EXACTIAN CONSULTING SA

Caractersticas Seguridad
EXACTIAN

Propsito
Describir los distintos aspectos de seguridad que contempla nuestro servicio, contemplando
nuestra infraestructura en la nube y polticas de seguridad.

Alcances
A continuacin describimos los distintos niveles de seguridad con que cuenta nuestra plataforma,
en caso de ser necesario se podrn proveer mayor detalle.
1.
2.
3.
4.
5.
6.

Infraestructura en la Nube
Polticas de seguridad
Backups
Plan de contingencias
Accesos a Servidores
Seguridad de Plataforma

Descripcin
1. Infraestructura en la Nube
Nuestra solucin corre sobre la Plataforma de Cloud Computing Amazon Web Services (AWS
Amazon), la cual nos ofrece una infraestructura en red global con datacenter que se encuentran
distribuidos en los 4 continentes. La misma nos posibilita escalabilidad y alto rendimiento en
tiempo real gracias a los servicios Auto Scaling y Elastic Load Balancing.
Los siguientes puntos describen en forma global el control de seguridad de Amazon para proteger
la infraestructura que brinda como servicio.
-

Informes, certificaciones y acreditaciones independientes. AWS ha pasado

satisfactoriamente en el pasado mltiples auditoras SAS70 Tipo II y ahora presenta un
informe Service Organization Controls 1 (SOC 1), Tipo 2, que se publica conforme a los
estndares profesionales SSAE 16 e ISAE 3402, as como un informe Service Organization
Controls 2 (SOC 2). Asimismo, AWS ha obtenido la certificacin ISO 27001 y ha sido
validado con xito como proveedor de servicio de Nivel 1 conforme al Estndar de
seguridad de datos (Data Security Standard [DSS]) del sector de tarjetas de pago (Payment
Card Industry [PCI]). En el mbito de las certificaciones del sector pblico, AWS ha
obtenido la autorizacin de la Administracin de servicios generales de los Estados Unidos
para operar en el nivel FISMA Moderate y tambin se trata de la plataforma para
aplicaciones con autorizaciones para funcionar en el marco del programa Defense
Information Assurance Certification and Accreditation Program (DIACAP). Seguiremos
obteniendo las certificaciones de seguridad pertinentes y realizando auditoras a fin de
demostrar la seguridad de nuestra infraestructura y servicios.

Pgina: 2

Seguridad fsica. La infraestructura de AWS se aloja en centros de datos controlados

por Amazon en todo el mundo. Slo los miembros de Amazon con una necesidad
empresarial legtima para tener esta informacin conocen la ubicacin real de los
centros de datos, que estn protegidos por varios controles fsicos para evitar los
accesos no autorizados.

Servicios seguros. Todos los servicios de la nube de AWS se han diseado para ser
seguros y contienen varias funciones que restringen el acceso o el uso no autorizado
sin sacrificar la flexibilidad que exigen los clientes.

Privacidad de datos. AWS permite a los usuarios cifrar sus datos personales o
empresariales en la nube de AWS y publica los procedimientos de copia de seguridad y
redundancia para los servicios, de manera que los clientes puedan alcanzar a
comprender mejor cmo fluyen los datos a travs de AWS.

Aclaraciones: Los detalles de implementacin de cada uno de estos puntos estn accedibles a
travs de la informacin pblica del proveedor de la infraestructura a travs delos siguientes
documentos:
-

AWS_Risk_and_Compliance_Whitepaper.pdf

AWS Web Services Security Whitepaper

AWS Whitepaper_Security_Best_Practices

2. Polticas de Seguridad
Exactian cuenta con un manual de polticas de seguridad que define los siguientes aspectos:

Clasificacin de la informacin. Clasificamos de acuerdo el nivel de sensitividad la

informacin.
o Informacin Pblica (C0)
o Informacin Interna (C1)
o Informacin Restringida (C2)
o Informacin Confidencial (C3)
Propiedad de los recursos y de la informacin: definimos la propiedad de los recursos y
de la informacin que son utilizados para los fines del negocio de EXACTIAN.
Divulgacin de la Informacin: Polticas del tratamiento de la seguridad de la
informacin relacionado con la actitud de las personas y la cultura organizacional en el
cuidado respecto de la divulgacin de la informacin.
Reglas para el tratamiento de Documentos: El tratamiento de los documentos est
sujeta a reglas definidas y a la clasificacin de la informacin que estos contengan.

Pgina: 3

Repositorios de Informacin: Los dispositivos que contienen informacin obtenida y

producida durante la realizacin de los trabajos de EXACTIAN, poseen informacin
confidencial y de propiedad de la empresa, en virtud de ello se debern cumplir
determinadas reglas.
Virus: Para minimizar el riesgo de que los sistemas informticos de la empresa sean
perjudicados por un virus, se establecen procedimientos.
Seguridad Lgica: Se establecen mecanismos para proteger la informacin de EXACTIAN
en los medios de almacenamiento electrnico, tales como computadoras, disquetes y
CDs.
Contraseas: Polticas de contraseas para accesos a los dispositivos.

3. Backups
Nuestras de copia de seguridad se dividen en:

Bakcup de Base de datos diarios:

o Diferenciales todos los das de lunes a sbado
o Incremental domingos y mircoles
o Full todos los domingos
o Se almacenan en dos Storage privados escalables con niveles de recuperacin del
99.9999% y del 99.98% en disponibilidad.
o Se mantienen por 6 meses
o Copias de seguridad disponibles para ser enviadas a nuestros clientes.
Snapshot de Instancias
o Todos los das 4 veces al da. 3, 10, 16 y 20.
o Almacenados en

4. Plan de contingencias
Nuestros procesos de contingencias se basan en polticas de prevencin principalmente y se
focalizan en que estas no afecten los niveles de disponibilidad de servicio y de integridad de la
informacin problemas.
Objetivos
1) Polticas de prevencin para asegurar niveles de disponibilidad del servicio e integridad
de la informacin.
2) Respuestas rpidas antes desastres que afecten los servidores de aplicaciones / base de
datos.
1) Polticas Prevencin.
Estas permiten soportar eventos que puedan afectar el normal funcionamiento de la
plataforma para el acceso a los datos y a la operacin del sistema.

Pgina: 4

Se basa en el siguiente esquema de arquitectura de IT

-

Amazon Web Services Virginis / Oregon

Instancias exclusivas de Base de datos
Instancias de aplicaciones
Instancia de monitoreo y control
Servicio Load balance
Storage de acceso privado para documentos digitalizados
Storage de acceso privado para backup de Base de datos / Snapshot

Las instancias de Aplicaciones y Bases de datos se encuentran en distintos Data Center de nuestro
principal proveedor de infraestructura IT.

Amazon Web Services Califormia

Instancia de Aplicacin
Instancia de Base de datos
Instancia Web Services / App Mobile
Storage documentos digitalizados.

Controles:
Existe un monitor de alarmas que se disparan cuando ciertos indicadores llegan a un nivel que
compromete el servicio que brinda cada instancia. En estos casos se cuenta con dos niveles de
soporte que permite ante la imposibilidad de comunicarse con el responsable principal, exista
una segunda alternativa para dar respuesta.
2) Contingencias:
a) Fuera de servicio instancia de aplicacin.
Descripcin: el usuario no se ver afectado, automticamente ser derivado a otra
instancia que responder a sus peticiones sin necesidad de salir del sistema
Accin:

Reportar del problema al departamento de IT

Analizar la causa de la cada y reiniciar la instancia.

En caso de ser un problema del Data Center (zona), migrar todas las instancias de
este a otro.

Usuario: Administrador Servidores I

b) Fuera de servicio instancia de Base de datos.
Descripcin: el usuario puede verse afectado si su sesin estaba en dicho servidor. El
sistema puede no responder a un conjunto de los usuarios.
Accin:

Reportar del problema al departamento de IT

Pgina: 5

Analizar la causa de la cada y reiniciar la instancia y los servicios que le

corresponden.

En caso que no respondan los servicios del servidor o del data center se deber configurar
una nueva instancia y restaurar el ltimo snapshot correspondiente a la instancia, los
cuales se encuentran en el storage central. Se debe evaluar con los usuarios afectados si
existe prdida de datos la cual no ser nunca superior a las 4 horas.
Se trabaja sobre la instancia daada para recuperar la informacin desde el ltimo backup
diario o del sanpshot segn corresponda
Usuario: Departamento IT
c) Fuera de servicio de todos los Data Center del proveedor principal.
Descripcin: ningn usuario podr acceder al sistema ni a los datos.
Accin:

Reportar del problema al departamento de IT

Analizar la causa de la cada y reiniciar la instancia y los servicios que le

corresponden.

Puesta en produccin los servidores del proveedor Latinwit , recuperar los

snapshot en el servidor de aplicaciones y el ultimo backup del da en el
servidor de Bases de datos

Chequear con los usuarios la posible perdida de datos, la misma no ser mayor
a 12hs, para lo cual se da acceso restringido por un tiempo a los usuarios
claves.

Trabajar en la recuperacin de los servidores de Amazon.

Puesta en produccin de la infraestructura IT de Backup.

Para mantener activo el servicio los tiempos de los planes de contingencia, dependiendo de la
contingencia son:
a) Fuera de servicio instancia aplicacin: Inmediato, debido a que el usuario no se ve
afectado por la arquitectura implementada
b) Fuera de servicio instancia Base de datos: 1 y 4 hora.
c) Fuera de servicio servidores / Datan Center: 4 a12 horas.

Pgina: 6

5. Acceso a servidores
Al El acceso a nuestra infraestructura en la nube se realiza a travs de una instancia Entry de
autenticacin de la red, donde los usuarios deben acceder con una clave pblica-privada nica
para cada uno.
Una vez dentro de la red, para acceder a los distintos servicios e instancias es a travs de los
usuarios actuales individuales en cada servidor de acuerdo al protocolo y al nivel de acceso
otorgado a dicho usuario.
Se utiliza las herramientas provistas por el propio proveedor para el log de control de accesos.
Monitoreo de servidores
Utilizamos CHECK MK como sistema de monitoreo, el cual nos permite tener un registro de todo
lo que ocurre en cada instancia y poder generar alertas tempranas ante posible inconvenientes.

6. Seguridad en nuestra aplicacin

Algunos aspectos importantes para mantener la seguridad en nuestra aplicacin son:
-

La transmisin entre el cliente y la aplicacin se realiza a travs de certificados SSL y el

acceso es obligatorio por de protocolo HTTPS
Controlamos fortaleza de contraseas, exigiendo que sean fuertes o muy fuertes.
Permitimos que cada cliente administre la caducidad de las contraseas de sus usuarios
a travs de configuracin.
Contamos con perfiles de usuarios predefinidos para las distintas funciones con accesos
especificados
Toda accin de usuario se registra en una BD de auditora independiente. Se registra
informacin de ubicacin y navegador de acceso, usuario, accin, descripcin, fecha y
hora. Parte de esta informacin es accesible por los usuarios administradores a travs de
reportes.
Contamos con auditorias de seguridad de la empresa especializada Talsoft que realiza
entre otras tareas Penetration Test.

Pgina: 7