Nuestra seguridad e infraestructura
  • 27 Apr 2022
  • 8 Minutos para leer
  • Colaboradores
  • Oscuro
    Ligero
  • PDF

Nuestra seguridad e infraestructura

  • Oscuro
    Ligero
  • PDF

Article Summary

La seguridad es uno de los aspectos más importantes de cualquier aplicación SaaS. Como empresa especializada en productos SaaS, desarrollamos nuestros productos para estar al día con el mercado, y damos la máxima importancia a los estándares de protección de datos, asegurándole que sus datos estén en buenas manos. Document360 utiliza productos de socios seguros como Algolia y MongoDB Atlas que han sido certificados para proporcionar seguridad y cifrado estándar TLS para datos en tránsito. Los servicios de almacenamiento de Microsoft's Azure blob storage uno de los mejores estándares de seguridad de datos para guardar las copias de seguridad de su proyecto en una ubicación segura.

Resumen rápido de los aspectos de seguridad e infraestructura

  • Sus datos se almacenan en una base de datos remota alojada por nuestro socio de servicio de base de datos, MongoDB Atlas, en un clúster de 3 servidores, eliminando cualquier tiempo de inactividad.
  • MongoDb Atlas tiene cifrado TLS de extremo a extremo para el tráfico de red y los datos en reposo se almacenan en volúmenes de almacenamiento cifrados.
  • Se realiza una copia de seguridad diaria, semanal y mensual de la base de datos, y las copias de seguridad están disponibles durante 12 meses para su restauración.
  • Las copias de seguridad del proyecto se almacenan en el almacenamiento Microsoft Azure blob storage  en varias geolocalizaciones para la coherencia e integridad de los datos.
  • Estamos basados en la nube y tenemos una API segura, que se puede usar para acceder a los datos con el token de API correcto que tiene los permisos correctos. Esto le permite controlar los derechos de acceso a los datos del proyecto.
  • Document360 está hospedado en la Microsoft Azure Cloud. Por lo tanto, puede estar seguro de que sus datos están estrechamente protegidos por los últimos protocolos de seguridad y la tecnología cumple con los estándares de cumplimiento para la seguridad de los datos.
  • El equipo central es altamente técnico y entiende la importancia de la seguridad y mantenerse al día con las nuevas tecnologías. Trabajan en coordinación con un equipo offshore para proporcionar los mejores servicios para los clientes.
Los documentos de la API están disponibles para obtener más detalles sobre el uso de nuestra API.

Prácticas recomendadas

Aquí en Kovai Limited, creemos que el uso de las mejores prácticas crea aplicaciones seguras y robustas. Recomendamos a los usuarios de Document360 que sigan nuestra lista de prácticas recomendadas para evitar cualquier pérdida inesperada de datos o acceso no autorizado.

Lista de prácticas recomendadas:

  1. No recomendamos compartir la clave API en público o a través de redes menos seguras , ya que puede dar lugar a un acceso no autorizado a los datos, ya que la clave se puede utilizar para ver o explotar sus datos. En tal caso, recomendamos eliminar la clave inmediatamente y crear una nueva clave de API para su uso. Más información
  2. Recomendamos otorgar solo los permisos necesarios a una clave de API, ya que esto ayuda a mantener los datos en buenas manos y evita que usuarios no autorizados modifiquen los datos. Por ejemplo, para ver el conjunto de datos de "ejemplo", la clave API solo necesita el método GET, esto no permite a los usuarios modificar los datos utilizando la clave API. Más información
  3. Sugerimos que el gerente de equipo otorgue los derechos de acceso correctos a cada usuario , ya que la mayoría de nuestros clientes tienen un equipo que tiene los derechos de acceso a la documentación. Hacemos esto simple al tener roles que corresponden a un cierto nivel de derechos de acceso. Más información
  4. Recomendamos que los usuarios aprovechen las funcionalidades de copia de seguridad. La copia de seguridad automática del proyecto se realizará todos los días a las 00:00 UTC. También puede hacer una copia de seguridad manual de su proyecto en cualquier momento para mantener seguros los cambios realizados. Ambos harán una copia de seguridad de la configuración, la página de destino, la documentación y el contenido completo del proyecto y se pueden restaurar en cualquier momento para volver a una versión anterior. Este proceso está disponible para mantener a los usuarios en control y para evitar la pérdida de datos. Más información
  5. Le recomendamos que utilice la opción para hacer que el documento sea privado si es necesario. Varios clientes tienen diferentes casos de uso para nuestro producto, es posible que desee que la documentación sea visible para el público o simplemente visible para los miembros internos del equipo. Los propietarios del proyecto pueden hacer que la documentación sea privada en este último caso y hacerla no visible para el público. Más información

Información de seguridad de las integraciones utilizadas en Document360

Algolia - Socio de búsqueda

  • Cumple con SOC2 y SOC3: Algolia sigue todas las mejores prácticas de SOC 2 para garantizar la excelencia en cada uno de los cinco principios de servicio de confianza de AICPA. Lo que resulta en la protección de sus datos de las amenazas del mundo moderno.
    * Los servidores API admiten HTTPS y todas las versiones de TLS 1.0, 1.1 y 1.2 y los laboratorios SSL de Qualys reciben una calificación A
    * Algolia aísla los datos de cada cliente en aplicaciones separadas, evitando fugas e intercambio de información para preservar la integridad de sus datos.
Para obtener más información sobre la seguridad de Algolia Search, visite los documentos de seguridad de Algolia

MongoDB Atlas - Socio de servicio de base de datos

  • Aislamiento de red: los clústeres dedicados de MongoDB Atlas se implementan en una nube privada virtual (VPC) única con firewalls dedicados. Lo que significa que sus datos privados no pueden ser accedidos por terceros.
    * MongoDB Atlas se somete a una verificación independiente de los controles de seguridad, privacidad y cumplimiento de la plataforma.
    * Cifrado de extremo a extremo: todo el tráfico de red se cifra mediante TLS con la flexibilidad de configurar la versión mínima del protocolo TLS. El cifrado de los datos en reposo se almacena en volúmenes de almacenamiento cifrados.
Para obtener más información sobre la seguridad de MongoDB Atlas, visite los documentos de seguridad de MongoDB

Azure Blob Storage

  • Cifrado en tránsito: HTTPS mientras que la transferencia de datos está fuera del almacenamiento y el cifrado del lado del cliente que cifra los datos en la computadora cliente y luego se descifra una vez que se transfiere al servidor.
    * Cifrado en reposo: el cifrado del lado del almacenamiento siempre está habilitado, cifra automáticamente los datos del servicio de almacenamiento al escribirlos en Almacenamiento de Azure y el cifrado del lado del cliente también está habilitado para que los datos almacenados sean lo más seguros posible.
    * Protección avanzada contra amenazas: proporciona una capa adicional de seguridad que se utiliza para detectar comportamientos inusuales e intentos potencialmente dañinos de acceder y explotar su cuenta de almacenamiento.
Para obtener más información acerca de la seguridad del almacenamiento de blobs de Microsoft Azure, visite Documentos de seguridad de Azure

GDPR

  • Document360 cumple con el GDPR y solo recopilamos y almacenamos información que es necesaria para proporcionar nuestro servicio, con el consentimiento de nuestros clientes.
Para obtener más información sobre el cumplimiento del GDPR, visite la página de cumplimiento del GDPR de Document360

Continuidad del negocio y recuperación ante desastres

Para garantizar la continuidad del negocio, tenemos Alta Disponibilidad configurada para nuestras aplicaciones web y base de datos. Tenemos varios nodos que se ejecutan para servicios individuales, por lo que en caso de que uno se caiga, aún obtendrá una experiencia ininterrumpida con Document360.

Para cualquier posible desastre, tenemos nuestra base de datos y almacenamiento de datos replicados en diferentes ubicaciones geográficas, por lo que sus datos siempre están seguros con nosotros.


Más información
Para obtener más información sobre la seguridad de Document360, póngase en contacto con nosotros o reserve una demostración con nuestro equipo técnico.

Equipo de DevOps

Una hoja de ruta del producto es definida y revisada periódicamente por el Propietario del Producto. Las correcciones de seguridad se priorizan y se agrupan en el sprint más temprano posible. Nuestros sprints de DevOps están impulsados por miembros del equipo multidisciplinario, incluidos el propietario del producto, el director de ingeniería, los desarrolladores y el control de calidad.

  • Revisión de código

Todos los cambios son probados por el equipo de Control de Calidad y se establecen criterios para realizar revisiones de código, evaluación de vulnerabilidades web y pruebas de seguridad avanzadas.

  • Garantía de calidad

Las compilaciones se someten a estrictas pruebas de funcionalidad, pruebas de rendimiento, pruebas de estabilidad y pruebas de UX antes de que la compilación se certifique como "Good to go".

  • Control de versiones

El código fuente se gestiona de forma centralizada con controles de versiones y acceso restringido en función de varios equipos que se asignan a sprints específicos. Se mantienen registros de cambios de código y desprotecciones y desprotecciones de código.

  • Segregación de funciones

El acceso a los recursos de producción está restringido a un conjunto limitado de usuarios en función de los roles de trabajo.

Arquitectura altamente resistente

La arquitectura está construida teniendo en cuenta la resiliencia que garantiza una alta disponibilidad del producto y los datos.

  • Alta disponibilidad

Tenemos múltiples instancias de nuestros servicios en ejecución para garantizar la alta disponibilidad de nuestros servicios para nuestros clientes.

  • DNS altamente escalable

Dirija a los usuarios al mejor punto de conexión en función de la proximidad geográfica, la latencia, el estado y otras consideraciones.

  • Copia de seguridad de datos

Las instantáneas en la nube se toman todos los días y se conservan, semanal y mensualmente, y las copias de seguridad están disponibles durante 1 mes para su restauración.

  • Gestión de incidentes e infracciones

Se establecen procedimientos para reportar incidentes y rastrearlos para la comunicación, investigación y resolución oportunas.

  • Azure CDN

Usamos Azure CDN para asegurarnos de que nuestra aplicación y la documentación del cliente se sirven con rapidez y nos aseguramos de que se sirvan desde el nodo más cercano.


Para obtener más información sobre la seguridad y la infraestructura de Document360, póngase en contacto con nosotros (o) reserve hoy mismo una demostración con nuestros expertos.




¿Te ha sido útil este artículo?