Aviso
Acceda aquí y vea nuestras recomendaciones sobre las Buenas prácticas de seguridad para su entorno en TOTVS Fluig Plataforma.
Objetivo
El objetivo de esta guía es declarar los controles de seguridad que se realizan dentro de la TOTVS Fluig Plataforma y su ejecución en un entorno interno (on-premise) o cloud.
Criptografía
Tráfico de datos | Toda la comunicación de la plataforma TOTVS Fluig y los clientes se realiza por HTTPS/TLS, el protocolo más utilizado y confiable en el mercado. Conozca más sobre la configuración HTTPS Es responsabilidad del cliente proporcionar un certificado válido para el uso del servidor Fluig, por ejemplo: fluig.empresa.com.br. Si el cliente no tiene un certificado, le sugerimos que utilice la siguiente dirección: Certificado HTTPS por 2 meses. Informaciones También se recomienda configurar una rede DMZ para a plataforma. |
---|---|
Contraseñas | Los datos sensibles de usuario se graban de manera que no se puede encontrar el contenido original. El algoritmo PBKDF2WithHmacSHA1 se utiliza para grabar las contraseñas de los usuarios en TOTVS Identity. |
Autenticación | El proceso de Single Sign On (SSO) se realiza mediante el protocolo SAML, con un certificado generado internamente, donde no se realiza el intercambio de información de contraseña. |
Disponibilidad y continuidad
Servicios TOTVS Identity en la Nube | La disponibilidad mínima del entorno de Identity es del 99,5 % por mes sobre el entorno de producción. Todo el seguimiento y las notificaciones sobre los cambios de estado del servicio se encuentran disponibles en: http://status.fluigidentity.com |
---|---|
Servicio Analytics en la Nube | La disponibilidad mínima del entorno de Fluig Analytics es del 99,5 % por mes sobre el entorno de producción. |
Servicio CLOUD | Las políticas de disponibilidad y continuidad dependen de la propuesta comercial, donde nuestros planes empiezan con una disponibilidad del 97,5 % al mes. Confirme en la propuesta los valores específicos de uso y de disponibilidad. |
Alta disponibilidad On premises | Es responsabilidad del cliente on-premises crear un entorno que satisfaga la necesidad de disponibilidad y rendimiento que el negocio necesitará. Tenemos recomendaciones sobre cómo un cliente debe configurar su entorno para garantizar una mayor disponibilidad. Conozca más sobre cómo crear entornos de alta disponibilidad. Si el cliente necesita ayuda en la administración de su entorno, contamos con paquetes de servicios para asistirlo mejor. |
Entorno físico
Dependiendo del uso y contrato, el cliente puede estar en el datacenter NIMBVS de TOTVS o en el datacenter Amazon. Cada uno tiene características diferentes.
Entorno NIMBVS | Certificaciones
Ubicación Los datacenters se encuentran en São Paulo, Brasil |
---|---|
Entorno Amazon | Para servicios Fluig Viewer y para clientes asignados en la nube Amazon, se incluyen las siguientes certificaciones:
Más detalles sobre las certificaciones en el entorno Amazon Ubicación Los datacenters asignados son de la zona São Paulo, Brasil |
Entorno de servicios complementarios
Para el funcionamiento de la plataforma, en el concepto de fog computing, algunos servicios se ejecutan en servicios en la nube. Para transparencia para nuestros clientes, a continuación se encuentran los servicios y las ubicaciones.
Entorno Identity (Producción) | Ubicación Datacenters ubicados en la zona de São Paulo, Brasil, en los servicios de Amazon AWS |
---|---|
Ambiente Analytics | Para obtener más información sobre la arquitectura y la seguridad de los servicios de Analytics, consulte la guía de seguridad. Ubicación Datacenters asignados en Estados Unidos, en servicios de Rackspace |
Ambiente Fluig Viewer | Ubicación Datacenters ubicados en la zona de São Paulo, Brasil, en los servicios de Amazon AWS |
Integración con sistemas externos
La plataforma se puede integrar con varios sistemas en diferentes escenarios. Como seguridad le recomendamos que verifique todas estas integraciones.
Sistemas heredados | Con la plataforma TOTVS una de las características que se utiliza mucho en los proyectos creados es la integración con sistemas que la empresa ya posee, ya sea para consulta o para realización. Tipos de integración soportados:
Autenticaciones soportadas en REST:
|
---|---|
Servicios para desarrollo | La plataforma brinda varios servicios que permiten el desarrollo de personalizaciones e integraciones. Por eso recomendamos revisar la seguridad del acceso a las API, Datasets y Web services. Acceda la guía del usuario para obtener más información. |
Componentes obligatorios | On-Premise - License Server Para verificar el contrato del cliente usted necesitará instalar License Server. Este se conecta a la nube para verificar el contrato del cliente al que tiene acceso. Lea más sobre License Server. On-Premise - Base de datos De acuerdo con la matriz de portabilidad, la plataforma requiere el uso de una base de datos. Para obtener más detalles sobre las características de seguridad de este componente consulte la documentación de su proveedor. |
Componentes opcionales | Microsoft Active Directory Para la autenticación de usuarios, se puede usar Microsoft Active Directory. Tanto la plataforma como Identity tienen conexiones; para Identity tenemos Identity | SmartSync que se utiliza para aumentar la seguridad en esta comunicación. SMTP - Envío de e-mail Para realizar el envío de e-mail de notificaciones utilizamos el protocolo SMTP, tanto con SSL como con TLS. Lea más sobre la configuración de e-mail. Notificaciones PUSH Para notificar a los usuarios de aplicaciones móviles, se utiliza tanto la infraestructura de Google® como la de Apple®, en las que se reenvían pequeños mensajes sin datos críticos del negocio utilizando el socio de tecnología UrbanAirship que centraliza todos los mensajes enviados a los clientes TOTVS Fluig. |
Entorno Mobile
A la plataforma se puede acceder por medio de dispositivos móviles con Fluig Mobile, disponible para Android e iPhone/iPad.
Tráfico de datos | La comunicación entre Fluig Mobile y el servidor de Fluig se realiza por medio de la conexión de red, donde todo el tráfico de información se produce a través de HTTP. Para acceder a través de la red de datos celular (3G/4G) es necesario que la dirección de Fluig esté publicada en Internet. Para una mayor seguridad, puede habilitar HTTPS, respetando los certificados válidos para dispositivos móviles. Si no está publicado en Internet, es necesario que el dispositivo móvil donde está instalado el Fluig Mobile esté conectado a una red en la que se pueda acceder al servidor de Fluig. Ej.: Wi-Fi interno de la empresa, conexión VPN, etc. |
---|---|
Autenticación | Se realiza utilizando oAuth, un protocolo seguro de autorización que no almacena el usuario y la contraseña en el momento del inicio de sesión, solo la clave de autenticación (token). |
Seguridad de la red y aplicación
Recomendación seguida | Para buena parte de las acciones de seguridad, se tienen en cuenta las recomendaciones de OWASP |
---|---|
Prueba de vulnerabilidades | Empresas tercerizadas que realizan Pentests de forma regular e independiente. Se evalúan los descubrimientos de vulnerabilidades según el impacto y la probabilidad de falla, en función de ello se crean tareas de corrección para el equipo responsable. Para garantizar el proceso, se orienta a los clientes a que abran un ticket informando la situación mapeada en Pentest, junto con el impacto. Cada ticket abierto será evaluado por el equipo de seguridad TOTVS. Si la vulnerabilidad se confirma, el ticket entrará en el proceso de mantenimiento estándar. Cada situación debe tener su propio ticket, y debe evitarse crear un ticket con todas las situaciones. Es importante que las pruebas se realicen en un entorno que esté actualizado con la última versión de Fluig, que está disponible para download desde el Portal de Clientes. |
Incidentes de seguridad | En el caso de una fuga de información o de un descubrimiento de vulnerabilidad, se asignarán nuestros profesionales técnicos. Para garantizar el proceso, se orienta a los clientes a abrir un ticket que informa la situación. |