Lista de Verificacion de Seguridad
VoicePing publica una lista de verificacion detallada de seguridad de la informacion. VoicePing Security Sheet.pdf| Categoria | Elemento de Evaluacion | Descripcion | Estado |
|---|---|---|---|
| Seguridad | Certificacion Publica | ISMS, Privacy Mark, etc. | Certificacion ISMS planificada (en preparacion) |
| Seguridad | Evaluacion de Terceros | Medidas contra intrusion no autorizada, operacion, adquisicion de datos | - |
| Seguridad | Entorno de Manejo de Datos | Restricciones de acceso a datos de usuario | Restringido a direcciones IP especificas via AWS Security Groups |
| Seguridad | Nivel de Cifrado de Comunicaciones | Fuerza de cifrado de comunicaciones | Solo TLS 1.3 |
| Seguridad | Proteccion contra Virus | Escaneo de virus | Deteccion continua de actividades no autorizadas via AWS GuardDuty |
| Proteccion de Datos | Datos de Respaldo | Cifrado, ubicacion de almacenamiento | Region AWS Tokyo |
| Proteccion de Datos | Separacion de Datos Entre Empresas | Aislamiento de informacion entre empresas | Separacion logica via base de datos |
Proteccion de Datos
Cifrado de Comunicaciones
- La aplicacion y los datos de audio/video usan solo TLS 1.3
- Comunicacion HTTPS obligatoria (configurada via AWS ELB)
Respaldo
- Ciclo de Respaldo: Respaldos mensuales via AWS Database
- Periodo de Retencion: Registros de acceso al servidor almacenados permanentemente en S3
- Medidas BCP: Almacenamiento remoto en multiples regiones en AWS Database
Restricciones de Acceso a Datos
- El acceso a la base de datos y al servidor esta restringido a direcciones IP especificas via AWS Security Groups
- Los datos entre empresas estan logicamente separados via base de datos
Disponibilidad
Tiempo de Actividad
- Horas de Servicio: 24 horas, 365 dias en principio
- SLA: 99.9% o superior
- Historial: 99.99% o superior (sin tiempo de inactividad del servidor que exceda varias decenas de minutos desde el lanzamiento del servicio)
Respuesta a Incidentes
- Respaldos diferenciales de codigo fuente y respaldos de DB disponibles, permitiendo reversion (recuperacion) inmediata en cualquier momento 24/7
- Todos los procesos del servidor y estados del sistema estan visualizados via AWS CloudWatch o nuestro sistema de alertas propietario
- Notificaciones de alerta en caso de cualquier tiempo de inactividad
Mantenimiento Planificado
- Actualizaciones programadas alrededor de las 21:00 cada viernes, con posibles interrupciones de conexion de unos segundos
- Notificacion en tiempo real via Email o soporte de chat de texto (Intercom) si se requieren actualizaciones durante el horario comercial
Sistema de Soporte
Notificaciones de Incidentes
- Metodo de Contacto: Notificacion via Email y servicio de chat de texto en la aplicacion (Intercom)
Contacto de Emergencia
- Soporte disponible via servicio de chat de texto (Intercom) o Formulario de Contacto
- Respuesta dentro de 5 minutos durante el horario comercial (9:00-18:00)
Gestion de Usuarios
Gestion de Cuentas
- Una cuenta por usuario
- Los usuarios pueden eliminar fisicamente las cuentas al renunciar o transferirse
Gestion de Contrasenas
- Los usuarios pueden cambiar las contrasenas
- Autenticacion de dos factores via token de Email disponible
Seguridad de Aplicaciones Web
VoicePing implementa las siguientes medidas de seguridad.Prevencion de Inyeccion SQL
- El backend usa middleware ORM para operaciones de base de datos
- Toda la construccion de sentencias SQL usa marcadores de posicion
- Permisos apropiados asignados a cuentas de base de datos (cuentas con solo permisos READ/WRITE necesarios)
Prevencion de Inyeccion de Comandos del SO
- La ejecucion de shell basicamente no se realiza
- Cuando se requiere logica a nivel de shell, ejecucion solo a traves de bibliotecas verificadas y seguras
Prevencion de Parametros de Ruta/Traversal de Directorio
- Datos almacenados en hosting externo o base de datos
- Sin funcionalidad de acceso directo a archivos en el servidor web
- Nombres de archivo aleatorios utilizados, haciendolos impredecibles
Gestion de Sesiones
- Los IDs de sesion usan cadenas aleatorias impredecibles y suficientemente largas
- Los IDs de sesion se almacenan en Cookies (no en parametros de URL)
- Las Cookies para comunicacion HTTPS usan el atributo Secure
- Las paginas que requieren inicio de sesion estan separadas de las paginas de acceso publico
Prevencion de Cross-Site Scripting (XSS)
- Uso de bibliotecas de frontend compatibles
- HTTPS obligatorio via AWS ELB
- Codificacion de caracteres (charset) especificada en el campo Content-Type de los encabezados de respuesta HTTP
- Atributo HttpOnly agregado a las Cookies
Prevencion de CSRF
- Control de acceso del lado del backend via metodo POST
- Verificacion de Referer
- Notificacion automatica por email a la direccion de correo registrada para operaciones importantes
Prevencion de Inyeccion de Encabezados HTTP
- Uso de API de salida de encabezados en middleware del backend
Prevencion de Clickjacking
- Salida del campo de encabezado X-Frame-Options
- Ejecucion no posible sin sesion valida
- Operaciones importantes disenadas para que no puedan ejecutarse usando solo el mouse
Prevencion de Desbordamiento de Buffer
- Uso de Node.js, que no permite acceso directo a memoria
- Verificaciones regulares de bibliotecas via GitHub, con PRs creados para bibliotecas vulnerables y actualizaciones oportunas
Control de Acceso y Autorizacion
- Autenticacion de dos factores con token de Email disponible para privilegios de administrador
- Control de autorizacion implementado ademas de autenticacion, previniendo que usuarios conectados se hagan pasar por otros
Arquitectura del Sistema
Descripción general de la arquitectura del sistema de VoicePing. Todas las comunicaciones están protegidas mediante HTTPS o conexiones cifradas.
- Aplicación de Escritorio (Windows / Mac / Linux)
- Aplicación Móvil (iOS / Android)
- Aplicación Web (Compatible con Navegadores)
- Cloudflare CDN (Red de Distribución de Contenidos)
- Google Cloud Storage (Alojamiento Estático)
- Balanceador de Carga (AWS)
- Servidor de Negocios (Autenticación por Clave API)
- Servidor de Traducción y Transcripción (Disponible On-Premise, Autenticación por Clave API)
- Base de Datos (Google Cloud SQL / RDB)
- JSON Storage (S3) para datos de audio, transcripción e imágenes
- API Externa / Servicios de Terceros (Autenticación por Clave API)