Volver

¿Están seguros nuestros datos?

Utilizamos los protocolos estándar de la industria y las mejores prácticas para proteger sus datos y su privacidad.
En el complejo y regulado entorno actual, nuestros usuarios confían en nosotros para proteger sus datos utilizando herramientas y prácticas que cumplen con los estándares de la industria. Esta página ofrece una visión general de los esfuerzos realizados por Netatoo para cumplir con estos requisitos.

En el complejo y regulado entorno actual, nuestros usuarios confían en nosotros para proteger sus datos utilizando herramientas y prácticas que cumplen con los estándares de la industria. Esta página ofrece una visión general de los esfuerzos realizados por Netatoo para cumplir con estos requisitos.

Seguridad de la base de datos y accesos

Para empezar, aseguramos nuestra capa de persistencia limitando el acceso a nuestra base de datos de la aplicación principal a la capa de aplicación y a un conjunto fijo de direcciones IP conocidas que pertenecen a Netatoo. Esta limitación de acceso se realiza mediante una combinación de reglas de firewall, mecanismos de autenticación (exigiendo que los usuarios prueben su identidad) y autorización a través de permisos basados en roles.

Copias de seguridad y restauración de datos

Abordamos la posibilidad de una pérdida catastrófica de datos de la aplicación (por ejemplo, como resultado de un desastre natural) creando automáticamente copias de seguridad de la base de datos con un enfoque geo-redundante.

  • Creamos copias de seguridad completas y diferenciales, cada una de las cuales está cifrada con el algoritmo AES-256.
  • Las copias de seguridad completas de las bases de datos se realizan cada pocas horas, mientras que las copias de seguridad diferenciales generalmente se realizan cada hora, y las copias de seguridad de los registros de transacciones generalmente se realizan cada 10 a 15 minutos.
  • En caso de pérdida de datos, podemos restaurar los datos a un momento específico para minimizar la pérdida de información. La integridad de las copias de seguridad se verifica de manera semi-automática y regular para asegurarse de que los datos almacenados sean conformes.
  • Las copias de seguridad se conservan durante 90 días, luego se destruyen.

Auditoría de seguridad y detección de amenazas

Para ayudarnos a mantener el cumplimiento normativo, comprender la actividad de la base de datos y comprender mejor las discrepancias y anomalías que podrían indicar violaciones de seguridad presuntas (otro aspecto del RGPD de la UE), hemos implementado una auditoría avanzada que permite la detección de amenazas en nuestros servidores. Estos servicios detectan amenazas potenciales a medida que ocurren (por ejemplo, conexiones anormales a bases de datos, vulnerabilidades de inyección SQL) y alertan inmediatamente a nuestro equipo para que pueda tomar las medidas necesarias. En el caso particular del RGPD, este servicio constituye un elemento clave de la máquina técnica que nos permite detectar violaciones de datos y notificar a las autoridades de control en el improbable caso de que ocurra tal situación.

Seguridad de las conexiones y protocolo HTTPS

A nivel de la capa de aplicación, forzamos todas las solicitudes entrantes a utilizar conexiones seguras HTTPS (HTTP sobre TLS). Según el dispositivo cliente, la conexión puede utilizar TLS 1.0, TLS 1.1.1 o TLS 1.2. Prohibimos las conexiones que utilizan los protocolos obsoletos y vulnerables SSL 2 y SSL 3.

Encabezados de seguridad HTTP avanzados

Las conexiones TLS aceptadas están cifradas utilizando un certificado SSL que emplea el estándar web más fuerte. Como parte de todas las respuestas HTTPS, nuestros servidores incluyen una serie de encabezados de seguridad avanzados. Estos incluyen, en particular:

  • X-XSS-Protection ordena a los navegadores modernos que interrumpan las comunicaciones cuando detecten ataques XSS (Cross-site Scripting) reflejados.
  • Content-Security-Policy solicita a los navegadores que tomen medidas estrictas para prevenir el cross-site scripting (XSS), el clickjacking y otros ataques de inyección de código resultantes de la ejecución de contenido malicioso en el contexto de una página web de confianza.
  • Strict-Transport-Security, también conocido como HSTS. Solicita a los navegadores que accedan a ballejaune.com / openresa.com solo utilizando HTTPS (es decir, nunca usar HTTP). Hemos implementado este encabezado con una larga duración.
  • Expect-CT solicita a un cliente/navegador web que aplique los requisitos de transparencia de certificados (es decir, verificar que los certificados de nuestro sitio aparezcan en los registros de CT públicos), lo que ayuda a prevenir el uso de certificados incorrectos de Netatoo.
  • Referrer-Policy nos permite controlar el valor del encabezado "referer" (sic) para los enlaces fuera de nuestras páginas. En nuestro caso, especificamos que el encabezado "referer" no debe establecerse cuando la navegación resulta en una degradación de HTTPS a HTTP.

Resultados de auditorías de seguridad independientes

Netatoo recibe una calificación "A" del servicio independiente securityheaders.io que permite verificar los diferentes elementos implementados. Puede ejecutar la prueba a pedido para ballejaune.com y openresa.com y visualizar el informe por sí mismo. También le animamos a comparar la prueba con otros sitios web que utiliza o que tiene la intención de utilizar.

Los servidores de alojamiento de aplicaciones de Netatoo también reciben una calificación "A+" de la prueba de servidor independiente Qualys SSL Labs, estándar de la industria. Puede ejecutar la prueba a pedido y visualizar el informe por sí mismo. El informe señala que no somos vulnerables a algunas de las vulnerabilidades más recientes como BEAST, POODLE y Heartbleed. Nuevamente, le animamos a comparar la prueba con otros sitios web que utiliza o que tiene la intención de utilizar.

Prevención de ataques y seguridad de cookies

Para ayudar a prevenir ataques de diccionario, nuestro mecanismo de inicio de sesión utiliza además la funcionalidad de bloqueo de cuenta si se ingresa una contraseña de inicio de sesión incorrecta varias veces.

Las cookies enviadas por el servidor al cliente para fines de autenticación y verificación de solicitudes siempre están marcadas con los atributos "HttpOnly" y "Secure", y sus valores de dominio y ruta están configurados adecuadamente para su uso con ballejaune.com / openresa.com.

Seguridad de los pagos en línea

En lo que respecta a los pagos en línea, Netatoo cumple con el estándar PCI. En la práctica, todos los pagos se procesan directamente con la pasarela de pago que haya elegido (PayPal, Paybox Verifone). Como tal, ningún detalle de pago sensible entra en contacto con los sistemas pertenecientes a Netatoo (en su lugar, se redirige de manera transparente a su pasarela y luego se gestiona a través de un enfoque basado en tokens).

Seguridad de los correos electrónicos transaccionales

Los correos electrónicos transaccionales enviados por nuestros servicios utilizan las últimas características de seguridad para la validación de correos electrónicos. Esto incluye políticas válidas de SPF, DKIM y DMARC. En el caso de DMARC, nuestra política publicada solicita a los servidores de los destinatarios que pongan en cuarentena todos los mensajes que no pasen la prueba de DMARC. Estas características son herramientas avanzadas que ayudan a prevenir el spam, el spoofing y los ataques de phishing. Naturalmente, también incluimos enlaces para darse de baja en todos los correos electrónicos que enviamos, y hemos implementado un sistema de limitación de velocidad para ayudar a prevenir ataques de bombardeo de correos electrónicos.

Prácticas de seguridad internas en Netatoo

A nivel organizacional, los empleados de Netatoo tienen acceso restringido a los datos basándose en los principios de seguridad de "necesidad de saber" y "mínimo privilegio". Los sistemas de desarrollo y prueba se implementan en una red interna que no es accesible desde el exterior. El código fuente de la aplicación se gestiona en un repositorio privado y no contiene información sensible (como claves API, contraseñas o cadenas de conexión).

Seguimiento de la disponibilidad de servicios

En caso de incidentes (por ejemplo, fallos de aplicaciones, rendimiento degradado u otros), puede seguir el estado de nuestros servicios a través de Pingdom en la siguiente dirección: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Actualizaciones y buenas prácticas continuas

Finalmente, prestamos especial atención a actualizar regularmente nuestros servidores y sistemas internos para aplicar los últimos parches de seguridad. Cambiamos nuestras contraseñas cada 60 días y utilizamos autenticación de dos factores en casi todas las aplicaciones y servicios de terceros que utilizamos en el curso de nuestro trabajo.

Conclusión

Esperamos que esta información le haya ayudado a comprender los principales mecanismos de seguridad implementados por Netatoo para proteger sus datos. Revisamos continuamente nuestros procedimientos de seguridad, por lo que esta información podría cambiar en el futuro a medida que respondamos a la evolución del panorama de seguridad.

Contáctenos

Dirección postal:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

Correo electrónico:
support@openresa.com

Actualizado el jueves, 12 de junio de 2025
Condiciones y política de privacidad
Cuba (ES)