Árvore de páginas


Aviso

Acceda aquí y vea nuestras recomendaciones sobre las Buenas prácticas de seguridad para su entorno en TOTVS Fluig Plataforma.

Objetivo


El objetivo de esta guía es declarar los controles de seguridad que se realizan dentro de la TOTVS Fluig Plataforma y su ejecución en un entorno interno (on-premise) o cloud.


Criptografía

Tráfico de datos

Toda la comunicación de la plataforma TOTVS Fluig y los clientes se realiza por HTTPS/TLS, el protocolo más utilizado y confiable en el mercado. Conozca más sobre la configuración HTTPS

Es responsabilidad del cliente proporcionar un certificado válido para el uso del servidor Fluig, por ejemplo: fluig.empresa.com.br.

Si el cliente no tiene un certificado, le sugerimos que utilice la siguiente dirección: Certificado HTTPS por 2 meses.

Informaciones

También se recomienda configurar una rede DMZ para a plataforma.

Contraseñas

Los datos sensibles de usuario se graban de manera que no se puede encontrar el contenido original.

El algoritmo PBKDF2WithHmacSHA1 se utiliza para grabar las contraseñas de los usuarios en TOTVS Identity.

AutenticaciónEl proceso de Single Sign On (SSO) se realiza mediante el protocolo SAML, con un certificado generado internamente, donde no se realiza el intercambio de información de contraseña.


Disponibilidad y continuidad

Servicios TOTVS Identity

en la Nube

La disponibilidad mínima del entorno de Identity es del 99,5 % por mes sobre el entorno de producción.

Todo el seguimiento y las notificaciones sobre los cambios de estado del servicio se encuentran disponibles en: http://status.fluigidentity.com

Servicio Analytics

en la Nube

La disponibilidad mínima del entorno de Fluig Analytics es del 99,5 % por mes sobre el entorno de producción.
Servicio CLOUD

Las políticas de disponibilidad y continuidad dependen de la propuesta comercial, donde nuestros planes empiezan con una disponibilidad del 97,5 % al mes.

Confirme en la propuesta los valores específicos de uso y de disponibilidad.

Alta disponibilidad

On premises

Es responsabilidad del cliente on-premises crear un entorno que satisfaga la necesidad de disponibilidad y rendimiento que el negocio necesitará.

Tenemos recomendaciones sobre cómo un cliente debe configurar su entorno para garantizar una mayor disponibilidad.

Conozca más sobre cómo crear entornos de alta disponibilidad.

Si el cliente necesita ayuda en la administración de su entorno, contamos con paquetes de servicios para asistirlo mejor.


Entorno físico

Dependiendo del uso y contrato, el cliente puede estar en el datacenter NIMBVS de TOTVS o en el datacenter Amazon. Cada uno tiene características diferentes.

Entorno NIMBVS

Certificaciones

  • ISAE 3402 Tipo II
  • ISO 9001:2008
  • Datacenter TIER III
  • Gestión de vulnerabilidades ejecutada por consultoría especializada
  • Monitoreo y bloqueo contra ataques DDOS 24x7
  • SIEM
  • Firewall Next Generation
  • Política de copia de seguridad según la propuesta comercial
  • Política de entrega de datos en caso de interrupción irrecuperable en el datacenter TOTVS según propuesta comercial
  • Garantía de integridad de los datos según contrato

Ubicación

Los datacenters se encuentran en São Paulo, Brasil

Entorno Amazon

Para servicios Fluig Viewer y para clientes asignados en la nube Amazon, se incluyen las siguientes certificaciones:

  • ISO 27001
  • SOC 1 y SOC 2/SSAE 16/ISAE 3402 (antes SAS 70 Type II)
  • PCI Level 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)

Más detalles sobre las certificaciones en el entorno Amazon

Ubicación

Los datacenters asignados son de la zona São Paulo, Brasil


Entorno de servicios complementarios

Para el funcionamiento de la plataforma, en el concepto de fog computing, algunos servicios se ejecutan en servicios en la nube. Para transparencia para nuestros clientes, a continuación se encuentran los servicios y las ubicaciones.

Entorno Identity (Producción)

Ubicación

Datacenters ubicados en la zona de São Paulo, Brasil, en los servicios de Amazon AWS

Ambiente Analytics

Para obtener más información sobre la arquitectura y la seguridad de los servicios de Analytics, consulte la guía de seguridad.

Ubicación

Datacenters asignados en Estados Unidos, en servicios de Rackspace

Ambiente Fluig Viewer

Ubicación

Datacenters ubicados en la zona de São Paulo, Brasil, en los servicios de Amazon AWS


Integración con sistemas externos

La plataforma se puede integrar con varios sistemas en diferentes escenarios. Como seguridad le recomendamos que verifique todas estas integraciones.

Sistemas heredados

Con la plataforma TOTVS una de las características que se utiliza mucho en los proyectos creados es la integración con sistemas que la empresa ya posee, ya sea para consulta o para realización.

Tipos de integración soportados:

  • SOAP (HTTP y HTTPS)
  • REST (HTTP y HTTPS)
  • JDBC (la criptografía depende del proveedor de la base de datos)

Autenticaciones soportadas en REST:

  • Basic
  • OAuth 1
  • OAuth 2
  • Custom (escrito en JavaScript)
  • Ninguna
Servicios para desarrolloLa plataforma brinda varios servicios que permiten el desarrollo de personalizaciones e integraciones. Por eso recomendamos revisar la seguridad del acceso a las API, Datasets y Web services. Acceda la guía del usuario para obtener más información.

Componentes obligatorios

On-Premise - License Server

Para verificar el contrato del cliente usted necesitará instalar License Server. Este se conecta a la nube para verificar el contrato del cliente al que tiene acceso. Lea más sobre License Server.

On-Premise - Base de datos

De acuerdo con la matriz de portabilidad, la plataforma requiere el uso de una base de datos. Para obtener más detalles sobre las características de seguridad de este componente consulte la documentación de su proveedor.

Componentes opcionales

Microsoft Active Directory

Para la autenticación de usuarios, se puede usar Microsoft Active Directory. Tanto la plataforma como Identity tienen conexiones; para Identity tenemos Identity | SmartSync que se utiliza para aumentar la seguridad en esta comunicación.

SMTP - Envío de e-mail

Para realizar el envío de e-mail de notificaciones utilizamos el protocolo SMTP, tanto con SSL como con TLS. Lea más sobre la configuración de e-mail.

Notificaciones PUSH

Para notificar a los usuarios de aplicaciones móviles, se utiliza tanto la infraestructura de Google® como la de Apple®, en las que se reenvían pequeños mensajes sin datos críticos del negocio utilizando el socio de tecnología UrbanAirship que centraliza todos los mensajes enviados a los clientes TOTVS Fluig.


Entorno Mobile

A la plataforma se puede acceder por medio de dispositivos móviles con Fluig Mobile, disponible para Android e iPhone/iPad.

Tráfico de datos

La comunicación entre Fluig Mobile y el servidor de Fluig se realiza por medio de la conexión de red, donde todo el tráfico de información se produce a través de HTTP.

Para acceder a través de la red de datos celular (3G/4G) es necesario que la dirección de Fluig esté publicada en Internet. Para una mayor seguridad, puede habilitar HTTPS, respetando los certificados válidos para dispositivos móviles.

Si no está publicado en Internet, es necesario que el dispositivo móvil donde está instalado el Fluig Mobile esté conectado a una red en la que se pueda acceder al servidor de Fluig.

Ej.: Wi-Fi interno de la empresa, conexión VPN, etc.

AutenticaciónSe realiza utilizando oAuth, un protocolo seguro de autorización que no almacena el usuario y la contraseña en el momento del inicio de sesión, solo la clave de autenticación (token).


Seguridad de la red y aplicación

Recomendación seguidaPara buena parte de las acciones de seguridad, se tienen en cuenta las recomendaciones de OWASP
Prueba de vulnerabilidades

Empresas tercerizadas que realizan Pentests de forma regular e independiente.

Se evalúan los descubrimientos de vulnerabilidades según el impacto y la probabilidad de falla, en función de ello se crean tareas de corrección para el equipo responsable.

Para garantizar el proceso, se orienta a los clientes a que abran un ticket informando la situación mapeada en Pentest, junto con el impacto.

Cada ticket abierto será evaluado por el equipo de seguridad TOTVS. Si la vulnerabilidad se confirma, el ticket entrará en el proceso de mantenimiento estándar.

Cada situación debe tener su propio ticket, y debe evitarse crear un ticket con todas las situaciones.

Es importante que las pruebas se realicen en un entorno que esté actualizado con la última versión de Fluig, que está disponible para download desde el Portal de Clientes.

Incidentes de seguridad

En el caso de una fuga de información o de un descubrimiento de vulnerabilidad, se asignarán nuestros profesionales técnicos.

Para garantizar el proceso, se orienta a los clientes a abrir un ticket que informa la situación.