Saltar al contenido principal

Seguridad

Console está construido con la seguridad como máxima prioridad. Esta guía cubre las características de seguridad disponibles y las mejores prácticas para mantener tu organización segura.

Características de Seguridad Integradas

Console incluye múltiples capas de seguridad:

🔐 Aislamiento de Datos

Separación completa entre compañías

🔒 Almacenamiento Encriptado

Datos sensibles encriptados en reposo

🛡 Autenticación Segura

Sin contraseña, SSO, 2FA y autenticación tradicional

📝 Registro de Auditoría

Seguimiento completo de actividad

Seguridad de Autenticación

Autenticación de Dos Factores (2FA)

Requiere que los usuarios prueben su identidad con dos factores:

  1. Algo que saben (contraseña)
  2. Algo que tienen (teléfono con app autenticadora)

Habilitar 2FA:

  1. Ve a ConfiguraciónSeguridad
  2. Activa Requerir 2FA para todos los usuarios
  3. Los usuarios deben configurar 2FA en el próximo inicio de sesión

Beneficios:

  • Previene acceso no autorizado incluso si la contraseña es comprometida
  • Protege contra ataques de phishing
  • Requerido para cumplimiento en muchas industrias
Comienza con Admins

Requiere 2FA para administradores primero, luego extiéndelo a todos los usuarios.

Políticas de Contraseña

Console aplica contraseñas fuertes por defecto:

  • Mínimo 12 caracteres
  • Combinación de mayúsculas, minúsculas, números y símbolos
  • No puede reutilizar las últimas 5 contraseñas
  • Expira después de 90 días (configurable)

Configurar Política de Contraseña:

  1. Ve a ConfiguraciónSeguridad
  2. Ajusta Requisitos de Contraseña
  3. Haz clic en Guardar

Autenticación Sin Contraseña

El inicio de sesión sin contraseña elimina la necesidad de recordar contraseñas usando códigos temporales enviados a tu correo electrónico.

Cómo Funciona:

  1. Ingresa tu dirección de correo en la página de inicio de sesión
  2. Recibe un código de 6 dígitos por correo
  3. Ingresa el código para autenticarte
  4. Acceso concedido sin necesitar contraseña

Beneficios:

  • Más Seguro: Sin contraseñas que robar o phishing
  • Mejor UX: Sin necesidad de recordar contraseñas complejas
  • Inicio de Sesión Más Rápido: Revisa correo e ingresa código
  • Previene Reutilización de Contraseñas: Cada inicio de sesión usa un código único

Habilitar Sin Contraseña:

  1. Ve a ConfiguraciónSeguridad
  2. Activa Permitir Inicio de Sesión Sin Contraseña
  3. Los usuarios pueden elegir sin contraseña en la pantalla de inicio de sesión

Características de Seguridad:

  • Los códigos expiran después de 10 minutos
  • Solo un uso (no puede reutilizar códigos)
  • Limitación de tasa para prevenir fuerza bruta
  • Verificación de correo asegura identidad
Combina con 2FA

Para máxima seguridad, habilita tanto autenticación sin contraseña como 2FA. Los usuarios necesitarán tanto acceso a correo como su app autenticadora.

Cuándo Usar:

  • ✅ Usuarios móviles que revisan correo frecuentemente
  • ✅ Usuarios que luchan con complejidad de contraseñas
  • ✅ Escenarios de acceso rápido (soporte, operaciones)
  • ❌ Cuentas admin de alta seguridad (usar contraseña + 2FA)

Single Sign-On (SSO)

Para máxima seguridad, usa SSO con tu Identity Provider:

  • Control de acceso centralizado
  • Sin contraseñas almacenadas en Console
  • Desaprovisionamiento automático cuando usuarios se van
  • Cumplimiento con estándares empresariales

Ve Configurando SSO para instrucciones de configuración.

Control de Acceso

Principio de Menor Privilegio

Da a los usuarios solo el acceso que necesitan:

No:

  • Hacer a todos administradores
  • Dar permisos amplios "por si acaso"
  • Dejar cuentas viejas activas

Sí:

  • Otorgar permisos mínimos requeridos
  • Usar grupos específicos para propósitos específicos
  • Revisiones de acceso regulares

Ejemplo:

Agente de Soporte necesita:
✓ Leer usuarios (para ayudar clientes)
✓ Leer y actualizar tickets
✗ Eliminar usuarios
✗ Modificar facturación

Revisiones de Acceso Regulares

Revisa quién tiene acceso a qué:

Mensualmente:

  • Verificar acceso administrativo
  • Revisar asignaciones de nuevos usuarios
  • Confirmar tasa de adopción de 2FA

Trimestralmente:

  • Revisión completa de todo el acceso de usuarios
  • Remover usuarios inactivos
  • Actualizar membresías de grupos

Anualmente:

  • Evaluar estructura de permisos
  • Actualizar políticas de seguridad
  • Revisar logs de auditoría por patrones

Seguridad de Sesión

Configura ajustes de sesión para tus necesidades de seguridad:

Duración de Sesión:

  • Por defecto: 7 días
  • Recomendado: 1 día para alta seguridad
  • Configura en ConfiguraciónSeguridad

Cierre de Sesión Automático:

  • Habilita timeout después de inactividad
  • Por defecto: 30 minutos
  • Personaliza según tus necesidades

Protección de Datos

Aislamiento de Datos

Console garantiza completo aislamiento de datos entre compañías:

  • Tus datos son invisibles para otras compañías
  • Las consultas a la base de datos son filtradas automáticamente
  • No es posible acceso entre compañías

Medidas Técnicas:

  • Cada consulta a la base de datos incluye filtro de compañía
  • Solicitudes API validadas contra contexto de compañía
  • Aislamiento aplicado a nivel de aplicación y base de datos

Encriptación

Datos en Reposo:

  • Contraseñas: Hash Bcrypt
  • Datos sensibles: Encriptación AES-256
  • Secretos 2FA: Encriptados antes del almacenamiento

Datos en Tránsito:

  • Todas las conexiones usan TLS 1.3
  • HTTPS forzado (no se permite HTTP)
  • Conexiones WebSocket seguras

Visibilidad de Datos

Controla qué datos pueden ser visualizados en queries y dashboards:

  • Visibilidad a nivel de columna: Configura cada columna como pública, restringida o pseudonimizada
  • Restricciones a nivel de tabla: Restringe tablas completas cuando sea necesario
  • Aplicación automática: Las reglas de visibilidad se aplican a todas las queries, visualizaciones y exportaciones
  • Pseudonimización: Aplica hash a datos sensibles para análisis anónimo preservando la capacidad de JOIN

Niveles de Visibilidad:

NivelComportamiento
PúblicoValor original del dato
RestringidoMuestra [RESTRICTED]
PseudonimizadoHash SHA-256 del valor

Consulta Data Catalog para detalles de configuración.

Respaldo y Recuperación

Console realiza respaldos automáticos:

  • Frecuencia: Cada 6 horas
  • Retención: 30 días
  • Encriptación: Todos los respaldos encriptados
  • Ubicación: Distribuidos geográficamente

En caso de pérdida de datos: Contacta [email protected] para restauración de respaldo.

Auditoría y Cumplimiento

Registro de Auditoría

Console registra todos los eventos relevantes de seguridad:

Eventos de Autenticación:

  • Intentos de inicio de sesión (éxito y fallo)
  • Cambios de contraseña
  • Solicitudes y verificaciones de códigos sin contraseña
  • Configuración y restablecimiento de 2FA
  • Autenticación SSO

Eventos de Acceso:

  • Cambios de permisos
  • Creación/eliminación de usuarios
  • Asignaciones de grupos
  • Cambios de equipo

Ver Logs de Auditoría:

  1. Ve a ConfiguraciónRegistro de Auditoría
  2. Filtra por:
    • Tipo de evento
    • Usuario
    • Rango de fechas
    • Éxito/fallo
  3. Exporta para reportes de cumplimiento

Características de Cumplimiento

Console te ayuda a cumplir requisitos de cumplimiento:

SOC 2:

  • Controles de acceso
  • Encriptación
  • Registro de auditoría
  • Revisiones de seguridad regulares

GDPR:

  • Capacidad de exportación de datos
  • Derecho a eliminación
  • Gestión de consentimiento
  • Acuerdos de procesamiento de datos

HIPAA:

  • Controles de acceso
  • Pistas de auditoría
  • Encriptación
  • Acuerdos de asociado de negocios
Cumplimiento Empresarial

Contacta [email protected] para documentación de cumplimiento y certificaciones.

Mejores Prácticas de Seguridad

Para Administradores

1. Implementa 2FA Universalmente

Prioridad 1: Admins (ahora)
Prioridad 2: Gerentes (este mes)
Prioridad 3: Todos los usuarios (este trimestre)

2. Entrenamiento de Seguridad Regular

  • Conciencia de phishing
  • Seguridad de contraseñas
  • Reconocer ingeniería social
  • Procedimientos de reporte de incidentes

3. Monitorea Logs de Auditoría

Configura alertas para:

  • Múltiples intentos de inicio de sesión fallidos
  • Acciones administrativas fuera de horario
  • Cambios masivos de permisos
  • Acceso geográfico inusual

4. Implementa SSO

Si tienes un IdP empresarial:

  1. Configura SSO
  2. Prueba con grupo piloto
  3. Extiende a todos los usuarios
  4. Aplica inicio de sesión solo SSO

5. Usa Permisos Fuertes

Usuarios regulares:
- Permisos específicos, limitados
- Acceso basado en grupos
- Revisiones regulares

Administradores:
- Pocos individuos de confianza
- 2FA requerido
- Cuentas admin separadas (sin uso diario)

Para Usuarios

1. Usa Contraseñas Únicas y Fuertes

  • No reutilices contraseñas de otros sitios
  • Usa un gestor de contraseñas
  • Habilita 2FA incluso si no es requerido

2. Verifica URLs de Inicio de Sesión

Siempre verifica que estás en el Console real:

  • https://console.solucao42.com.br
  • http://console-login.phishing-site.com

3. Asegura Tus Dispositivos

  • Mantén OS y navegador actualizados
  • Usa software antivirus
  • Bloquea la pantalla cuando te alejes
  • No compartas credenciales de inicio de sesión

4. Reporta Actividad Sospechosa

Contacta a tu administrador si notas:

  • Correos de restablecimiento de contraseña inesperados
  • Inicios de sesión que no hiciste
  • Cambios que no autorizaste
  • Correos sospechosos diciendo ser de Console

Respuesta a Incidentes

Si Sospechas una Brecha

Acciones Inmediatas:

  1. Asegura Tu Cuenta:

    • Cambia tu contraseña inmediatamente
    • Habilita 2FA si no está ya activo
    • Revisa sesiones activas y revoca las desconocidas

  2. Notifica a Tu Administrador:

    • Reporta lo que observaste
    • Proporciona línea de tiempo de eventos
    • Comparte cualquier correo o mensaje sospechoso

  3. Documenta Todo:

    • Toma capturas de pantalla
    • Anota tiempos y fechas
    • Guarda cualquier evidencia

Acciones del Administrador:

  1. Evalúa el Impacto:

    • Revisa logs de auditoría
    • Identifica cuentas afectadas
    • Determina alcance de la brecha

  2. Contiene:

    • Restablece contraseñas de cuentas afectadas
    • Revoca sesiones activas
    • Deshabilita cuentas comprometidas

  3. Investiga:

    • Revisa patrones de acceso
    • Verifica cambios no autorizados
    • Identifica vector de ataque

  4. Notifica:

    • Informa a usuarios afectados
    • Contacta soporte de Solução42
    • Cumple con requisitos legales de notificación

  5. Recupera:

    • Restaura desde respaldos si es necesario
    • Re-asegura cuentas
    • Actualiza medidas de seguridad

  6. Aprende:

    • Documenta lo que pasó
    • Actualiza políticas de seguridad
    • Entrena usuarios sobre lecciones aprendidas

Contactando Soporte

Para incidentes de seguridad:

  • Correo: [email protected]
  • Prioridad: Marca como urgente
  • Incluye: Línea de tiempo, usuarios afectados, causa sospechada

Lista de Verificación de Seguridad

Usa esta lista de verificación para mantener seguridad fuerte:

Configuración Inicial

  • Habilitar 2FA para todos los administradores
  • Configurar políticas de contraseña
  • Configurar SSO (si está disponible)
  • Revisar permisos por defecto
  • Configurar timeout de sesión

Mensualmente

  • Revisar acceso de nuevos usuarios
  • Verificar cuentas inactivas
  • Monitorear intentos de inicio de sesión fallidos
  • Verificar lista de cuentas admin

Trimestralmente

  • Revisión completa de acceso
  • Revisar logs de auditoría
  • Actualizar documentación de seguridad
  • Probar restauración de respaldo
  • Entrenamiento de seguridad para el equipo

Anualmente

  • Auditoría de seguridad comprensiva
  • Actualizar políticas de seguridad
  • Revisar requisitos de cumplimiento
  • Simulacro de respuesta a incidentes
  • Evaluación de seguridad de terceros

Recursos Adicionales

¿Preguntas de Seguridad?

Contacta a nuestro equipo de seguridad en [email protected]