MEDIDAS DE SEGURIDAD

Éstas son algunas de las medidas de seguridad que incorporan las herramientas tecnológicas que utilizamos.

 

API GATEWAY

Todas las solicitudes de los usuarios pasan por la puerta de enlace Application Programming Interface (API). Por lo tanto, resulta esencial restringir la puerta de enlace API de usuarios no autorizados. Estas son algunas de las características de seguridad más importantes que se aplican para proteger la puerta de enlace API:


  • Clave API: Las claves API ofrecen seguridad de primer nivel para las puertas de enlace API ya que son códigos conocidos sólo por el usuario y reconocidos por el servidor. Las claves API son cortas, fáciles de usar y no caducan (aunque pueden ser revocadas).


  • Autenticación AWS IAM: Mediante el uso de Amazon Web Services (AWS) Identity and Access Management (IAM), el acceso a los recursos del sistema se controla de forma segura. Con IAM, los usuarios son autenticados y, en su caso, autorizados para acceder a nuestros servicios.

  • Umbral API: Limitar las APIs mejora nuestro rendimiento y seguridad, entre otros, restringiendo la cantidad de solicitudes por segundo que procesamos.

POLÍTICA DE ALMACENAMIENTO AWS

Una política de depósito es una política de AWS IAM basada en recursos que permite otorgar permisos de acceso a otras cuentas AWS o usuarios IAM al depósito y a los objetos que contiene. Los repositorios se protegen mediante la política de AWS y no son accesibles fuera del dominio.

HTTPS

Hyper Text Transfer Protocol Secure (HTTPS) es la versión segura de Hyper Text Transfer Protocol (HTTP). Al usar este protocolo, la comunicación entre el sitio web y su navegador está protegida y encriptada.

  • Restricción de puertos: La restricción de puertos se utiliza para restringir un puerto y una amplia gama de puertos en la configuración del Transmission Control Protocol / Internet Protocol (TCP/IP) a perfiles de usuario específicos.

  • Restricción de dominio: La restricción de dominio permite a los usuarios acceder a los datos sólo dentro de los límites de sus respectivos perfiles de seguridad. Cuando se asigna un dominio a un perfil de seguridad, considera prioridad sobre otros permisos de seguridad. Una vez que se evalúan las restricciones del dominio, se examinan los perfiles de seguridad individuales para determinar los permisos de registro y de red.

  • Restricción de IP: Los Internet Protocols (IPs) están restringidos para limitar o proporcionar acceso a IPs específicos para acceder a los servicios de comunicación interna dentro de organizaciones distintas. De esta manera, los datos internos se mantienen protegidos de terceros.

BASE DE DATOS

Nuestra base de datos está restringida al IPS particular que necesita acceder a la base de datos (por ejemplo, las instancias donde se implementan nuestros servicios).

PREVENCIÓN DE ATAQUES

  • Ataque DDoS: Se produce un ataque Distributed Denial-of-Service (DDoS) cuando varios sistemas inundan el ancho de banda o los recursos de un sistema, generalmente uno o más servidores web. Frecuentemente tal ataque es el resultado de múltiples sistemas afectados (por ejemplo, un botnet) que inundan el sistema con tráfico. Prevenimos los ataques DDoS con la ayuda de las bibliotecas de node.js usando rate-limiter-flexible, el cual bloquea cualquier evento si ocurre más de cinco veces por segundo.

  • Ataque XSS: Los ataques Cross-Site Scripting (XSS) son un tipo de inyección en la que las secuencias de comandos maliciosos se inyectan en sitios web benignos y confiables. Los ataques XSS ocurren cuando un atacante usa una aplicación web para enviar código malicioso, generalmente en forma de secuencias de comandos secundarios del navegador, a un usuario final distinto. Usamos el encabezado X-XSS-Protection para protegernos de los ataques XSS.


  • Ataques de clickjacking: Los ataques de clickjacking son aquéllos en los que un atacante quiere que el usuario haga clic en algo que el usuario realmente quiere hacer clic, a la vez que oculta el botón / enlace real detrás de él (Inline Frames invisibles). Usamos el encabezado X-Frame-Options, el cual instruye al navegador a proteger la página web de Inline Frames.

ARCHIVOS S3 PROTEGIDOS

Todos los archivos se almacenan de forma privada en AWS S3. El acceso a los archivos está controlado por un Uniform Resource Locator (URL) firmado con AWS IAM con una vigencia de cinco días.

PROTOCOLOS

Los siguientes protocolos proporcionan seguridad, confiabilidad e interoperabilidad:

  • SSL: Utilizamos Secure Socket Layer (SSL), un protocolo de seguridad que permite el establecimiento de enlaces cifrados entre un navegador y un servidor web mientras interactúan en línea.


  • AMQP: También utilizamos Advanced Message Queuing Protocol (AMQP), un protocolo estándar abierto para transmitir mensajes comerciales entre organizaciones o aplicaciones.​

CONTÁCTANOS AHORA

tBooks estructurará la ronda de fondeo de tu empresa de forma eficiente.


Contáctanos para diseñar una estrategia a la medida de tus necesidades.