de sincronización debe estar protegido con una contraseña segura, ya que dispone de permisos amplios. Esta contraseña debe almacenarse en la bóveda de contraseñas. |
Configuración de los atributos que se van a sincronizarLos atributos que se van a sincronizar pueden configurarse, lo que permite excluir los atributos sensibles de la sincronización. |
Restricciones de puertosPueden aplicarse restricciones de puertos para limitar de forma específica el intercambio HTTP entre los sistemas participantes. |
Aplicación BCS | |
Seguridad del transporteLa seguridad del transporte de la aplicación BCS está garantizada, ya que solo puede utilizarse junto con HTTPS. |
Autenticación y gestión de cookiesLa autenticación se realiza mediante nombre de usuario y contraseña, seguida del uso de una cookie de larga duración que se mantiene de forma segura en la memoria y se elimina de la aplicación al cerrar sesión explícitamente. |
Aplicación de permisos durante la sincronizaciónDurante la sincronización desde la aplicación BCS hacia BCS, se aplican los permisos configurados en BCS. | |
Interfaces
Este apartado le ofrece una visión general de los aspectos clave de seguridad al utilizar interfaces en BCS. Independientemente de si integra Microsoft Exchange, Microsoft 365 (Exchange Online) o Jira, aquí aprenderá cómo garantizar la seguridad del transporte y qué métodos de autenticación y autorización se utilizan.
Nuestras interfaces desde el punto de vista de la seguridad
Portal de soporte | |
|---|---|
Seguridad del transporteLa seguridad del transporte en el portal de soporte se garantiza mediante el uso opcional, aunque recomendado, de HTTPS. |
Intercambio de mensajes y autenticaciónEl intercambio de mensajes se realiza a través de SOAP, y la autenticación se garantiza mediante el nombre de usuario y la contraseña en el encabezado SOAP. El usuario de sincronización debe estar protegido con una contraseña segura, ya que dispone de permisos amplios. Esta contraseña debe almacenarse en la bóveda de contraseñas. |
Configuración de los atributos que se van a sincronizarLos atributos que se van a sincronizar pueden configurarse, lo que permite excluir los atributos sensibles de la sincronización. |
Restricciones de puertosPueden aplicarse restricciones de puertos para limitar de forma específica el intercambio HTTP entre los sistemas participantes. |
Aplicación BCS | |
Seguridad del transporteLa seguridad del transporte de la aplicación BCS está garantizada, ya que solo puede utilizarse junto con HTTPS. |
Autenticación y gestión de cookiesLa autenticación se realiza mediante nombre de usuario y contraseña, seguida del uso de una cookie persistente que se mantiene de forma segura en la memoria y se elimina de la aplicación al cerrar sesión explícitamente. |
Aplicación de permisos durante la sincronizaciónDurante la sincronización de la aplicación BCS hacia BCS, se aplican los permisos configurados en BCS. | |

Steffen Späthe
Director técnico | Navimatix GmbH
En Navimatix utilizamos BCS para todos los procesos clave de nuestra empresa: desde la elaboración de presupuestos, pasando por la gestión de proyectos y la gestión de clientes y contactos, hasta la gestión de personal y la gestión de la seguridad de la información. BCS nos proporciona una base fiable para afrontar con eficacia los retos diarios.

Tanja Maier
Controlling, SSC-Services GmbH
«[La gestión de riesgos de Projektron] nos ayuda, entre otras cosas, a cumplir los requisitos de las etiquetas TISAX e ISO. Almacenamos acuerdos como, por ejemplo, acuerdos de nivel de servicio y acuerdos de confidencialidad para los proyectos correspondientes, registramos si en el proyecto se procesan valores de información relevantes y si se ha acordado contractualmente un plazo. Los riesgos y posibles oportunidades son registrados en el proyecto por el gestor del mismo».

Michael Schäfer
Director General, Schutzwerk GmbH
"Queríamos una solución todo en uno que cubriera nuestros elevados requisitos de seguridad y nos ayudara a gestionar nuestros proyectos de auditoría en el ámbito de la ciberseguridad. Además del uso de funciones básicas de gestión de proyectos, especialmente para muchos proyectos pequeños, la gestión de recursos entre proyectos y la automatización desde el registro de servicios hasta la facturación son esenciales para nosotros. Projektron BCS también nos apoya en la ejecución eficiente de nuestros proyectos internos, como las certificaciones."

Carsten Münch
First Business Partner & Team Coordinator Application Management, TÜV Rheinland Service GmbH
"Hemos implantado el inicio de sesión único para que nuestros empleados no tengan que introducir una contraseña y puedan utilizar un procedimiento de inicio de sesión seguro y moderno".

Thomas Hackenbuchner
Director de Finanzas y Administración, MicroNova AG
"BCS respalda la seguridad de la información al ofrecer la posibilidad de asignar atributos adicionales a los proyectos. Por ejemplo, podemos clasificar los proyectos en función de su necesidad de protección o marcar si se trata de un proyecto con protección de prototipos. A partir de estas marcas, podemos derivar e iniciar otros pasos del proceso."

Kevin Botsch
BCS Technical Product Management, Finanz Informatik Solutions Plus Kevin Botsch
"Como proveedor de servicios de consultoría, desarrollo e integración de aplicaciones empresariales en el sector financiero, la seguridad del software y la transparencia de los procesos son importantes para nosotros. Debido a nuestro crecimiento hasta la fecha y al aumento constante del número de usuarios, la facilidad de uso y el manejo intuitivo también se han convertido en factores importantes.Con Projektron BCS, hemos encontrado un sistema que cumple exactamente estos requisitos. Además, BCS también se puede adaptar de forma flexible a nuestras necesidades y nos permite realizar numerosas mejoras en los procesos."
Gestión de calidad y seguridad de la información en Projektron GmbH
Además del desarrollo seguro de software y el alojamiento seguro, los procesos empresariales eficientes son el núcleo de nuestro software de gestión de proyectos y de nuestra empresa. Por ello, hemos implantado un amplio sistema de gestión de la calidad y la seguridad de la información.
Gestión de calidad y seguridad de la información en Projektron GmbH















