Seguridad de la información

Gestión integral de la seguridad y la calidad de la información

La seguridad y la calidad son de vital importancia para Projektron GmbH. Al fin y al cabo, el desarrollo seguro de software y los procesos empresariales eficientes son la base de nuestra solución de gestión de proyectos basada en web y de nuestra empresa. Por eso damos gran importancia a una gestión integral de la seguridad y la calidad de la información. Aquí puede informarse sobre las medidas que hemos implementado para crear un entorno seguro y lo que estamos planeando para el futuro.

Medidas organizativas

Nos esforzamos por alcanzar un alto nivel de seguridad de la información en la empresa. Los objetivos generales de la seguridad de la información se aplican a todas las áreas de la empresa:

 Confidencialidad             Integridad             Disponibilidad

Aplicamos las siguientes medidas organizativas

Control de seguridad

Projektron BCS se somete a comprobaciones periódicas para detectar vulnerabilidades de seguridad según modelos de procedimiento reconocidos, como la guía de pruebas OWASP.
  		 

Projektron BCS

Para implantar el SGSI, se siguió desarrollando en un proyecto el software interno Projektron BCS.

SGSI

Con la introducción de un sistema de gestión de la seguridad de la información (SGSI), la seguridad de la información quedó anclada organizativamente en la empresa y se establecieron importantes procesos de seguridad de la información, como la gestión de riesgos.
  		 

Formación de los empleados

Todos los empleados son sensibilizados y formados en materia de seguridad de la información. Estas sesiones de formación tienen lugar periódicamente como repaso o sobre temas de actualidad, y los nuevos empleados también reciben formación directamente durante su iniciación.

Equipo de expertos

Se creó en la empresa un equipo de expertos en seguridad en el desarrollo para tratar los problemas actuales de seguridad informática.
  		 

Manuales de emergencia

Con el fin de reaccionar rápidamente ante incidentes de seguridad y limitar los daños potenciales, se han desarrollado conceptos de respuesta de emergencia que se recogen en manuales de emergencia.

Formación continua

Los empleados reciben formación en función de sus necesidades para concienciarlos sobre los objetivos y riesgos de la seguridad de la información.
  		 

SGD

Utilizamos un sistema de gestión de la protección de datos (DSMS) de acuerdo con el Reglamento de Protección de Datos de la UE (EU DSGVO).

Responsable y equipo del SGSI

Projektron trabaja activamente en la seguridad de la información y los procesos asociados. Un equipo se encarga del cumplimiento de los objetivos de seguridad de forma continua.
  		 

ISO 27001

Los procesos centrales más importantes, como el desarrollo de productos, la asistencia, los servicios de TI y la administración de TI, han sido certificados conforme a la norma ISO 27001 por TÜV Süd.

Auditorías de sistemas

Evaluación estructurada de la seguridad de todos los servicios de TI mediante auditorías anuales del sistema centradas en la evaluación de riesgos, los derechos de acceso y el cifrado. 		   

  

Desarrollo de productos

Tener en cuenta la seguridad de la información en el proceso de desarrollo de Projektron BCS es fundamental para alcanzar los objetivos de seguridad de la información de Projektron GmbH.

Aplicamos estas medidas de seguridad de la información en el desarrollo de productos

Concepto de funciones y derechos

Un concepto personalizable de roles y derechos proporciona el requisito previo para limitar el acceso a los datos o la información a la persona autorizada.
  		 

Bóveda de contraseñas

Las contraseñas necesarias para sistemas de terceros se pueden guardar de forma criptográfica y segura en un almacén de contraseñas.

Conexiones cifradas

Para la transferencia segura de datos entre Projektron BCS y usuarios o sistemas externos es posible la comunicación cifrada (https, imaps, smtps).
  		 

Inyección SQL, Cross Site Scripting y Cross Site Request Forgery

Projektron BCS está protegido contra estas técnicas de ataque.

Contraseñas seguras

Las contraseñas están aseguradas en Projektron BCS mediante el algoritmo PBKDF2 con Salt and Pepper.
  		 

Directrices para contraseñas

Projektron BCS es compatible con las directivas sobre contraseñas en cuanto a complejidad y frecuencia de cambio.

Inicio de sesión único

Admite la autenticación mediante Active Directory (LDAP/KERBEROS) u OAuth 2.0 con OpenID Connect.
  		 

Ataques de fuerza bruta

Protección de cuentas de usuario mediante la espera de varios intentos de inicio de sesión fallidos. En caso necesario, sólo se puede permitir el acceso a cuentas individuales a determinadas direcciones IP y rangos de IP.

Autenticación de 2 factores

Protección adicional del inicio de sesión mediante un segundo factor generado según el procedimiento TOTP.
  		 

Directriz interna "Desarrollo seguro de software“

El objetivo es minimizar los déficits y vulnerabilidades de seguridad en el desarrollo de Projektron BCS y reaccionar adecuadamente ante dichos déficits y vulnerabilidades, entre otras cosas, mediante el uso de OWASP Top 10 y SANS 25.

Pentests

En colaboración con nuestros clientes, se realizan pentests con regularidad. Los resultados de estas pruebas se incorporan continuamente al desarrollo y la protección de Projektron BCS.
  		 

SANS 25

El SANS 25 enumera las 25 vulnerabilidades más peligrosas (y relevantes) del software. Las consideraciones son, por tanto, más holísticas que la visión específica del OWASP Top 10 sobre las aplicaciones web.

Pruebas automatizadas

Projektron BCS se somete a pruebas tanto funcionales como de usabilidad. Los patrones de ataque habituales se pueden comprobar automáticamente. 		 

Top 10 de OWASP

El Top 10 de OWASP (Open Web Application Security Project) enumera los diez fallos o vulnerabilidades más extendidos e importantes de las aplicaciones web.

   

Alojamiento / SAAS

Sabemos que un sistema seguro es importante para usted, especialmente si aloja Projektron BCS con nosotros o con nuestro proveedor de servicios. Por ello, hemos tomado diversas medidas para que nuestro alojamiento sea aún más seguro.

Estas son las medidas que tomamos para un alojamiento seguro

Pentest

Nuestro alojamiento se somete a un pentest anual.
  		 

SSL

Cuando se aloja, accede a Projektron BCS a través de un acceso cifrado con certificado SSL.

Ventanas de mantenimiento

Existen ventanas de mantenimiento regulares programadas para aplicar actualizaciones y parches. En caso de violación grave de la seguridad, se realizan actualizaciones no programadas con dos horas de antelación.
  		 

Cortafuegos

Un cortafuegos centralizado con estrictas reglas de filtrado individuales para cada cliente le protege de ataques externos. Si lo desea, podemos proporcionarle un cortafuegos para aplicaciones web.

Servidores de bases de datos separados

Los datos de los clientes se almacenan en servidores de bases de datos independientes. Esto permite un mejor rendimiento y la configuración de interfaces individuales.
  		 

Actualizaciones automáticas

Las máquinas virtuales y Projektron BCS se actualizan automáticamente para que siempre esté al día y seguro.

SVC

Nuestros clientes se conectan automáticamente al servicio de versionado de configuraciones (SVC). Esto significa que sus configuraciones se gestionan en un repositorio SVN.
  		 

HTTPS/SFTP/SSH & SCP

Por lo general, sólo puede acceder a su máquina virtual a través de conexiones seguras (mediante HTTPS/SFTP/SSH) y crear así, por ejemplo, copias de seguridad o copias de datos (mediante SCP).

Túnel VPN

Las máquinas virtuales no son accesibles a través de Internet. Projektron sólo accede a ellas a través de túneles VPN.
  		 

Copia de seguridad y restauración

El alojamiento ofrece copias de seguridad y, en caso necesario, una restauración rápida.

Disponibilidad

Garantizamos la disponibilidad acordada, que está permanentemente monitorizada.
  		 

Vigilante de seguridad

El centro de datos está vigilado 24 horas al día, 7 días a la semana, por un guardia de seguridad in situ.

Ubicación en Alemania

El centro de datos se encuentra en Alemania y está sometido a altos niveles de seguridad. Pertenece a la clase Tier IV con ISP POP redundante.
  		 

Control de acceso

Sólo pueden acceder al centro de datos las personas autorizadas encargadas de realizar tareas, previo registro.

Certificado

Nuestro centro de datos y las áreas de Projektron relevantes para la seguridad están certificados según ISO 27001. El centro de datos también cuenta con otros certificados: VdS ISO 9001 NSL e IS, DIN 14675 para BMA y DIN EN 50518. 		   

  

Carsten Münch

First Business Partner & Team Coordinator Application Management, TÜV Rheinland Service GmbH

"Hemos implantado el inicio de sesión único para que nuestros empleados no tengan que introducir una contraseña y puedan utilizar un procedimiento de inicio de sesión seguro y moderno".

Thomas Hackenbuchner

Director de Finanzas y Administración, MicroNova AG

"BCS respalda la seguridad de la información al ofrecer la posibilidad de asignar atributos adicionales a los proyectos. Por ejemplo, podemos clasificar los proyectos en función de su necesidad de protección o marcar si se trata de un proyecto con protección de prototipos. A partir de estas marcas, podemos derivar e iniciar otros pasos del proceso."

Kevin Botsch

BCS Technical Product Management, Finanz Informatik Solutions Plus Kevin Botsch

"Como proveedor de servicios de consultoría, desarrollo e integración de aplicaciones empresariales en el sector financiero, la seguridad del software y la transparencia de los procesos son importantes para nosotros. Debido a nuestro crecimiento hasta la fecha y al aumento constante del número de usuarios, la facilidad de uso y el manejo intuitivo también se han convertido en factores importantes.Con Projektron BCS, hemos encontrado un sistema que cumple exactamente estos requisitos. Además, BCS también se puede adaptar de forma flexible a nuestras necesidades y nos permite realizar numerosas mejoras en los procesos."

 

Soporte

Para el soporte técnico de nuestros clientes, trabajamos con nuestro portal de soporte interno. Al hacerlo, siempre prestamos atención a la calidad y, sobre todo, a la seguridad en el tratamiento de la información.

Nuestras medidas de seguridad en el tratamiento de la información en apoyo

Portal de soporte

El portal de soporte para clientes se utiliza para el intercambio seguro de información y la transferencia de datos. La comunicación tiene lugar a través de tickets con una carpeta para el intercambio de datos.
  		 

SVC

El servicio de versionado de configuraciones (SVC) es un almacén central de configuraciones para clientes y para el propio Projektron. Las configuraciones se gestionan en un repositorio SVN.

Autorización de acceso

Las personas de contacto del cliente tienen acceso personalizado al portal de soporte.
  		 

FAQ

En el portal de soporte proporcionamos regularmente a los clientes información relacionada con la seguridad.

Cifrado

Sólo se puede acceder al portal de asistencia mediante acceso cifrado. 		   

  

Administración de TI

La seguridad de la información también es una preocupación importante para nuestra administración informática interna. Nos guiamos por el estado de la técnica para asegurar los sistemas y seguir asegurándolos.

Nuestras medidas para asegurar nuestros sistemas en la administración informática

Distribución central de software

El software necesario se distribuye de forma centralizada a los ordenadores operativos y se mantiene actualizado.
  		 

Supervisión

Los servicios internos se supervisan para garantizar su disponibilidad y poder reaccionar rápidamente en caso de problemas.

Tecnología de red redundante

La línea de Internet, el cortafuegos y los conmutadores centrales son redundantes.
  		 

Criptografía

Las recomendaciones de las directrices técnicas BSI (BSI TR-02102) se prueban anualmente.

Autoridad de certificación interna

Los servicios internos se cifran mediante una autoridad de certificación independiente.
  		 

SVN

Los servicios internos de versionado están separados temáticamente y el acceso se controla por grupos de personas.

Correo electrónico

El tráfico de correo entrante se supervisa y, en caso de duda, se pone primero en cuarentena.
  		 

VPN

El personal dispone de acceso VPN para el trabajo móvil.

Copias de seguridad y restauración

Los servicios internos se respaldan diariamente y pueden restaurarse rápidamente al estado de la última copia de seguridad. El proceso de restauración se comprueba cada seis meses. 		 

Transferencia cifrada de datos

Si los empleados quieren llevar consigo datos liberados al trabajo móvil, pueden utilizar para ello memorias USB encriptadas con un código numérico.

  

Otras medidas

Por supuesto, no dejamos de trabajar en nosotros mismos y en nuestros procesos y sistemas en este punto. Para estar siempre preparados ante los peligros y requisitos actuales, mantenemos un activo intercambio de experiencias con nuestros clientes. También seguimos ampliando nuestro equipo de expertos y contamos con determinados empleados formados como especialistas en el tema de la seguridad. Otras medidas están actualmente en curso o previstas en un futuro próximo:

Certificado de protección de datos

Con la DSMS queremos obtener un certificado de protección de datos, por un lado para nuestra empresa y por otro para nuestro producto Projektron BCS.
 

ITIL

Ya hemos implantado algunas buenas prácticas de la Biblioteca de Infraestructuras de TI (ITIL) y tenemos previsto integrar más de ellas en nuestra empresa.
 

  

Su contacto

Nuestro centro de asesoramiento

es su contacto para Projektron BCS.

+49 30 3 47 47 64-200
kundenbetreuung(at)projektron.de

Presentación en línea
gratuita

Mostramos Projektron BCS a través de conferencia web.

Inscríbase

Premio a la calidad Berlín-Brandeburgo 2023/2024
Todas las referencias Volver arriba