Seguridad de los datos

Sus datos están seguros con nosotros

La seguridad de los datos es nuestra licencia para operar

La seguridad de nuestros servicios y de sus datos es nuestra máxima prioridad. Sabemos que el éxito de su negocio depende de su confianza en nuestra seguridad. Trabajamos constantemente para proteger sus datos utilizando las mejores prácticas generalmente aceptadas.

Infraestructura del sistema

En Metalshub, creemos en una fuerte separación: Nuestros servidores están alojados en hardware dedicado: el hardware no se comparte con terceros y sólo nosotros podemos acceder a nuestros sistemas. Utilizamos hardware independiente para nuestra plataforma de producción, nuestro sitio web y nuestros servicios internos. Los servidores se encuentran en Alemania y están protegidos física y lógicamente contra el acceso, a la vez que se supervisan constantemente. El centro de datos se somete a auditorías periódicas y cuenta con la certificación ISO 27001.

Servidores

Todos nuestros servidores están protegidos por múltiples cortafuegos y cuentan con una protección DDoS (denegación de servicio distribuida) automatizada. Además, nuestro sistema de detección de intrusos bloquea automáticamente las direcciones IP que muestran un comportamiento sospechoso (por ejemplo, intentos fallidos de inicio de sesión). Los archivos de registro relacionados con la seguridad se analizan constantemente de forma automática y se revisan manualmente cada semana. Las actualizaciones del sistema operativo relacionadas con la seguridad se aplican de forma inmediata y automática.

Control de acceso y formación

El acceso a nuestros servidores está limitado a la autenticación basada en claves RSA (no a un inicio de sesión con contraseña). Un mínimo absoluto de empleados (actualmente dos) y ninguna parte externa tienen acceso administrativo a nuestros servidores.

Utilizamos un sistema de control de acceso basado en funciones para garantizar que cada empleado sólo tenga acceso a los datos que sean absolutamente necesarios como parte de su trabajo. Además, todos los empleados pertinentes reciben formación periódica sobre seguridad informática.

Cifrado

Ciframos sus datos cada vez que nos los envía. Utilizamos el protocolo SSL (Secure Sockets Layer) estándar del sector, que proporciona cifrado de datos, integridad de los mensajes y autenticación del servidor. Activamos HTTP Strict Transport Security (HSTS) para todos nuestros dominios y subdominios. Nuestra configuración SSL recibió una calificación A+ en la conocida auditoría de Qualys SSL Labs.

Seguridad de los datos internos

Utilizamos un sistema de acceso muy restrictivo basado en funciones para controlar qué empleados tienen acceso a qué datos y nos adherimos al principio de minimización de datos, es decir, los empleados sólo tienen acceso a los datos necesarios en función de sus funciones. Además, todos nuestros empleados tienen una cláusula de confidencialidad en su contrato de trabajo. El incumplimiento de esta cláusula puede dar lugar al despido y a posibles acciones legales.

Desarrollo de software

Todos y cada uno de los cambios de código se revisan y necesitan aprobación antes de desplegarse en nuestro entorno de ensayo. Una vez revisados, los cambios se despliegan en nuestros servidores de producción. Cada versión se somete a pruebas automáticas y manuales de funcionalidad, vulnerabilidades, separación de datos basada en autenticación/autorización y otras cuestiones relacionadas con la seguridad.

Contraseñas

Utilizamos mecanismos de última generación para almacenar contraseñas: Se almacenan utilizando el algoritmo "Password-based Key Derivation Function 2" (PBKDF2), un mecanismo de estiramiento de contraseñas recomendado por el Instituto Nacional de Estándares y Tecnología estadounidense (NIST) y el Bundesamt für Sicherheit in der Informationstechnik (BSI) alemán. Cada contraseña tiene una sal aleatoria única y se hashtiza más de cien mil veces mediante el algoritmo SHA256.

Si se solicita, Metalshub también puede limitar el rango de IP para las cuentas de empresa, garantizando que sólo las personas de la red de la empresa autorizada puedan iniciar sesión en una determinada cuenta. Los usuarios también pueden establecer una capa adicional de seguridad para el proceso de autenticación mediante la activación de la autenticación de 2 factores (2FA) para el proceso de inicio de sesión.

Si tiene alguna pregunta, póngase en contacto con nosotros: support@metals-hub.com