Diagrama de la red

Infraestructura, protección de datos, seguridad

Alojamiento de datos

No alojamos los datos ni la aplicación. Lo subcontratamos a una empresa externa cuya misión se centra en ofrecer soluciones de alojamiento seguras y fiables. Nuestro proveedor es OVH, una de las compañías más grandes activas en este campo. Vea su página de seguridad aquí [ingl].

Alojamiento de la aplicación, base de datos y servicios

La aplicación, la base de datos y los servicios se alojan en servidores dedicados en Francia (por lo tanto, no se distribuyen en varios servidores que también contienen datos de otras empresas). Esto tiene las siguientes ventajas:

  •  Podemos decidir dónde ubicar físicamente nuestros servidores
  • Controlamos la seguridad hasta el propio servidor
  • Eliminamos el riesgo de compartir datos con otras empresas que utilizan el mismo servidor

Almacenamiento de desarrollo, pruebas y producción

El desarrollo, las pruebas y la producción se almacenan en 3 entornos diferentes.

Copia de seguridad


Una copia de seguridad de la base de datos se guarda en tiempo real en otro servidor en otro centro de datos (en Francia). Además, una segunda copia de seguridad se guarda dos veces al día en otro proveedor situado en Alemania.

Parches

Los sistemas se actualizan y parchean en cada versión. Lanzamos nuevas versiones cada 4 semanas.

Protección de servidores

Los servidores están protegidos por un firewall. El acceso se realiza siempre con un clave privada y no una contraseña. Las direcciones IP que intentan acceder a nuestros servidores se bloquean después de 5 intentos fallidos.

Protección de datos

Los discos duros de todos los servidores están encriptados. La base de datos y el almacenamiento de archivos se encuentran en servidores que no son accesibles desde Internet.

Acceso de interfaces de administración

Sólo se puede acceder a las interfaces de administración desde un número limitado de direcciones IP (3).

Plan de respuesta a incidentes

Sistema de monitoreo

Contamos con un sistema de monitoreo que verifica automáticamente diferentes aspectos del sistema (infraestructura, pero también acceso a la base de datos, sistema de colas, etc.)

  • En caso de un incidente, se prevén dos "olas" de advertencia
  • La primera advertencia es enviada por e-mail y SMS a 2 ingenieros senior de back-end
  • Después de 5 minutos, si el incidente no está resuelto, la advertencia se envía por correo electrónico y SMS a 2 directores de Proxyclick

Documentación de incidentes

La respuesta a diferentes tipos de incidentes se documenta en un repositorio compartido.

Mecanismo de conmutación por error

Un mecanismo de conmutación por error es documentado, probado y preconfigurado para que pueda ejecutarse rápidamente si es necesario.

Cuentas de clientes en la aplicación

Cifrado de datos

Los usuarios se autentican en la URL con su nombre de usuario y contraseña. Usamos https para cifrar datos. Proxyclick tiene una calificación "A" con respecto a SSL, como se puede ver aquí [ingl].

Contraseñas de los usuarios

Se usan las funciones de hash y salt para todas las contraseñas de usuarios. Sólo se puede restablecer una contraseña y no recuperarla.

Autenticación

Los usuarios tienen que ser autenticados para ver las páginas de la aplicación (no hay acceso a través de URL generadas al azar).

Protocolo SAML 

Apoyamos el protocolo SAML (así que no almacenamos nombres de usuario y contraseñas).

Conexión a cuentas

A través de los cheques escritos en el código fuente, no es posible que un usuario accede a los datos de una cuenta a la que no esté vinculado.

Permisos

La aplicación proporciona diferentes permisos para administrar la aplicación para que todos no sean administradores.

Inicio de sesión

El inicio de sesión y las acciones (check-in, check-out ...) se hacen con conxeión a la cuenta correspondiente (fecha, hora y nombre de usuario).

Acceso a los datos por los empleados de Proxyclick

Acceso a los servidores

El acceso a los servidores está limitado a 2 ingenieros senior de back-end (Incl. CTO).

Acceso a los datos de los clientes

La política está establecida para que los empleados de Proxyclick sólo tengan acceso a los datos de un cliente cuando sea necesario para garantizar la funcionalidad de la cuenta.

Depuración de errores

Algunos errores de los que nos informan sólo se pueden reproducir en la cuenta del cliente. Reproducir el error es a menudo la mejor manera de solucionarlo. La única razón aceptable para acceder a los datos de un cliente es depurar este tipo de errores.

Contraseñas de usuario

Los empleados de Proxyclick no tienen acceso a las contraseñas de los usuarios.

Información de tarjetas de crédito


Proxyclick no almacena información de tarjetas de crédito
. Los pagos son procesados por Chargebee, un procesador de terceros compatible con PCI DSS Nivel 1.

Supresión inmediata de acceso

Cuando un empleado se va de la empresa, todos sus accesos a los sistemas son eliminados inmediatamente.

Datos de producción del cliente

Los empleados nunca almacenan los datos de producción del cliente en su ordenador.

Revisión del código fuente

Revisión del código

Todo el código es revisado por el CTO antes de ser pasado a producción.

Convención de código

Los desarrolladores deben seguir nuestra convención de código para garantizar la coherencia y la calidad del código.

Transparencia a los clientes

Mantenimiento

El mantenimiento planificado en caso de lanzamiento de una nueva versión se realiza durante el fin de semana con el fin de minimizar el impacto en las actividades de los clientes. El mantenimiento planificado se comunica 48 horas antes a todos los administradores por correo electrónico.

Monitor en tiempo real

También ofrecemos un servicio a nuestros clientes a través del cual pueden monitorear en tiempo real el estado de nuestros sistemas. También pueden suscribirse a este servicio para ser notificados en caso de incidente.

Pruebas de penetración

Base ad hoc

Las pruebas de penetración se llevan a cabo en base ad hoc por clientes o prospectos.

Últimas pruebas de penetración

Las dos últimas pruebas de penetración fueron realizadas por una empresa CAC40 (Francia) y uno de los cinco principales bufetes de abogados mundiales (Reino Unido) en enero de 2015. Ambas pruebas de penetración dieron resultados positivos (los sistemas de Proxyclick fueron evaluados como seguros).

Artículos probados

Los siguientes elementos fueron probados durante estas pruebas: scripts entre sitios, inyección de SQL, indicadores de cookie, protección de interfaces de administración, actualizaciones eficaces de parches, seguridad de contraseñas.

Pruebas adicionales de penetración

Si es necesario, Proxyclick está dispuesto a realizar pruebas de penetración adicionales, a su solicitud.