Desarrollo seguro

Todos los nuevos desarrolladores de software de EcoStruxure IT asisten a una formación en seguridad obligatoria que se imparte tras la contratación y de manera anual posteriormente. Además, pueden elegir inscribirse en una formación de White Hat Hacker para recibir la certificación Ethical Hacker.

Cualquier cambio de la plataforma EcoStruxure IT está sujeta a una revisión por pares obligatoria en la que, al menos, otro ingeniero revisa los cambios en el código y la infraestructura para validar la calidad, la seguridad y el rendimiento del código.

Se realiza un seguimiento de todos los cambios mediante un sistema de control de versión (GIT) para garantizar la trayectoria, la rastreabilidad y el seguimiento de auditoría.

Los entornos de prueba de EcoStruxure IT están aislados físicamente del entorno de producción.

Vulnerabilidades de aplicaciones

Schneider Electric utiliza diferentes herramientas de seguridad de terceros para analizar de manera dinámica y continua la plataforma de EcoStruxure IT en busca de vulnerabilidades. Schneider Electric cuenta con un equipo de seguridad comprometido para manejar los resultados y trabaja junto a equipos de ingeniería para resolver problemas.

Todos los cambios del código fuente se ven sometidos de manera continua a escaneos en busca de bugs y errores de seguridad y licencia mediante herramientas de análisis estático. Cualquier cambio del código fuente que no cumpla los estándares de EcoStruxure IT se devolverá al equipo de desarrollo para su mejora.

Schneider Electric emplea de forma ininterrumpida un número rotatorio de hackers certificados de terceros para realizar pruebas de penetración detalladas de todos los componentes de EcoStruxure IT (puerta de enlace, aplicación móvil y web). Cuando se publican nuevas características, se entregan declaraciones de objetivos a expertos en seguridad para verificar la seguridad de dichas características. Obtén más información sobre nuestra política de uso compartido de informes de pruebas de seguridad.

El equipo de respuesta ante ciberemergencias de productos empresariales de Schneider Electric (CPCERT) ha definido los procesos de administración de vulnerabilidades para garantizar una respuesta ante incidentes eficiente.

Para avisar de un incidente, contacta con tu Centro de asistencia al cliente local.

Si eres investigador, puedes avisar de una vulnerabilidad de ciberseguridad desde aquí.

Todas las vulnerabilidades descubiertas figuran en el Portal de asistencia de ciberseguridad de Schneider Electric.

De acuerdo con las prácticas recomendadas de la industria, utilizamos procedimientos estrictos para sanear la salida de todas las entradas de usuarios. Dichos procedimientos se aplican en parte mediante análisis de código estático y también a través del uso de marcos de terceros conocidos y probados.

SEGURIDAD DE LA AUTENTICACIÓN

La política de contraseñas de EcoStruxure IT requiere lo siguiente:

• Al menos 8 caracteres de longitud
• Al menos 3 de los 4 tipos siguientes de caracteres:
• Minúsculas (a-z),
• Mayúsculas (A-Z),
• Números (del 0 al 9),
• Caracteres especiales (p. ej., !@#$%^&*)
• No más de 2 caracteres idénticos seguidos (p. ej., «aaa» no es válido)

EcoStruxure IT validará tu contraseña, siempre y cuando no sea una de las 10 000 contraseñas más comunes y no sea parte de la primera parte de tu dirección de correo electrónico.

Ten en cuenta que tu contraseña no caducará de acuerdo con las políticas de contraseñas que recomiendan el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos y el Centro Nacional de Ciberseguridad (NCSS) del Reino Unido.

La autenticación multifactor proporciona otra capa de seguridad a tu cuenta de EcoStruxure IT, de modo que se lo pone más difícil a alguien que quiera suplantarte al iniciar sesión. La autenticación multifactor está activada para todos los inicios de sesión en EcoStruxure IT, sin importar si eres un cliente, un socio comercial o un empleado de Schneider Electric. Schneider Electric te recomienda que utilices la aplicación de EcoStruxure IT para la autenticación de dos factores o una aplicación de autenticación de un tercero. Aunque es posible utilizar mensajes SMS de un solo uso y duración muy limitada como último recurso, su uso no se recomienda.

Schneider Electric sigue prácticas recomendadas de almacenamiento de credenciales seguro y nunca almacena contraseñas de EcoStruxure IT en formato de texto sin cifrar, y únicamente como el resultado de un hash salado y seguro y el uso de bcrypt. Las contraseñas se desvinculan de la plataforma interna y se guardan con Auth0, una solución que recomiendan los expertos de administración de autenticación.

Schneider Electric aplica protección ante ataques de fuerza bruta a EcoStruxure IT. Se bloqueará el inicio de sesión en tu cuenta si has introducido una contraseña incorrecta más de 10 veces desde la misma dirección IP. A partir de ese momento, recibirás instrucciones sobre cómo desbloquear la dirección IP desde EcoStruxure IT mediante correo electrónico.

Schneider Electric también aplica límites de frecuencia. Si intentas iniciar sesión 20 veces por minuto con el mismo usuario y desde la misma ubicación, sin importar si las credenciales son correctas, se aplicará el límite de frecuencia. Tras la aplicación, solo tendrás 10 intentos por minuto.

SEGURIDAD DE LA PUERTA DE ENLACE

Schneider Electric se compromete a mantener la seguridad y la privacidad de tus datos, incluso antes de que estos salgan de tus instalaciones. Todas las conexiones desde la puerta de enlace de EcoStruxure IT hasta nuestra nube se validan mediante un certificado RSA de 2048 bits estándar de la industria y los datos se cifran en tránsito con cifrado AES de 256 bits. Para evitar poner en riesgo la seguridad de tu sitio, la puerta de enlace de EcoStruxure IT utiliza una conexión saliente a través del puerto 443 y solo se comunica con la nube de EcoStruxure IT mediante
40.84.62.190, 23.99.90.28, 52.230.227.202, 52.177.161.233 y 52.154.163.222.

Obtén más información sobre cómo EcoStruxure IT aplica actualizaciones a tu infraestructura mediante una conexión solo de salida (comunicación unidireccional) aquí.

Todas las solicitudes provenientes de la puerta de enlace se firman con una única clave privada creada durante la instalación y almacenada en la puerta de enlace, lo cual hace imposible suplantarla.

La puerta de enlace de EcoStruxure IT cuenta con una función de actualización automática, que garantiza la aplicación de parches de seguridad de software automáticamente para que la puerta de enlace siempre esté actualizada. Durante el proceso de actualización, la puerta de enlace sigue enviando datos de sensores y alarmas a la nube, de modo que se minimiza el tiempo de inactividad.

Obtén más información sobre la privacidad en Schneider Electric.

El Reglamento General de Protección de Datos (“RGPD”) aborda el procesamiento de datos personales y el libre movimiento de dichos datos. Su objetivo es reforzar la seguridad y la protección de datos personales en la Unión Europea (UE) y armonizar la ley de protección de datos de la UE. Este reglamento establece diferentes principios y requisitos de protección de datos a los que adherirse al procesar datos personales.

Schneider Electric tiene un compromiso con el cumplimiento de sus obligaciones en virtud del RGPD. Nuestra empresa comparte información personal con procesadores de datos ajenos según es necesario.

Obtén más información acerca de los datos que se comparten con subprocesadores y subcontratistas.

Schneider Electric recopila datos de sensores y alarmas de dispositivos de infraestructuras críticas, los cuales eliges compartir con nosotros. Schneider Electric solo recopila datos sobre el rendimiento de tu equipo, así como metadatos como la ubicación o la antigüedad de dicho equipo.

Antes de proceder a su almacenamiento, tus datos se etiquetan como tuyos. Dichos datos se aíslan de los datos de otros clientes mediante un identificador único que el sistema utiliza para asegurar una asociación correcta de los datos. Además, el motor de la nube mantiene un completo registro de auditoría de los datos recibidos y los datos en procesamiento, de modo que siempre podemos retroceder sobre nuestros pasos y consultar dónde han estado tus datos y para qué han sido utilizados.

EcoStruxure IT no accede a los datos almacenados en tus servidores o almacenamiento, ni tampoco supervisa el tráfico de tu red. Los datos se almacenan en Microsoft Azure en los Estados Unidos.

En primer lugar, Schneider Electric procesa y almacena los datos por ti, de modo que están a tu disposición en cualquier parte del mundo a través de la aplicación de EcoStruxure IT. Aún más importante, compartir tus datos con Schneider Electric nos permite optimizar los servicios y productos que ofrecemos, para ayudarte a optimizar tu centro de datos y hacer posible que tengas como referencia a clientes de todo el mundo

Cuando desactivas tu cuenta de EcoStruxure IT, nuestro sistema elimina de forma automática tus datos personales.

Seguridad física

Los servidores de EcoStruxure IT están alojados en los Estados Unidos, en Microsoft Azure Cloud, que cumple los requisitos de las certificaciones ISO 27001, HIPAA, FedRAMP, SOC 1 y SOC 2. Obtén más información sobre las instalaciones de Azure, entornos locales y seguridad física

Seguridad de la red

El acceso a la red de producción de EcoStruxure IT está restringido por un principio de mínimo conocimiento explícito, utiliza privilegios mínimos de acceso, está supervisado y es controlado por nuestro equipo de Operaciones. Los empleados que acceden a la red de producción de EcoStruxure IT están obligados a utilizar varios factores de autenticación.

Dado que EcoStruxure IT se ejecuta en Microsoft Azure, Schneider Electric se beneficia de su supervisión de tráfico siempre activa y de la mitigación en tiempo real de ataques a nivel de red comunes, de modo que ofrece las mismas defensas que utilizan los servicios en línea de Microsoft.

Schneider Electric emplea de manera continua un número rotativo de hackers certificados de terceros que realizan pruebas de penetración detalladas de toda la plataforma de EcoStruxure IT. Obtén más información sobre nuestra política de uso compartido de informes de pruebas de seguridad.

Un equipo de DevOps se dedica a mantener y operar EcoStruxure IT según estándares extremadamente elevados de ciberseguridad y privacidad de datos. Todas las partes del sistema de EcoStruxure IT están continuamente siendo supervisadas y analizadas en busca de vulnerabilidades de seguridad o problemas de privacidad potenciales. El equipo de DevOps está disponible cualquier día y a cualquier hora para reaccionar con rapidez a amenazas o errores recién descubiertos.

Cifrado

Todas las conexiones a la nube de EcoStruxure IT se validan mediante un certificado RSA de 2048 bits estándar de la industria y los datos se cifran en tránsito con cifrado AES de 256 bits. Para versiones de Android anteriores a la 7.0, Schneider Electric solo puede garantizar cifrado AES de 128 bits debido a las limitaciones de la plataforma Android.

Los datos de EcoStruxure IT se cifran mediante cifrado AES de 256 bits.

Disponibilidad y continuidad

EcoStruxure IT mantiene una página web de información del estado del sistema disponible públicamente que incluye información sobre la disponibilidad del sistema, mantenimientos programados, historial de incidentes de servicio y eventos de seguridad relevantes.

Todos los componentes de la plataforma EcoStruxure IT se implementan con una configuración de alta disponibilidad para eliminar la posibilidad de errores. Todos los datos cuentan con copia de seguridad en un almacenamiento diferente para evitar la pérdida de datos.