Seguridad de los datos, ¿cómo saber que mis datos están protegidos?
La seguridad de los datos es la práctica de proteger la información digital de accesos no autorizados, robo y corrupción durante todo el ciclo de vida de la misma. Va desde el hardware en donde los datos se guardan, la lógica de seguridad detrás del software que los maneja o resguarda, hasta las políticas y procesos organizacionales.
Al diseñar una aplicación o software que vaya a estar en contacto con datos de cualquier tipo por parte del usuario, es importante tomar en cuenta la naturaleza de los datos, la forma en la que éstos llegarán al sistema, la forma en la que éstos permanecerán una vez terminada la interacción con el usuario incluyendo la ventana de tiempo en la que éstos deberán permanecer en la aplicación. Todo esto nos permite llegar a estrategias de seguridad que, si son correctamente implementadas, protegerán la información no sólo de ataques de ciberseguridad sino también de amenazas internas como el error humano; principal causa de filtración de datos hoy en día.
Como desarrolladores de software es relevante tomar en cuenta diferentes aspectos que conciernen la seguridad de los datos desde el diseño de una aplicación y durante todo el ciclo de vida que ésta tenga. Aunque como usuarios no podemos saber con exactitud si una aplicación donde estamos ingresando nuestros datos hace un manejo seguro de los mismos, existen algunos aspectos sencillos que se pueden tomar como criterios para considerar que una aplicación cumple con los mínimos requerimientos de seguridad tales como revisar que la información intercambiada entre el dispositivo y el servidor se haga encriptada, es decir, por medio de HTTPS (basta con revisar la url por la que estamos accediendo a la aplicación), a través de un certificado SSL.
Asimismo, algunas aplicaciones web suelen tener una página dedicada a explicar los diferentes mecanismos o estrategias de seguridad que utilizan y pueden dar una sensación de seguridad al ser transparentes en cómo manejan sus datos. Como por ejemplo:
Al ser responsables de una aplicación las estrategias de seguridad que debemos seguir son amplias y varían en complejidad, así como tienden a cambiar o actualizarse en el tiempo pues nuevas amenazas siguen apareciendo día a día.
Estrategias de seguridad
Algunas de las estrategias que podemos implementar son:
- Programar auditorías periódicas de seguridad: existen personas o empresas especializadas en seguridad y que ofrecen servicios de auditorías a aplicaciones web. Aplican marcos existentes y distintas metodologías aceptadas globalmente que permiten la detección de vulnerabilidades y proveen de la ayuda necesaria para mitigarlas.
- Entrenar a personas técnicas en las diferentes amenazas o posibles vulnerabilidades que se pueden ingresar desde el código tales como SQL injections, Cross site scripting, etc. e integrar la seguridad como parte del desarrollo en un equipo de tecnología: crear convenciones internas de código seguro y buenas prácticas.
- Configurar la aplicación para que guarde respaldos de la información frecuentemente.
- Revisar la seguridad de third parties o software de proveedores externos que consideramos integrar a la aplicación (APIs, librerías, motores de pago).
- Revisar continuamente la aplicación para detectar vulnerabilidades en código externo que se ejecute o en librerías que se utilicen. Mantener actualizadas las versiones de las librerías o herramientas externas es de suma importancia para descartar cualquier vulnerabilidad en versiones que pudieran ya no contar con mantenimiento por parte de sus desarrolladores.
- Utilizar librerías que se especialicen en manejo de contraseñas o datos sensibles para la autenticación, pagos, etc. Estos datos siempre deben estar encriptados.
- Tener un buen manejo de logs. Existen herramientas que se pueden integrar fácilmente y permiten detectar errores que algunas veces alertan sobre un mal uso de la aplicación.
- Desde el diseño de la experiencia del usuario en la aplicación, inclinarlo a que siga buenas prácticas: implementar captchas, obligar una rotación periódica de contraseñas, expirar sesiones inactivas, implementar autenticación de doble factor (2FA).
- Definir procesos internos de la organización para el manejo y acceso de la información: reducir el número de personas que acceden y la cantidad de datos a la que acceden.
- Asegurar la resiliencia de los datos para minimizar el impacto en caso de algún fallo a nivel aplicación o hardware.
Todas estas estrategias no blindan completamente una aplicación pero permiten mitigar o disminuir un poco el riesgo de que los datos que se están preservando se expongan o se haga un mal uso de ellos.
Información general sobre seguridad, confidencialidad, privacidad, tratamiento de datos y legalidad de URBEM
La seguridad de tu información es nuestra prioridad más alta, por ello en URBEM intentamos implementar todas estas estrategias de seguridad que nos ayuden a mantener los datos seguros y a nuestros clientes tranquilos:
1. Criterios de Seguridad de URBEM.
2. ¿Cómo y dónde se guarda la información y documentación de las personas?
- Las bases de datos y repositorios de archivos (como documentos, imágenes, etc.) están en la infraestructura en la nube de Amazon Web Services. Te recomendamos leer este documento sobre la seguridad de AWS.
- Los documentos de las personas que usen la Cuenta Ciudadana se almacenan en infraestructuras diferentes para cada cliente.
- Están encriptadas en tránsito.
- El equipo de soporte de urbem puede acceder a su organización mediante un usuario de soporte, únicamente cuando sea estrictamente necesario para dar solución a un problema en específico siempre ustedes nos autoricen apoyarles de esta forma.
4. Usamos algoritmos de encriptación AES-256, el estándar más avanzado de la industria.
5. En urbem como plataforma tecnológica, tenemos los siguientes materiales en donde establecemos nuestras políticas de uso, seguridad, soporte, garantías y alcances funcionales:
- Términos y Condiciones de Uso
- Aviso de Privacidad
- Todo esto queda debidamente asentado en el contrato de servicios y licencia de uso que se firma para iniciar la relación comercial.
6. Fundamentos de ley bajo los que se trata la información:
- De acuerdo a las leyes aplicables, como: La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, Ley de Firma Electrónica Avanzada y NOM-151 para conservación de mensajes y documentos electrónicos.
- Más allá de la ley mexicana, nos adaptamos al estándar GDPR Europeo en el manejo de datos personales que nos da el rol solamente de procesador de datos y no dueño de la información.
- Mediante la infraestructura en AWS podemos garantizar estándares de seguridad de la información, certificaciones como: ISO 27001 Controles de administración de seguridad e ISO 27701 Administración de la información sobre la privacidad.
- Todo esto está incluido en nuestro Contrato base y nuestros Términos de Uso de la plataforma y su Aviso de Privacidad.
- Les recomendamos generar sus propios términos y aviso de privacidad.
En Cívica Digital construimos URBEM, una solución tecnológica que permite a las organizaciones ofrecer todos estos beneficios a las personas con las que tienen contacto.
Si te interesa montar tu ventanilla digital, podemos ser tus aliados tecnológicos para implementarla, envíanos un email a hola@civica.digital o llámanos — 811 577 5135.