Seguridad de la información
Desarrollo seguro de software y servicios informáticos
El desarrollo seguro de software y el alojamiento seguro forman el núcleo de nuestra solución de gestión de proyectos basada en web. Por eso hacemos hincapié en la gestión integral de la seguridad de la información. Aquí puede informarse sobre las medidas que hemos implementado para ofrecerle servicios de alojamiento seguros y un producto seguro en forma de Projektron BCS.
Calidad certificada por el TÜV - producto seguro Projektron BCS
Projektron GmbH concede gran importancia a la seguridad de la información y, por ello, ha implantado un amplio sistema de gestión de la seguridad de la información (SGSI). Con la introducción de este sistema, hemos anclado la seguridad de la información en la organización de la empresa y establecido procesos centrales como la gestión de riesgos. Nuestros objetivos generales son siempre los siguientes:
| Confidencialidad | Integridad | Disponibilidad |
Un elemento central de nuestra gestión de calidad y seguridad de la información es la certificación ISO 27001 de TÜV Rheinland. Esta certificación confirma que nuestros procesos, sistemas y controles cumplen los estrictos requisitos de la norma ISO 27001. Nuestra certificación ISO/IEC 27001:2022 A1 cubre el funcionamiento de los servicios dedesarrollo y TI, así como nuestro soporte y administración de TI. Nuestro SGSI se revisa y adapta periódicamente para responder a las nuevas amenazas y retos. Esto garantiza que nuestras medidas de seguridad estén siempre actualizadas y que sus datos estén continuamente protegidos.
Desarrollo de productos
Desarrollo de software seguro - software seguro: La seguridad de la información en el proceso de desarrollo es fundamental para ofrecer con Projektron BCS un producto de software que proporcione una base segura para sus requisitos empresariales y garantice la confidencialidad, integridad y disponibilidad de su información.
Nuestras medidas para un desarrollo de software seguro
Control de acceso y autenticación | ||||
Concepto de funciones y derechosUn concepto personalizable de roles y derechos proporciona la base para restringir el acceso a datos o información a la persona autorizada. | Inicio de sesión únicoBCS admite la autenticación mediante SAML, Active Directory (LDAP/KERBEROS) u OAuth 2.0 con OpenID Connect. | |||
Directrices para contraseñasProjektron BCS es compatible con políticas de contraseñas relativas a la complejidad de las contraseñas y la frecuencia de cambio. | Autenticación de 2 factoresEl inicio de sesión puede asegurarse adicionalmente mediante un segundo factor generado con el método TOTP. | |||
PasskeysBCS soporta Passkeys, un método de autenticación sin contraseña que sustituye las contraseñas por un procedimiento asimétrico, aumentando así la facilidad de uso y eliminando vulnerabilidades como el phishing, el robo de contraseñas y las contraseñas débiles. | ||||
Mecanismos de seguridad y protección de datos | ||||
Conexiones cifradasEs posible la comunicación cifrada para la transmisión segura de datos entre Projektron BCS y los usuarios o sistemas externos (https, imaps, smtps). | Bóveda de contraseñasLas contraseñas necesarias para sistemas ajenos se pueden almacenar de forma criptográficamente segura en una cámara acorazada de contraseñas. | |||
Contraseñas segurasLas contraseñas se protegen en Projektron BCS mediante el algoritmo PBKDF2 y Salt and Pepper. | Ataques de fuerza brutaLas cuentas de usuario están protegidas mediante tiempos de espera o un bloqueo de la cuenta de usuario tras varios intentos de inicio de sesión fallidos. El acceso a cuentas individuales puede restringirse a direcciones IP y rangos de IP específicos. | |||
Pruebas y verificación | ||||
Análisis de vulnerabilidadesEl software se analiza periódicamente en busca de vulnerabilidades de seguridad conocidas. | PentestsEn colaboración con nuestros clientes, se llevan a cabo pruebas con regularidad. Los resultados de estas pruebas se incorporan continuamente al desarrollo y la protección de Projektron BCS. | |||
Pruebas automatizadasProjektron BCS se somete a pruebas de funcionalidad y facilidad de uso. Los patrones de ataque habituales se pueden comprobar automáticamente. Las pruebas automatizadas se integran en el proceso de integración continua (CI) para garantizar que cada cambio en el código se comprueba inmediatamente. | Pruebas de integraciónRealizamos pruebas de integración para garantizar que los distintos componentes del software funcionan juntos de forma segura y que no surgen nuevas vulnerabilidades de seguridad. | |||
Pruebas unitariasPara cada historia de usuario, desarrollamos pruebas unitarias para verificar la correcta funcionalidad y seguridad a nivel de código. | Informes de cobertura de pruebasCreamos informes de cobertura de las pruebas que muestran la cobertura de las historias de usuario por parte de las pruebas y garantizan que no queden áreas críticas para la seguridad sin probar. | |||
Pruebas de extremo a extremoCreamos pruebas de extremo a extremo que cubren toda la historia de usuario y garantizan que la aplicación funciona como se espera y es segura. | ||||
Medidas de seguridad internas | ||||
Definición de requisitos de seguridadLos objetivos y requisitos de seguridad se definen claramente al principio del proyecto. | Planificación de la seguridadSeguimos un plan de seguridad detallado que describe las medidas y procedimientos de seguridad. | |||
Equipo experto en desarrollo de productosUn equipo especializado se ocupa continuamente de los temas actuales de seguridad informática e implementa las últimas medidas de seguridad en Projektron BCS. Esto garantiza que nuestro software cumpla siempre los estándares de seguridad más exigentes. | Directriz interna «Desarrollo seguro de softwareLa directriz interna tiene como objetivo minimizar los déficits y vulnerabilidades de seguridad en el desarrollo de Projektron BCS y reaccionar adecuadamente ante ellos. Para ello se tiene en cuenta el SANS Top 25, que enumera las 25 vulnerabilidades más peligrosas y relevantes en el software, y el OWASP Top 10, que describe las diez vulnerabilidades más extendidas e importantes para las aplicaciones web. | |||
Formación de los empleadosNuestros desarrolladores reciben formación periódica y están sensibilizados con los aspectos de seguridad y las mejores prácticas. | Programas de concienciaciónLlevamos a cabo programas para fomentar la concienciación sobre la seguridad en todo el equipo de desarrollo. | |||
Documentación sobre seguridadTodos los requisitos, medidas y pruebas de seguridad se documentan detalladamente. | InformesLas partes interesadas reciben informes periódicos sobre el estado de la seguridad y los incidentes ocurridos. | |||
Directrices de programación y desarrollo seguros | ||||
Normas y directrices de codificaciónSeguimos normas y directrices de codificación probadas para evitar vulnerabilidades de seguridad. | Revisión del código y revisión por paresEl código es revisado periódicamente por compañeros para identificar posibles problemas de seguridad en una fase temprana. | |||
Análisis estático del códigoSe utilizan herramientas de análisis estático del código para detectar vulnerabilidades en el código fuente. | Evaluación de riesgosLos posibles riesgos de seguridad se identifican y evalúan a lo largo de todo el proceso de desarrollo. | |||
Gestión de vulnerabilidadesSe ha implantado el correspondiente proceso para reconocer, evaluar y rectificar las vulnerabilidades de seguridad. | ||||
Control de versiones y gestión de la configuración | ||||
Control de versionesUtilizamos sistemas de control de versiones (por ejemplo, Git) para seguir los cambios en el código y garantizar la trazabilidad. | Gestión de la configuraciónNos aseguramos de que todas las configuraciones se gestionan y documentan de forma segura. | |||
Respuesta a incidentes y planes de emergencia | ||||
Planes de emergenciaSe han creado planes de contingencia que se mantienen continuamente para garantizar una respuesta rápida y eficaz en caso de incidente de seguridad. | Respuesta a incidentesHemos establecido un proceso para responder a los incidentes de seguridad, que incluye el análisis y la eliminación de las causas. | |||
Alojamiento / SAAS
Sabemos que un sistema seguro es importante para usted, especialmente si aloja Projektron BCS con nosotros o con nuestro proveedor de servicios.
Nuestras medidas para un alojamiento seguro
Ubicación y disponibilidad | ||||
Centro de datos en AlemaniaEl centro de datos está situado en Alemania y está sujeto a altos niveles de seguridad. Pertenece a la clase Tier IV con ISP POP redundante. | Copias de seguridad y recuperaciónHosting ofrece copias de seguridad y recuperación rápida en caso necesario. | |||
CertificadoNuestro centro de datos y las áreas de Projektron relevantes para la seguridad están certificados según ISO 27001. El centro de datos dispone además de otros certificados: VdS ISO 9001 NSL e IS, DIN 14675 para BMA y DIN EN 50518. | DisponibilidadGarantizamos la disponibilidad acordada, que se supervisa permanentemente. | |||
Seguridad física y control de acceso | ||||
Control de accesoSólo pueden acceder al centro de datos las personas autorizadas encargadas del cumplimiento de tareas con registro previo.
| VigilanciaEl centro de datos está vigilado 24 horas al día, 7 días a la semana y 365 días al año por un guardia de seguridad in situ. | |||
Pruebas de seguridad y actualizaciones | ||||
Actualizaciones automatizadasLas máquinas virtuales y Projektron BCS se actualizan automáticamente para que siempre esté al día y seguro. | Ventanas de mantenimientoExisten ventanas de mantenimiento programadas regularmente para instalar actualizaciones y parches. En caso de una vulnerabilidad de seguridad grave, se llevan a cabo actualizaciones no programadas, que se anuncian con dos horas de antelación. | |||
PentestNuestro alojamiento se somete a un pentest anual. | ||||
Seguridad de datos y de acceso | ||||
Servidores de bases de datos separadosLos datos de los clientes se almacenan en servidores de bases de datos independientes. Esto permite un mejor rendimiento y la creación de interfaces personalizadas. | SSLCuando se aloja, accede a Projektron BCS a través de un acceso cifrado con certificado SSL. | |||
Túnel VPNLas máquinas virtuales no son accesibles a través de Internet. Projektron sólo accede a ellas a través de túneles VPN. | CortafuegosUn cortafuegos centralizado con estrictas reglas de filtrado individuales para cada cliente le protege de ataques externos. A petición, se puede proporcionar un cortafuegos para aplicaciones web. | |||
Conexiones seguras mediante HTTPS/SFTP/SSH y SCPPor lo general, sólo puede acceder a su máquina virtual a través de conexiones seguras (mediante HTTPS/SFTP/SSH) y crear así copias de seguridad o copias de datos (mediante SCP), por ejemplo. | ||||
Servicios adicionales y formación continua | ||||
KVDNuestros clientes se conectan automáticamente al servicio de versionado de configuraciones (KVD). Esto significa que sus configuraciones se gestionan en un repositorio SVN. | Formación continuaLos empleados reciben formación en función de sus necesidades sobre la seguridad de los servicios de alojamiento. | |||
Portal de soporte y aplicación web
Las siguientes medidas ofrecen una visión general de los ajustes de seguridad y configuración más importantes que hacen que el portal de soporte y la aplicación web de Projektron BCS sean aún más seguros y eficientes. Descubra cómo puede proteger sus datos de forma óptima y adaptar la plataforma a sus necesidades.
Nuestras medidas de seguridad para el portal de asistencia y la WebApp
Portal de asistencia | ||||
Seguridad de transporteLa seguridad del transporte en el portal de asistencia está garantizada por el uso opcional pero recomendado de HTTPS. | Intercambio de mensajes y autenticaciónLos mensajes se intercambian mediante SOAP, y la autenticación se garantiza mediante el nombre de usuario y la contraseña en la cabecera SOAP. El usuario de sincronización debe estar protegido con una contraseña segura, ya que tiene amplios derechos. Esta contraseña debe almacenarse en el almacén de contraseñ | |||
Configuración de los atributos que deben sincronizarseSe pueden configurar los atributos que se van a sincronizar, excluyendo de la sincronización los atributos sensibles. | Restricciones de puertoSe pueden aplicar restricciones de puerto para restringir específicamente el intercambio HTTP entre los sistemas implicados. | |||
Aplicación Web | ||||
Seguridad de transporteLa seguridad de transporte de la aplicación web está garantizada, ya que sólo puede utilizarse junto con HTTPS. | Autenticación y gestión de cookiesLa autenticación se realiza mediante nombre de usuario y contraseña, seguida del uso de una cookie persistente que se almacena de forma segura en la memoria y se elimina de la aplicación cuando el usuario se desconecta explícitamente. | |||
Aplicación de derechos durante la sincronizaciónEn la sincronización de la aplicación web con Projektron BCS se aplican los derechos establecidos en BCS. | ||||
Interfaces
Este apartado le ofrece una visión general de los aspectos clave de seguridad al utilizar interfaces en Projektron BCS. Independientemente de si integra Microsoft Exchange, Microsoft 365 (Exchange Online) o Jira, aquí aprenderá cómo garantizar la seguridad del transporte y qué métodos de autenticación y autorización se utilizan.
Nuestras interfaces desde el punto de vista de la seguridad
Microsoft Exchange On-Premises | ||||
Seguridad de transporteLa seguridad de transporte para Microsoft Exchange On-Premises está garantizada por el uso opcional pero recomendado de HTTPS. | AutenticaciónProjektron BCS soporta los tipos de autenticación BASIC, DIGEST y NTLM, que sin embargo son susceptibles a determinados patrones de ataque. BCS aún no es compatible con el moderno tipo de autenticación AD FS, que se basa en OAuth 2.0 y es utilizado por Exchange 2019. | |||
Microsoft Exchange Online | ||||
Seguridad de transporteLa seguridad de transporte al utilizar Microsoft Exchange Online está garantizada por el uso exclusivo de HTTPS. | AutenticaciónLa autenticación segura basada en tokens proporciona protección adicional al utilizar Exchange Online. | |||
Jira On-Premises | ||||
Seguridad de transporteLa seguridad de transporte para Jira On-Premises está garantizada por el uso opcional pero recomendado de HTTPS. | Intercambio de mensajesLos mensajes se intercambian mediante SOAP, por lo que la contraseña del usuario de sincronización debe estar protegida de forma segura. | |||
Suplantación y seguridadDespués de iniciar sesión a través del usuario de sincronización, la suplantación se utiliza para guardar acciones en el contexto del usuario que ha iniciado sesión. | ||||
Jira Cloud | ||||
AutenticaciónEn Jira Cloud, la autenticación tiene lugar mediante una clave API en el usuario a través de la interfaz REST en BCS, por lo que la clave API se crea y almacena de forma segura. | Recomendación de seguridadSe recomienda instalar Jira Cloud y Projektron BCS en el mismo sistema para poder bloquear los puertos mediante un cortafuegos. | |||
Gestión de usuariosSolo el administrador puede gestionar las asignaciones de usuarios en BCS. | ||||
Tanja Maier
Controlling, SSC-Services GmbH
«[La gestión de riesgos de Projektron] nos ayuda, entre otras cosas, a cumplir los requisitos de las etiquetas TISAX e ISO. Almacenamos acuerdos como, por ejemplo, acuerdos de nivel de servicio y acuerdos de confidencialidad para los proyectos correspondientes, registramos si en el proyecto se procesan valores de información relevantes y si se ha acordado contractualmente un plazo. Los riesgos y posibles oportunidades son registrados en el proyecto por el gestor del mismo».
Michael Schäfer
Director General, Schutzwerk GmbH
"Queríamos una solución todo en uno que cubriera nuestros elevados requisitos de seguridad y nos ayudara a gestionar nuestros proyectos de auditoría en el ámbito de la ciberseguridad. Además del uso de funciones básicas de gestión de proyectos, especialmente para muchos proyectos pequeños, la gestión de recursos entre proyectos y la automatización desde el registro de servicios hasta la facturación son esenciales para nosotros. Projektron BCS también nos apoya en la ejecución eficiente de nuestros proyectos internos, como las certificaciones."
Carsten Münch
First Business Partner & Team Coordinator Application Management, TÜV Rheinland Service GmbH
"Hemos implantado el inicio de sesión único para que nuestros empleados no tengan que introducir una contraseña y puedan utilizar un procedimiento de inicio de sesión seguro y moderno".
Thomas Hackenbuchner
Director de Finanzas y Administración, MicroNova AG
"BCS respalda la seguridad de la información al ofrecer la posibilidad de asignar atributos adicionales a los proyectos. Por ejemplo, podemos clasificar los proyectos en función de su necesidad de protección o marcar si se trata de un proyecto con protección de prototipos. A partir de estas marcas, podemos derivar e iniciar otros pasos del proceso."
Kevin Botsch
BCS Technical Product Management, Finanz Informatik Solutions Plus Kevin Botsch
"Como proveedor de servicios de consultoría, desarrollo e integración de aplicaciones empresariales en el sector financiero, la seguridad del software y la transparencia de los procesos son importantes para nosotros. Debido a nuestro crecimiento hasta la fecha y al aumento constante del número de usuarios, la facilidad de uso y el manejo intuitivo también se han convertido en factores importantes.Con Projektron BCS, hemos encontrado un sistema que cumple exactamente estos requisitos. Además, BCS también se puede adaptar de forma flexible a nuestras necesidades y nos permite realizar numerosas mejoras en los procesos."
Gestión de calidad y seguridad de la información en Projektron GmbH
Además del desarrollo seguro de software y el alojamiento seguro, los procesos empresariales eficientes son el núcleo de nuestro software de gestión de proyectos y de nuestra empresa. Por ello, hemos implantado un amplio sistema de gestión de la calidad y la seguridad de la información.
Gestión de calidad y seguridad de la información en Projektron GmbH
