Seguridad

Seguridad para aplicaciones

Schneider Electric se compromete a desarrollar y probar soluciones seguras contra amenazas de seguridad para garantizar la protección de los datos de sus clientes. Asimismo, Schneider Electric emplea continuamente los servicios de un número rotativo de hackers externos con las debidas certificaciones para realizar pruebas de penetración detalladas en la plataforma de EcoStruxure IT al completo.

Seguridad para productos

La plataforma de EcoStruxure IT cuenta con protección adicional gracias a la autentificación de dos factores obligatoria y a unos estándares de cifrado de alta seguridad. Tus datos se transfieren de forma segura a la plataforma de EcoStruxure IT mediante la puerta de enlace de EcoStruxure IT, la cual utiliza una conexión saliente para garantizar que nadie pueda poner en riesgo tu entorno.

Privacidad de los datos

Schneider Electric garantiza la privacidad y la integridad de tus datos en todo momento. EcoStruxure IT cumple con el Reglamento General de Protección de Datos (RGPD) y utiliza únicamente datos de máquinas para optimizar tu experiencia con la plataforma y garantizar la confidencialidad de tus datos personales.

Seguridad para aplicaciones

Un desarrollo seguro

Formación en seguridad

Todos los nuevos desarrolladores de software de EcoStruxure IT cursan un programa de formación en seguridad obligatorio tras su contratación y con periodicidad anual posteriormente. Además, pueden elegir participar en una formación en materia del denominado «hackeo ‘white Hat’ para recibir la pertinente certificación como hacker ético.

Revisión por pares

Cualquier modificación realizada en la plataforma de EcoStruxure IT se somete a una revisión por pares obligatoria, en la que los cambios efectuados en el código y la infraestructura son revisados por al menos un ingeniero adicional a fin de validar la calidad, la seguridad y el rendimiento.

Se realiza un seguimiento de todas las modificaciones mediante un sistema de control de versiones (GIT) para garantizar el historial, la trazabilidad y el análisis por motivos de auditoría.

Entorno independiente

Los entornos de prueba de EcoStruxure IT se encuentran aislados físicamente del entorno de producción.

Vulnerabilidades de las aplicaciones

Análisis de vulnerabilidades dinámico

Schneider Electric utiliza diversas herramientas de seguridad de terceros para analizar de forma continua y dinámica la plataforma de EcoStruxure IT en busca de vulnerabilidades. Schneider Electric mantiene un equipo de seguridad comprometido para gestionar los resultados y colaborar con los equipos de ingeniería a fin de resolver problemas.

Análisis de código estáticos

Todas las modificaciones realizadas en el código fuente se analizan de forma continua en busca de errores y problemas relacionados con la seguridad y las licencias mediante una serie de herramientas de análisis estático. Cualquier cambio efectuado en el código fuente que no cumpla con los estándares de EcoStruxure IT se devuelve al equipo de desarrollo para mejorarlo.

Pruebas de penetración de seguridad de terceros

Schneider Electric emplea continuamente los servicios de un número rotativo de hackers externos con las debidas certificaciones para realizar pruebas de penetración detalladas en todos los componentes de EcoStruxure IT (Gateway, la app para dispositivos móviles y la aplicación web). Siempre que se lanzan nuevas características se envían declaraciones de misión a expertos en seguridad para garantizar la seguridad de estas. Más información sobre nuestra política de divulgación de informes de pruebas de seguridad (en inglés)

Respuesta a incidencias

El equipo de respuesta a emergencias cibernéticas para productos empresariales (CPCERT) de Schneider Electric ha desarrollado procesos de gestión de vulnerabilidades para garantizar una respuesta eficaz a incidencias.

Para notificar una incidencia, envíe un correo electrónico a cybersecurity@schneider-electric.com.

Todas las divulgaciones de vulnerabilidades se notifican en el portal de asistencia para ciberseguridad de Schneider Electric.

Características de seguridad del producto

SEGURIDAD DE LA AUTENTIFICACIÓN

Política sobre contraseñas

La política sobre contraseñas de EcoStruxure IT exige:

  • Al menos 8 caracteres de longitud
  • Al menos 3 de los siguientes 4 tipos de caracteres:
    • letras minúsculas (a-z);
    • letras mayúsculas (A-Z);
    • números (0-9);
    • caracteres especiales (p. ej., !, @, #, $, %, ^, &, y *).

EcoStruxure IT validará tu contraseña siempre y cuando no se trate de una de las 10 000 más habituales y de que no se trate de la primera parte de tu dirección de correo electrónico.

Ten en cuenta que tu contraseña no caduca, de conformidad con las directrices recomendadas para contraseñas del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) y el Centro Nacional de Ciberseguridad (National Cyber Security Centre) del Reino Unido.

Autentificación multifactor

La autentificación multifactor proporciona otra capa de seguridad a tu cuenta de EcoStruxure IT, lo que hace que resulte más difícil que alguien inicie sesión en tu lugar. La autentificación multifactor está activada en todos los inicios de sesión en EcoStruxure IT, ya seas un cliente, un partner o un trabajador de Schneider Electric. Schneider Electric recomienda utilizar la aplicación de EcoStruxure IT a modo de segundo factor de autentificación o, en su defecto, una aplicación de autentificación de terceros. A pesar de que, como último recurso, es posible utilizar tokens SMS de un solo uso y corta duración, no es recomendable hacerlo.

Almacenamiento seguro de datos de inicio de sesión

Schneider Electric obedece las prácticas recomendadas para el almacenamiento seguro de datos de inicio de sesión, para lo que nunca almacena contraseñas de EcoStruxure IT en un formato de texto claramente legible, sino mediante un hashing con sal criptográfica bcrypt. Las contraseñas se desvinculan de la plataforma interna y se guardan mediante Auth0, una solución recomendada por expertos en gestión de autentificación.

Errores de inicios de sesión

Schneider Electric aplica la máxima severidad para proteger EcoStruxure IT. Se te impedirá iniciar sesión con tu cuenta en caso de haber introducido una contraseña errónea más de 10 veces desde una misma dirección IP. Seguidamente, se te indicará cómo desbloquear la dirección IP desde EcoStruxure IT a través de correo electrónico.

Además, Schneider Electric aplica límites temporales. Si intentas iniciar sesión 20 veces por minuto como un mismo usuario y desde la misma ubicación, con independencia de que introduzcas los datos de inicio de sesión correcto, se aplicará la limitación temporal. Por tanto, solo podrás intentarlo 10 veces por minuto.

SEGURIDAD DEL GATEWAY

Conexión saliente

Schneider Electric se compromete a mantener la seguridad y la privacidad de tus datos, incluso antes de salir de tus instalaciones. Todas las conexiones entre un gateway de EcoStruxure IT y nuestra nube se validan mediante un certificado RSA de 2048 bits estándar del sector y los datos se cifran en tránsito mediante cifrado AES de 256 bits. Para evitar poner en riesgo la seguridad de tus instalaciones,el gateway de EcoStruxure IT emplea una conexión saliente a través del puerto 443 y solo se comunica con la nube de EcoStruxure IT utilizando 40.84.62.190 y 23.99.90.28.

Encontrarás más información sobre cómo EcoStruxure IT aplica actualizaciones sobre tu infraestructura utilizando una conexión saliente (comunicación unidireccional) aquí (en inglés).

Autentificación

Todas las solicitudes provenientes del gateway se firman con una clave privada única generada en las instalaciones y almacenada en la propia puerta de enlace, con lo que resultan imposibles de imitar.

Actualizaciones automáticas

El gateway de EcoStruxure IT incorpora una función de actualización automática que garantiza que los parches de seguridad para el software se apliquen automáticamente y que la puerta de enlace esté siempre actualizada. Las actualizaciones no provocarán ningún tiempo de inactividad: la monitorización continuará garantizada durante la aplicación de estas.

Privacidad de los datos

RGPD

El Reglamento General de Protección de Datos (RGDP) dispone cómo deben realizarse el procesamiento de datos personales y el libre movimiento de dichos datos. Su finalidad es la de reforzar la seguridad y la protección de los datos personales en la UE, además de armonizar las diferentes legislaciones sobre privacidad de los datos de la UE. Este reglamento establece una serie de principios y exigencias relativos a la protección de datos que es necesario seguir durante los procedimientos de procesamiento de datos personales.

EcoStruxure IT hace todo lo que puede para cumplir con el RGDP. Schneider Electric comparte información personal con procesadores de datos externos solo en función de las necesidades de información. Más información sobre qué tipos de datos personales se comparten con procesadores secundarios y subcontratistas.

Manejo y almacenamiento de datos personales

Schneider Electric recopila aquellos datos de sensores y alarmas de dispositivos vitales de infraestructuras que elijas compartir con nosotros. Schneider Electric solamente recopila datos de rendimiento de tus equipos y ciertos metadatos, por ejemplo, dónde se encuentran y qué antigüedad tienen.

Antes de marcarlos para almacenarlos, tus datos se etiquetan como tuyos. Tus datos se separan de los de los demás clientes mediante un identificador único que es utilizado por el sistema para garantizar la coincidencia exacta de estos. Asimismo, el motor de la nube mantiene una ruta de auditoría completa de los datos recibidos y del procesamiento de los datos que nos permiten volver sobre nuestros pasos y consultar dónde han estado tus datos y con qué finalidad se han utilizado.

EcoStruxure IT no accede a ningún dato almacenado en tus servidores o equipos de almacenamiento ni monitoriza tráfico alguno de tu red. Los datos se almacenan en Microsoft Azure en los Estados Unidos, el cual cuenta con certificación automática de Privacy Shield tanto en la UE como en EE. UU.

Uso de datos personales

En primer lugar, Schneider Electric procesa y almacena datos por ti, de forma que puedas acceder a ellos desde cualquier parte del mundo a través de la aplicación de EcoStruxure IT. Pero, lo que es más importante, compartir tus datos con Schneider Electric nos permite optimizar los servicios y productos que ofrecemos a fin de ayudarte a sacar el máximo partido de tu centro de datos y a permitir que puedas compararte con otros organismos similares de todo el mundo.

Seguridad de centros de datos y redes

Seguridad física

Facilities

Los servidores de EcoStruxure IT se encuentran alojados en Estados Unidos, en la nube de Microsoft Azure, que cuenta con certificaciones ISO 27001, HIPAA, FedRAMP, SOC 1 y SOC 2. Más información sobre las instalaciones y la seguridad física de Microsoft Azure

Seguridad de redes

Acceso lógico

El acceso a EcoStruxure IT Production Network está restringido a aquellos casos concretos en los que se necesite información, emplea el privilegio de menor rango, está monitorizado y bajo el control de tu equipo de operaciones. Aquellos trabajadores que accedan a la red de producción de EcoStruxure IT están obligados a utilizar varios factores de autentificación.

DDoS

Puesto que EcoStruxure IT se ejecuta a través de Microsoft Azure, Schneider Electric aprovecha su monitorización del tráfico continua y su mitigación en tiempo real para ataques habituales a nivel de red, además de proporcionar el mismo tipo de protecciones que el utilizado por los servicios en línea de Microsoft.

Pruebas de penetración de seguridad de terceros

Schneider Electric emplea continuamente los servicios de un número rotativo de hackers externos con las debidas certificaciones para realizar pruebas de penetración detalladas en la plataforma de EcoStruxure IT al completo. Más información sobre nuestra política de divulgación de informes de pruebas de seguridad (en inglés).

Monitorización

El mantenimiento y el funcionamiento de EcoStruxure IT son tarea de un equipo central de desarrollo y operaciones que cuenta con unos estándares enormemente altos en materia de ciberseguridad y privacidad de los datos. Todos los elementos del sistema de EcoStruxure IT se monitorizan y analizan de forma continua en busca de posibles vulnerabilidades de seguridad o problemas relacionados con la privacidad. El equipo de desarrollo y operaciones está disponible las 24 horas del día, los 7 días de la semana para reaccionar rápidamente a nuevas amenazas o problemas que se descubran.

Cifrado

Cifrado en tránsito

Todas las conexiones con la nube de EcoStruxure IT se validan mediante un certificado RSA de 2048 bits estándar del sector y los datos se cifran en tránsito mediante cifrado AES de 256 bits. Para versiones de Android anteriores a la 7.0, Schneider Electric solo puede garantizar un cifrado AES de 128 bits debido a la existencia de limitaciones en la plataforma de Android.

Cifrado en reposo

Los datos de EcoStruxure IT están protegidos mediante cifrado 256 bit AES.

Continuidad y disponibilidad

Redundancia

Todos los componentes de la plataforma de EcoStruxure IT están implementados conforme a una configuración de alta disponibilidad a fin de eliminar los puntos únicos de fallo. Se realizan copias de seguridad de todos los datos en dispositivos de almacenamiento independientes para evitar pérdidas de datos.

Procesadores secundarios y subcontratistas