OPEN SOURCE EN APOYO DE LA SEGURIDAD
Creemos que es estratégico utilizar componentes de software Open Source ampliamente mantenidos y establecidos, evitando en la medida de lo posible las soluciones personalizadas que son difíciles de mantener y no están ampliamente probadas. Los enfoques “not invented here” y “security through obscurity” no forman parte de nuestra cultura, incluso antes de nuestros sistemas.
MEJORES PRÁCTICAS DE INFRAESTRUCTURA Y APLICACIÓN
La fiabilidad, la escalabilidad y la seguridad fueron las motivaciones que nos llevaron a elegir al Cloud Provider líder del mercado como socio de referencia para nuestros sistemas basados en la nube. La seguridad de las aplicaciones lanzadas en AWS está garantizada por la adopción de las mejores prácticas recomendadas por el propio Cloud Provider, desde el cifrado de los datos (en primer lugar a nivel de la base de datos, así como en el object storage y en cualquier otro soporte de datos “at rest”) hasta la comunicación entre servicios (siempre en VPCs internas, y estrictamente en un canal SSL seguro), pasando por la autenticación de los usuarios (a través del estándar OAuth 2.0 para los usuarios del sistema, y Single Sign-on de la empresa con autenticación multifactor para el empleado que trabaja en la infraestructura).
INFRASTRUCTURE-AS-CODE Y RESILIENCIA
Toda la infraestructura se gestiona a través de un “enfoque declarativo” en la definición de los recursos y su configuración: esto garantiza sólidos procedimientos automáticos de “disaster recovery” que permiten reducir al mínimo el Recovery Time Objective (RTO) y el Recovery Point Objective (RPO) en caso de fallo distribuido. Solemos probar estos procedimientos periódicamente para asegurarnos de que estén actualizados y sean correctos, encargando evaluaciones periódicas a consultores de ciberseguridad externos a la organización para validar las opciones tecnológicas y las medidas puestas en marcha para defender el perímetro de la plataforma.
PROTECCIÓN DEL PERÍMETRO DE LA EMPRESA
La seguridad de los ordenadores y dispositivos de la empresa se garantiza mediante el cifrado del disco, la identificación biométrica de los empleados y la completa gestión a distancia del parque de dispositivos. La autenticación del personal para acceder a los servicios internos y externos de la empresa se realiza, siempre que sea técnicamente posible, mediante Single Sign-On (SSO) a través de Google Suite Business: esto nos garantiza un único punto de acceso a las comunicaciones y sistemas de la empresa, con políticas estrictas de renovación de contraseñas e identificación de varios factores. Las claves de acceso a los sistemas que no admiten la integración con nuestro Provider SSO se comparten a través de un servicio dedicado de gestión de secretos, que, a su vez, sólo es accesible a través del SSO corporativo.
PARTICIÓN DE DATOS Y GESTIÓN DE SECRETOS
Los entornos de producción y desarrollo son física y lógicamente independientes, lo que nos permite limitar rigurosamente el acceso a los datos reales de los usuarios sólo al personal estrictamente autorizado para las actividades de mantenimiento de las aplicaciones y la infraestructura. El código de la aplicación y los secretos necesarios para el acceso a los sistemas se gestionan siempre de forma independiente, utilizando procedimientos automáticos para conciliar las referencias a los secretos durante las fases de lanzamiento del software en los respectivos entornos. La utilización de un servicio de gestión de secretos fiable (basado en una arquitectura de “zero knowledge”) y centralizado permite automatizar la gestión de las claves de acceso y su rotación periódica.
AUDITING & LOGGING DISTRIBUIDO
Cualquier actividad de los usuarios en el sistema se rastrea a través de los registros de las aplicaciones y del sistema: por un lado, el seguimiento de la actividad puede ayudar en la fase de resolución de problemas al proporcionar un historial preciso de las actividades realizadas y las respectivas responsabilidades de los desarrolladores, administradores del sistema y/o usuarios finales; por otro lado, garantizar el cumplimiento de nuestra plataforma con las últimas regulaciones impuestas por el GDPR.
OTRAS CONSIDERACIONES SOBRE EL GDPR
Todas las actividades descritas hasta ahora están destinadas a garantizar los estándares de seguridad exigidos por el Reglamento General de Protección de Datos (GDPR) en cualquier fase de desarrollo e implementación del sistema. Además de las opciones técnicas destinadas a minimizar el riesgo, el tratamiento de los datos se garantiza con respecto a los principios de legalidad establecidos en el Reglamento, en particular:
- Limitación de la finalidad: al iniciar sesión, el usuario acepta las condiciones de uso de los datos y da su consentimiento para el tratamiento; en caso de que se produzcan actualizaciones posteriores en relación con la finalidad del tratamiento, es posible solicitar al usuario que vuelva a enviar el formulario de aprobación; el formulario es específico para cada planta, ya que el cliente de Sofia está configurado como Responsable del Tratamiento de datos, y elige a Sofia como Encargada del Tratamiento;
- Minimización de los datos: sólo recogemos los datos pertinentes de los usuarios (es decir, nombre, apellido, correo electrónico);
- Exactitud: los procesos de auditoría y registro descritos garantizan una visibilidad completa de cómo se modifican los datos, y por quién;
- Integridad y confidencialidad: se garantiza mediante las actividades indicadas en la sección Partición de datos y gestión de secretos;
- Limitación de la conservación: para garantizar el llamado “derecho al olvido” del usuario, éste puede solicitar en cualquier momento la eliminación de sus datos personales de la plataforma. Todos los datos derivados de ellos (por ejemplo, registros de acceso, registros de actividad y eventos relacionados) serán “seudonimizados”, ya que dejarán de tener una referencia válida para rastrear la identidad de la persona física. Los registros de aplicaciones se eliminan en un plazo de 90 días (periodo de “log rotation”), al igual que las copias de seguridad: esto garantiza la eliminación completa de dichos datos incluso en los sistemas de almacenamiento “derivados” de la producción dentro del plazo legal;
- Justo y transparente: el cliente de Sofia sigue siendo el propietario de los datos, mientras que las condiciones de uso garantizan la transparencia sobre los fines del tratamiento, en la forma descrita en el primer punto de esta lista.
CASOS DE USO
Residencias de estudiantes y Coliving
Nuevos modelos de ingresos para el sector inmobiliario y la hostelería
Espacios de trabajo flexibles
Coworking y oficinas, el futuro del espacio de trabajo
Comercio minorista
Protege tus puntos de venta
Senior living
Soluciones de seguridad para proyectos de senior housing
FUNCIONES PARA EMPRESAS
Hot desking
Admite la reserva de recursos, la gestión del tiempo y las integraciones perfectas
Multi-site access control
Controle cualquier cantidad de edificios y áreas en tiempo real, desde cualquier dispositivo
Roles y permisos
Configure su sistema de control de acceso exactamente como su negocio
NFC HyperTag
Interacción de manos libres con tecnología NFC para todas las puertas