Seguridad
En Callbell nos esforzamos por ayudar a las empresas a trabajar mejor y, para ello, es imprescindible que nuestro software sea un lugar seguro y fiable en el que almacenar datos. Por esta razón, la seguridad de los datos es una prioridad absoluta para nosotros. En aras de la transparencia, te presentamos a continuación la lista de las medidas que tomamos para mantener tus datos seguros y disponibles las 24 horas del día, los siete días de la semana.
- Disponibilidad
¿Está Callbell disponible en todo momento?
Callbell se esfuerza en mantener un tiempo de actividad del 99,9 %, y utilizamos varios servicios para monitorizar esta actividad y disponibilidad. En caso de inactividad o emergencia, nuestro equipo recibe notificaciones en tiempo real para solucionarlo tan rápido como sea posible.
¿Qué pasa si algo no funciona?
En el raro caso de que surjan problemas, mantenemos al usuario informado en todo momento mediante nuestra página de estado y las notificaciones en la aplicación. Asimismo, haríamos todo lo que estuviera en nuestro poder para resolverlos en la mayor brevedad.
- Medidas de seguridad
Encriptado de datos en tránsito
Todos los datos que entran en Callbell pasan por una conexión de claves encriptadas SSL, y solo aceptamos aquellos que provengan de un puerto 443. Puedes leer un informe de nuestra configuración SSL aquí.
Durante la primera visita a nuestra página web, Callbell envía un HSTS (Strict Transport Security Header) al usuario para asegurarse de que todas las solicitudes futuras se harán vía HTTPS. Incluso si un enlace Callbell se especifica como HTTP.
Prácticas de seguridad AWS
Callbell utiliza AWS (Amazon Web Services) para almacenar los datos de los usuarios. Estos servidores se someten a evaluaciones continuas para garantizar el estricto cumplimiento de las últimas normas fijadas sobre la materia y de la gestión de riesgos. Utilizando AWS como centro de datos, nuestra infraestructura está acreditada por:
- ISO 27001
- SOC 1 y SOC 2/SSAE 16/ISAE 3402 (antes SAS 70 Tipo II)
- PCI Nivel 1
- C5 Operational Security
- ENS High
- IT-Grundschutz
Encontrarás más información disponible sobre la seguridad de AWS aquí.
Política de contraseñas y almacenamiento
Para acceder a Callbell, necesitas introducir una contraseña segura de al menos seis caracteres. No almacenamos estas contraseñas de los usuarios en texto plano, sino que las guardamos como hashes de contraseñas encriptadas unidireccionales mediante una función de fuente abierta Bcrypt, incluyendo un salt aleatorio por usuario. Esto protege a los usuarios de ataques de tablas rainbow y de desajustes de las contraseñas encriptadas.
Si los usuarios introducen una contraseña incorrecta varias veces seguidas, la cuenta se bloqueará temporalmente para prevenir ataques de fuerza bruta. Para una mayor protección de la cuenta, también pueden activar una autentificación de dos factores (Two-Factor Authentication) utilizando Google Authenticator o Authy en los ajustes de seguridad de su cuenta de usuario.
Regulación y seguimiento de solicitudes
Bloqueamos las solicitudes originadas en direcciones o rangos IP conocidos como vulnerables.
Las solicitudes que proceden de la misma IP se regularán y verán su velocidad limitada para evitar posibles usos indebidos.
Protección XSS y CSRF
Para bloquear ataques de secuencias de comandos en sitios cruzados (XSS, del inglés Cross-Site Scripting Attacks), todas las salidas de datos se filtran por defecto en nuestra aplicación integral antes de mostrarse en el navegador y poder causar ataques XSS. Además, evitamos utilizar datos sin codificar, ya que podrían enviarse por error al navegador.
Nuestra aplicación bloquea las solicitudes que no proceden de nuestro propio dominio para reducir el riesgo de ataques de falsificación de petición en sitios cruzados (CSRF, del inglés Cross Site Request Forgery). Para acciones importantes también utilizamos tokens CSRF.
Por último, hemos implementado la cabecera HTTP Content Security Policy (CSP, política de seguridad de contenido), que incluye una lista blanca con activos (javascripts, imágenes, hojas de estilos, etc.) que el navegador de los usuarios debería permitir cargar y ejecutar. Una cabecera CSP bien implementada elimina los javascripts maliciosos (ataques XSS), archivos manipulados disfrazados de imágenes u otros ataques similares según la confianza del navegador en los activos utilizados.
Programa de pirateo ético
Hemos establecido un programa de pirateo ético en estrecha colaboración com Intigriti.com. Es decir, que, mientras lees esto, por ejemplo, hay un grupo de especialistas independientes comprobando continuamente la seguridad de nuestra aplicación para detectar y eliminar posibles vulnerabilidades.
Organización
Nuestro equipo utiliza contraseñas fuertes y únicas para las cuentas de Callbell y ha establecido autentificación de dos factores para todos los dispositivos y servicios. Recomendamos a todos los empleados de Callbell utilizar un software de administración de contraseñas (LastPass, 1Password…) para generar y almacenar contraseñas fuertes.
También nos aseguramos de encriptar los discos duros locales e instalar el bloqueo de pantalla automático. Cualquier acceso a las funciones administrativas de la aplicación está restringido a un grupo determinado de personas.
- Seguro de calidad
Revisión del código
Hemos introducido revisiones estrictas del código para cualquier cambio en nuestra base de códigos, y así garantizar que se llevan a cabo las mejores prácticas en todas nuestras acciones con códigos.
Revelación de vulnerabilidad
Desde el lanzamiento de Callbell, siempre hemos invitado a todos nuestros usuarios a notificarnos los problemas que encuentren en nuestra aplicación, para que nuestra plataforma sea más segura y fiable. Para ello, leemos y respondemos todos los informes de vulnerabilidad que recibimos en la mayor brevedad posible.