Seguridad de la información
Gestión integral de la seguridad y la calidad de la información
La seguridad y la calidad son de vital importancia para Projektron GmbH. Al fin y al cabo, el desarrollo seguro de software y los procesos empresariales eficientes son la base de nuestra solución de gestión de proyectos basada en web y de nuestra empresa. Por eso damos gran importancia a una gestión integral de la seguridad y la calidad de la información. Aquí puede informarse sobre las medidas que hemos implementado para crear un entorno seguro y lo que estamos planeando para el futuro.
Medidas organizativas
Nos esforzamos por alcanzar un alto nivel de seguridad de la información en la empresa. Los objetivos generales de la seguridad de la información se aplican a todas las áreas de la empresa:
Confidencialidad Integridad Disponibilidad
Aplicamos las siguientes medidas organizativas
| Control de seguridadProjektron BCS se somete a comprobaciones periódicas para detectar vulnerabilidades de seguridad según modelos de procedimiento reconocidos, como la guía de pruebas OWASP. | | Projektron BCSPara implantar el SGSI, se siguió desarrollando en un proyecto el software interno Projektron BCS. | |
| SGSICon la introducción de un sistema de gestión de la seguridad de la información (SGSI), la seguridad de la información quedó anclada organizativamente en la empresa y se establecieron importantes procesos de seguridad de la información, como la gestión de riesgos. | | Formación de los empleadosTodos los empleados son sensibilizados y formados en materia de seguridad de la información. Estas sesiones de formación tienen lugar periódicamente como repaso o sobre temas de actualidad, y los nuevos empleados también reciben formación directamente durante su iniciación. | |
| Equipo de expertosSe creó en la empresa un equipo de expertos en seguridad en el desarrollo para tratar los problemas actuales de seguridad informática. | | Manuales de emergenciaCon el fin de reaccionar rápidamente ante incidentes de seguridad y limitar los daños potenciales, se han desarrollado conceptos de respuesta de emergencia que se recogen en manuales de emergencia. | |
| Formación continuaLos empleados reciben formación en función de sus necesidades para concienciarlos sobre los objetivos y riesgos de la seguridad de la información. | | SGDUtilizamos un sistema de gestión de la protección de datos (DSMS) de acuerdo con el Reglamento de Protección de Datos de la UE (EU DSGVO). | |
| Responsable y equipo del SGSIProjektron trabaja activamente en la seguridad de la información y los procesos asociados. Un equipo se encarga del cumplimiento de los objetivos de seguridad de forma continua. | | ISO 27001Los procesos centrales más importantes, como el desarrollo de productos, la asistencia, los servicios de TI y la administración de TI, han sido certificados conforme a la norma ISO 27001 por TÜV Süd. | |
| Auditorías de sistemasEvaluación estructurada de la seguridad de todos los servicios de TI mediante auditorías anuales del sistema centradas en la evaluación de riesgos, los derechos de acceso y el cifrado. |
Desarrollo de productos
Tener en cuenta la seguridad de la información en el proceso de desarrollo de Projektron BCS es fundamental para alcanzar los objetivos de seguridad de la información de Projektron GmbH.
Aplicamos estas medidas de seguridad de la información en el desarrollo de productos
| Concepto de funciones y derechosUn concepto personalizable de roles y derechos proporciona el requisito previo para limitar el acceso a los datos o la información a la persona autorizada. | | Bóveda de contraseñasLas contraseñas necesarias para sistemas de terceros se pueden guardar de forma criptográfica y segura en un almacén de contraseñas. | |
| Conexiones cifradasPara la transferencia segura de datos entre Projektron BCS y usuarios o sistemas externos es posible la comunicación cifrada (https, imaps, smtps). | | Inyección SQL, Cross Site Scripting y Cross Site Request ForgeryProjektron BCS está protegido contra estas técnicas de ataque. | |
| Contraseñas segurasLas contraseñas están aseguradas en Projektron BCS mediante el algoritmo PBKDF2 con Salt and Pepper. | | Directrices para contraseñasProjektron BCS es compatible con las directivas sobre contraseñas en cuanto a complejidad y frecuencia de cambio. | |
| Inicio de sesión únicoAdmite la autenticación mediante Active Directory (LDAP/KERBEROS) u OAuth 2.0 con OpenID Connect. | | Ataques de fuerza brutaProtección de cuentas de usuario mediante la espera de varios intentos de inicio de sesión fallidos. En caso necesario, sólo se puede permitir el acceso a cuentas individuales a determinadas direcciones IP y rangos de IP. | |
| Autenticación de 2 factoresProtección adicional del inicio de sesión mediante un segundo factor generado según el procedimiento TOTP. | | Directriz interna "Desarrollo seguro de software“El objetivo es minimizar los déficits y vulnerabilidades de seguridad en el desarrollo de Projektron BCS y reaccionar adecuadamente ante dichos déficits y vulnerabilidades, entre otras cosas, mediante el uso de OWASP Top 10 y SANS 25. | |
| PentestsEn colaboración con nuestros clientes, se realizan pentests con regularidad. Los resultados de estas pruebas se incorporan continuamente al desarrollo y la protección de Projektron BCS. | | SANS 25El SANS 25 enumera las 25 vulnerabilidades más peligrosas (y relevantes) del software. Las consideraciones son, por tanto, más holísticas que la visión específica del OWASP Top 10 sobre las aplicaciones web. | |
| Pruebas automatizadasProjektron BCS se somete a pruebas tanto funcionales como de usabilidad. Los patrones de ataque habituales se pueden comprobar automáticamente. | | Top 10 de OWASPEl Top 10 de OWASP (Open Web Application Security Project) enumera los diez fallos o vulnerabilidades más extendidos e importantes de las aplicaciones web. |
Alojamiento / SAAS
Sabemos que un sistema seguro es importante para usted, especialmente si aloja Projektron BCS con nosotros o con nuestro proveedor de servicios. Por ello, hemos tomado diversas medidas para que nuestro alojamiento sea aún más seguro.
Estas son las medidas que tomamos para un alojamiento seguro
| PentestNuestro alojamiento se somete a un pentest anual. | | SSLCuando se aloja, accede a Projektron BCS a través de un acceso cifrado con certificado SSL. | |
| Ventanas de mantenimientoExisten ventanas de mantenimiento regulares programadas para aplicar actualizaciones y parches. En caso de violación grave de la seguridad, se realizan actualizaciones no programadas con dos horas de antelación. | | CortafuegosUn cortafuegos centralizado con estrictas reglas de filtrado individuales para cada cliente le protege de ataques externos. Si lo desea, podemos proporcionarle un cortafuegos para aplicaciones web. | |
| Servidores de bases de datos separadosLos datos de los clientes se almacenan en servidores de bases de datos independientes. Esto permite un mejor rendimiento y la configuración de interfaces individuales. | | Actualizaciones automáticasLas máquinas virtuales y Projektron BCS se actualizan automáticamente para que siempre esté al día y seguro. | |
| SVCNuestros clientes se conectan automáticamente al servicio de versionado de configuraciones (SVC). Esto significa que sus configuraciones se gestionan en un repositorio SVN. | | HTTPS/SFTP/SSH & SCPPor lo general, sólo puede acceder a su máquina virtual a través de conexiones seguras (mediante HTTPS/SFTP/SSH) y crear así, por ejemplo, copias de seguridad o copias de datos (mediante SCP). | |
| Túnel VPNLas máquinas virtuales no son accesibles a través de Internet. Projektron sólo accede a ellas a través de túneles VPN. | | Copia de seguridad y restauraciónEl alojamiento ofrece copias de seguridad y, en caso necesario, una restauración rápida. | |
| DisponibilidadGarantizamos la disponibilidad acordada, que está permanentemente monitorizada. | | Vigilante de seguridadEl centro de datos está vigilado 24 horas al día, 7 días a la semana, por un guardia de seguridad in situ. | |
| Ubicación en AlemaniaEl centro de datos se encuentra en Alemania y está sometido a altos niveles de seguridad. Pertenece a la clase Tier IV con ISP POP redundante. | | Control de accesoSólo pueden acceder al centro de datos las personas autorizadas encargadas de realizar tareas, previo registro. | |
| CertificadoNuestro centro de datos y las áreas de Projektron relevantes para la seguridad están certificados según ISO 27001. El centro de datos también cuenta con otros certificados: VdS ISO 9001 NSL e IS, DIN 14675 para BMA y DIN EN 50518. |
Kevin Botsch
BCS Technical Product Management, Finanz Informatik Solutions Plus Kevin Botsch
"Como proveedor de servicios de consultoría, desarrollo e integración de aplicaciones empresariales en el sector financiero, la seguridad del software y la transparencia de los procesos son importantes para nosotros. Debido a nuestro crecimiento hasta la fecha y al aumento constante del número de usuarios, la facilidad de uso y el manejo intuitivo también se han convertido en factores importantes.Con Projektron BCS, hemos encontrado un sistema que cumple exactamente estos requisitos. Además, BCS también se puede adaptar de forma flexible a nuestras necesidades y nos permite realizar numerosas mejoras en los procesos."
Soporte
Para el soporte técnico de nuestros clientes, trabajamos con nuestro portal de soporte interno. Al hacerlo, siempre prestamos atención a la calidad y, sobre todo, a la seguridad en el tratamiento de la información.
Nuestras medidas de seguridad en el tratamiento de la información en apoyo
| Portal de soporteEl portal de soporte para clientes se utiliza para el intercambio seguro de información y la transferencia de datos. La comunicación tiene lugar a través de tickets con una carpeta para el intercambio de datos. | | SVCEl servicio de versionado de configuraciones (SVC) es un almacén central de configuraciones para clientes y para el propio Projektron. Las configuraciones se gestionan en un repositorio SVN. | |
| Autorización de accesoLas personas de contacto del cliente tienen acceso personalizado al portal de soporte. | | FAQEn el portal de soporte proporcionamos regularmente a los clientes información relacionada con la seguridad. | |
| CifradoSólo se puede acceder al portal de asistencia mediante acceso cifrado. |
Administración de TI
La seguridad de la información también es una preocupación importante para nuestra administración informática interna. Nos guiamos por el estado de la técnica para asegurar los sistemas y seguir asegurándolos.
Nuestras medidas para asegurar nuestros sistemas en la administración informática
| Distribución central de softwareEl software necesario se distribuye de forma centralizada a los ordenadores operativos y se mantiene actualizado. | | SupervisiónLos servicios internos se supervisan para garantizar su disponibilidad y poder reaccionar rápidamente en caso de problemas. | |
| Tecnología de red redundanteLa línea de Internet, el cortafuegos y los conmutadores centrales son redundantes. | | CriptografíaLas recomendaciones de las directrices técnicas BSI (BSI TR-02102) se prueban anualmente. | |
| Autoridad de certificación internaLos servicios internos se cifran mediante una autoridad de certificación independiente. | | SVNLos servicios internos de versionado están separados temáticamente y el acceso se controla por grupos de personas. | |
| Correo electrónicoEl tráfico de correo entrante se supervisa y, en caso de duda, se pone primero en cuarentena. | | VPNEl personal dispone de acceso VPN para el trabajo móvil. | |
| Copias de seguridad y restauraciónLos servicios internos se respaldan diariamente y pueden restaurarse rápidamente al estado de la última copia de seguridad. El proceso de restauración se comprueba cada seis meses. | | Transferencia cifrada de datosSi los empleados quieren llevar consigo datos liberados al trabajo móvil, pueden utilizar para ello memorias USB encriptadas con un código numérico. |
Otras medidas
Por supuesto, no dejamos de trabajar en nosotros mismos y en nuestros procesos y sistemas en este punto. Para estar siempre preparados ante los peligros y requisitos actuales, mantenemos un activo intercambio de experiencias con nuestros clientes. También seguimos ampliando nuestro equipo de expertos y contamos con determinados empleados formados como especialistas en el tema de la seguridad. Otras medidas están actualmente en curso o previstas en un futuro próximo:
| Certificado de protección de datosCon la DSMS queremos obtener un certificado de protección de datos, por un lado para nuestra empresa y por otro para nuestro producto Projektron BCS. |
| ITILYa hemos implantado algunas buenas prácticas de la Biblioteca de Infraestructuras de TI (ITIL) y tenemos previsto integrar más de ellas en nuestra empresa. |
