Seguridad de aplicaciones
Desarrollo seguro
Formación en seguridad
Todos los nuevos desarrolladores de software de EcoStruxure IT asisten a una formación en seguridad obligatoria que se imparte tras la contratación y de manera anual posteriormente. Además, pueden elegir inscribirse en una formación de White Hat Hacker para recibir la certificación Ethical Hacker.
Revisión por pares
Cualquier cambio de la plataforma EcoStruxure IT está sujeta a una revisión por pares obligatoria en la que, al menos, otro ingeniero revisa los cambios en el código y la infraestructura para validar la calidad, la seguridad y el rendimiento del código.
Se realiza un seguimiento de todos los cambios mediante un sistema de control de versión (GIT) para garantizar la trayectoria, la rastreabilidad y el seguimiento de auditoría.
Entorno aislado
Los entornos de prueba de EcoStruxure IT están aislados físicamente del entorno de producción.
Vulnerabilidades de aplicaciones
Análisis de vulnerabilidades dinámico
Schneider Electric utiliza diferentes herramientas de seguridad de terceros para analizar de manera dinámica y continua la plataforma de EcoStruxure IT en busca de vulnerabilidades. Schneider Electric cuenta con un equipo de seguridad comprometido para manejar los resultados y trabaja junto a equipos de ingeniería para resolver problemas.
Análisis de código estático
Todos los cambios del código fuente se ven sometidos de manera continua a escaneos en busca de bugs y errores de seguridad y licencia mediante herramientas de análisis estático. Cualquier cambio del código fuente que no cumpla los estándares de EcoStruxure IT se devolverá al equipo de desarrollo para su mejora.
Prueba de penetración de seguridad de terceros
Schneider Electric emplea de forma ininterrumpida un número rotatorio de hackers certificados de terceros para realizar pruebas de penetración detalladas de todos los componentes de EcoStruxure IT (puerta de enlace, aplicación móvil y web). Cuando se publican nuevas características, se entregan declaraciones de objetivos a expertos en seguridad para verificar la seguridad de dichas características. Obtén más información sobre nuestra política de uso compartido de informes de pruebas de seguridad.
Respuesta ante incidentes
El equipo de respuesta ante ciberemergencias de productos empresariales de Schneider Electric (CPCERT) ha definido los procesos de administración de vulnerabilidades para garantizar una respuesta ante incidentes eficiente.
Para avisar de un incidente, contacta con tu Centro de asistencia al cliente local.
Si eres investigador, puedes avisar de una vulnerabilidad de ciberseguridad desde aquí.
Todas las vulnerabilidades descubiertas figuran en el Portal de asistencia de ciberseguridad de Schneider Electric.
Protección contra XSS (validación de entrada)
De acuerdo con las prácticas recomendadas de la industria, utilizamos procedimientos estrictos para sanear la salida de todas las entradas de usuarios. Dichos procedimientos se aplican en parte mediante análisis de código estático y también a través del uso de marcos de terceros conocidos y probados.
Características de seguridad del producto
SEGURIDAD DE LA AUTENTICACIÓN
Política de contraseñas
La política de contraseñas de EcoStruxure IT requiere lo siguiente:
- Al menos 8 caracteres de longitud
- Al menos 3 de los 4 tipos siguientes de caracteres:
- Minúsculas (a-z),
- Mayúsculas (A-Z),
- Números (del 0 al 9),
- Caracteres especiales (p. ej., !@#$%^&*)
- No más de 2 caracteres idénticos seguidos (p. ej., «aaa» no es válido)
EcoStruxure IT validará tu contraseña, siempre y cuando no sea una de las 10 000 contraseñas más comunes y no sea parte de la primera parte de tu dirección de correo electrónico.
Ten en cuenta que tu contraseña no caducará de acuerdo con las políticas de contraseñas que recomiendan el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos y el Centro Nacional de Ciberseguridad (NCSS) del Reino Unido.
Autenticación multifactor
La autenticación multifactor proporciona otra capa de seguridad a tu cuenta de EcoStruxure IT, de modo que se lo pone más difícil a alguien que quiera suplantarte al iniciar sesión. La autenticación multifactor está activada para todos los inicios de sesión en EcoStruxure IT, sin importar si eres un cliente, un socio comercial o un empleado de Schneider Electric. Schneider Electric te recomienda que utilices la aplicación de EcoStruxure IT para la autenticación de dos factores o una aplicación de autenticación de un tercero. Aunque es posible utilizar mensajes SMS de un solo uso y duración muy limitada como último recurso, su uso no se recomienda.
Almacenamiento de credenciales seguro
Schneider Electric sigue prácticas recomendadas de almacenamiento de credenciales seguro y nunca almacena contraseñas de EcoStruxure IT en formato de texto sin cifrar, y únicamente como el resultado de un hash salado y seguro y el uso de bcrypt. Las contraseñas se desvinculan de la plataforma interna y se guardan con Auth0, una solución que recomiendan los expertos de administración de autenticación.
Intentos de inicio de sesión fallidos
Schneider Electric aplica protección ante ataques de fuerza bruta a EcoStruxure IT. Se bloqueará el inicio de sesión en tu cuenta si has introducido una contraseña incorrecta más de 10 veces desde la misma dirección IP. A partir de ese momento, recibirás instrucciones sobre cómo desbloquear la dirección IP desde EcoStruxure IT mediante correo electrónico.
Schneider Electric también aplica límites de frecuencia. Si intentas iniciar sesión 20 veces por minuto con el mismo usuario y desde la misma ubicación, sin importar si las credenciales son correctas, se aplicará el límite de frecuencia. Tras la aplicación, solo tendrás 10 intentos por minuto.
SEGURIDAD DE LA PUERTA DE ENLACE
Conexión saliente
Schneider Electric se compromete a mantener la seguridad y la privacidad de tus datos, incluso antes de que estos salgan de tus instalaciones. Todas las conexiones desde la puerta de enlace de EcoStruxure IT hasta nuestra nube se validan mediante un certificado RSA de 2048 bits estándar de la industria y los datos se cifran en tránsito con cifrado AES de 256 bits. Para evitar poner en riesgo la seguridad de tu sitio, la puerta de enlace de EcoStruxure IT utiliza una conexión saliente a través del puerto 443 y solo se comunica con la nube de EcoStruxure IT mediante
40.84.62.190, 23.99.90.28, 52.230.227.202, 52.177.161.233 y 52.154.163.222.
Obtén más información sobre cómo EcoStruxure IT aplica actualizaciones a tu infraestructura mediante una conexión solo de salida (comunicación unidireccional) aquí.
Autenticación
Todas las solicitudes provenientes de la puerta de enlace se firman con una única clave privada creada durante la instalación y almacenada en la puerta de enlace, lo cual hace imposible suplantarla.
Actualizaciones automáticas
La puerta de enlace de EcoStruxure IT cuenta con una función de actualización automática, que garantiza la aplicación de parches de seguridad de software automáticamente para que la puerta de enlace siempre esté actualizada. Durante el proceso de actualización, la puerta de enlace sigue enviando datos de sensores y alarmas a la nube, de modo que se minimiza el tiempo de inactividad.
Privacidad de los datos
Política de privacidad
GDPR
El Reglamento General de Protección de Datos (“RGPD”) aborda el procesamiento de datos personales y el libre movimiento de dichos datos. Su objetivo es reforzar la seguridad y la protección de datos personales en la Unión Europea (UE) y armonizar la ley de protección de datos de la UE. Este reglamento establece diferentes principios y requisitos de protección de datos a los que adherirse al procesar datos personales.
Schneider Electric tiene un compromiso con el cumplimiento de sus obligaciones en virtud del RGPD. Nuestra empresa comparte información personal con procesadores de datos ajenos según es necesario.
Obtén más información acerca de los datos que se comparten con subprocesadores y subcontratistas.
Manejo y almacenamiento de datos personales
Schneider Electric recopila datos de sensores y alarmas de dispositivos de infraestructuras críticas, los cuales eliges compartir con nosotros. Schneider Electric solo recopila datos sobre el rendimiento de tu equipo, así como metadatos como la ubicación o la antigüedad de dicho equipo.
Antes de proceder a su almacenamiento, tus datos se etiquetan como tuyos. Dichos datos se aíslan de los datos de otros clientes mediante un identificador único que el sistema utiliza para asegurar una asociación correcta de los datos. Además, el motor de la nube mantiene un completo registro de auditoría de los datos recibidos y los datos en procesamiento, de modo que siempre podemos retroceder sobre nuestros pasos y consultar dónde han estado tus datos y para qué han sido utilizados.
EcoStruxure IT no accede a los datos almacenados en tus servidores o almacenamiento, ni tampoco supervisa el tráfico de tu red. Los datos se almacenan en Microsoft Azure en los Estados Unidos.
Uso de datos personales
En primer lugar, Schneider Electric procesa y almacena los datos por ti, de modo que están a tu disposición en cualquier parte del mundo a través de la aplicación de EcoStruxure IT. Aún más importante, compartir tus datos con Schneider Electric nos permite optimizar los servicios y productos que ofrecemos, para ayudarte a optimizar tu centro de datos y hacer posible que tengas como referencia a clientes de todo el mundo
Eliminación automática de datos personales
Cuando desactivas tu cuenta de EcoStruxure IT, nuestro sistema elimina de forma automática tus datos personales.
Seguridad del centro de datos y la red
Seguridad física
Instalaciones
Los servidores de EcoStruxure IT están alojados en los Estados Unidos, en Microsoft Azure Cloud, que cumple los requisitos de las certificaciones ISO 27001, HIPAA, FedRAMP, SOC 1 y SOC 2. Obtén más información sobre las instalaciones de Azure, entornos locales y seguridad física
Seguridad de la red
Acceso lógico
El acceso a la red de producción de EcoStruxure IT está restringido por un principio de mínimo conocimiento explícito, utiliza privilegios mínimos de acceso, está supervisado y es controlado por nuestro equipo de Operaciones. Los empleados que acceden a la red de producción de EcoStruxure IT están obligados a utilizar varios factores de autenticación.
DDoS
Dado que EcoStruxure IT se ejecuta en Microsoft Azure, Schneider Electric se beneficia de su supervisión de tráfico siempre activa y de la mitigación en tiempo real de ataques a nivel de red comunes, de modo que ofrece las mismas defensas que utilizan los servicios en línea de Microsoft.
Prueba de penetración de seguridad de terceros
Schneider Electric emplea de manera continua un número rotativo de hackers certificados de terceros que realizan pruebas de penetración detalladas de toda la plataforma de EcoStruxure IT. Obtén más información sobre nuestra política de uso compartido de informes de pruebas de seguridad.
Supervisión
Un equipo de DevOps se dedica a mantener y operar EcoStruxure IT según estándares extremadamente elevados de ciberseguridad y privacidad de datos. Todas las partes del sistema de EcoStruxure IT están continuamente siendo supervisadas y analizadas en busca de vulnerabilidades de seguridad o problemas de privacidad potenciales. El equipo de DevOps está disponible cualquier día y a cualquier hora para reaccionar con rapidez a amenazas o errores recién descubiertos.
Cifrado
Cifrado en tránsito
Todas las conexiones a la nube de EcoStruxure IT se validan mediante un certificado RSA de 2048 bits estándar de la industria y los datos se cifran en tránsito con cifrado AES de 256 bits. Para versiones de Android anteriores a la 7.0, Schneider Electric solo puede garantizar cifrado AES de 128 bits debido a las limitaciones de la plataforma Android.
Cifrado en reposo
Los datos de EcoStruxure IT se cifran mediante cifrado AES de 256 bits.
Disponibilidad y continuidad
Tiempo de actividad
EcoStruxure IT mantiene una página web de información del estado del sistema disponible públicamente que incluye información sobre la disponibilidad del sistema, mantenimientos programados, historial de incidentes de servicio y eventos de seguridad relevantes.
Redundancia
Todos los componentes de la plataforma EcoStruxure IT se implementan con una configuración de alta disponibilidad para eliminar la posibilidad de errores. Todos los datos cuentan con copia de seguridad en un almacenamiento diferente para evitar la pérdida de datos.
Subprocesadores y subcontratistas
Descubre la lista de subprocesadores que ayudan a ofrecer correctamente los servicios de EcoStruxure IT.