Lista de Verificacion de Seguridad
VoicePing publica una lista de verificacion detallada de seguridad de la informacion. VoicePing Security Sheet.pdf| Categoria | Elemento de Evaluacion | Descripcion | Estado |
|---|---|---|---|
| Seguridad | Certificacion Publica | ISMS, Privacy Mark, etc. | Certificacion ISMS planificada (en preparacion) |
| Seguridad | Evaluacion de Terceros | Medidas contra intrusion no autorizada, operacion, adquisicion de datos | - |
| Seguridad | Entorno de Manejo de Datos | Restricciones de acceso a datos de usuario | Restringido a direcciones IP especificas via AWS Security Groups |
| Seguridad | Nivel de Cifrado de Comunicaciones | Fuerza de cifrado de comunicaciones | Solo TLS 1.3 |
| Seguridad | Proteccion contra Virus | Escaneo de virus | Deteccion continua de actividades no autorizadas via AWS GuardDuty |
| Proteccion de Datos | Datos de Respaldo | Cifrado, ubicacion de almacenamiento | Region AWS Tokyo |
| Proteccion de Datos | Separacion de Datos Entre Empresas | Aislamiento de informacion entre empresas | Separacion logica via base de datos |
Proteccion de Datos
Cifrado de Comunicaciones
- La aplicacion y los datos de audio/video usan solo TLS 1.3
- Comunicacion HTTPS obligatoria (configurada via AWS ELB)
Respaldo
- Ciclo de Respaldo: Respaldos mensuales via AWS Database
- Periodo de Retencion: Registros de acceso al servidor almacenados permanentemente en S3
- Medidas BCP: Almacenamiento remoto en multiples regiones en AWS Database
Restricciones de Acceso a Datos
- El acceso a la base de datos y al servidor esta restringido a direcciones IP especificas via AWS Security Groups
- Los datos entre empresas estan logicamente separados via base de datos
Disponibilidad
Tiempo de Actividad
- Horas de Servicio: 24 horas, 365 dias en principio
- SLA: 99.9% o superior
- Historial: 99.99% o superior (sin tiempo de inactividad del servidor que exceda varias decenas de minutos desde el lanzamiento del servicio)
Respuesta a Incidentes
- Respaldos diferenciales de codigo fuente y respaldos de DB disponibles, permitiendo reversion (recuperacion) inmediata en cualquier momento 24/7
- Todos los procesos del servidor y estados del sistema estan visualizados via AWS CloudWatch o nuestro sistema de alertas propietario
- Notificaciones de alerta en caso de cualquier tiempo de inactividad
Mantenimiento Planificado
- Actualizaciones programadas alrededor de las 21:00 cada viernes, con posibles interrupciones de conexion de unos segundos
- Notificacion en tiempo real via Email o soporte de chat de texto (Intercom) si se requieren actualizaciones durante el horario comercial
Sistema de Soporte
Notificaciones de Incidentes
- Metodo de Contacto: Notificacion via Email y servicio de chat de texto en la aplicacion (Intercom)
Contacto de Emergencia
- Soporte disponible via servicio de chat de texto (Intercom) o Formulario de Contacto
- Respuesta dentro de 5 minutos durante el horario comercial (9:00-18:00)
Gestion de Usuarios
Gestion de Cuentas
- Una cuenta por usuario
- Los usuarios pueden eliminar fisicamente las cuentas al renunciar o transferirse
Gestion de Contrasenas
- Los usuarios pueden cambiar las contrasenas
- Autenticacion de dos factores via token de Email disponible
Seguridad de Aplicaciones Web
VoicePing implementa las siguientes medidas de seguridad.Prevencion de Inyeccion SQL
- El backend usa middleware ORM para operaciones de base de datos
- Toda la construccion de sentencias SQL usa marcadores de posicion
- Permisos apropiados asignados a cuentas de base de datos (cuentas con solo permisos READ/WRITE necesarios)
Prevencion de Inyeccion de Comandos del SO
- La ejecucion de shell basicamente no se realiza
- Cuando se requiere logica a nivel de shell, ejecucion solo a traves de bibliotecas verificadas y seguras
Prevencion de Parametros de Ruta/Traversal de Directorio
- Datos almacenados en hosting externo o base de datos
- Sin funcionalidad de acceso directo a archivos en el servidor web
- Nombres de archivo aleatorios utilizados, haciendolos impredecibles
Gestion de Sesiones
- Los IDs de sesion usan cadenas aleatorias impredecibles y suficientemente largas
- Los IDs de sesion se almacenan en Cookies (no en parametros de URL)
- Las Cookies para comunicacion HTTPS usan el atributo Secure
- Las paginas que requieren inicio de sesion estan separadas de las paginas de acceso publico
Prevencion de Cross-Site Scripting (XSS)
- Uso de bibliotecas de frontend compatibles
- HTTPS obligatorio via AWS ELB
- Codificacion de caracteres (charset) especificada en el campo Content-Type de los encabezados de respuesta HTTP
- Atributo HttpOnly agregado a las Cookies
Prevencion de CSRF
- Control de acceso del lado del backend via metodo POST
- Verificacion de Referer
- Notificacion automatica por email a la direccion de correo registrada para operaciones importantes
Prevencion de Inyeccion de Encabezados HTTP
- Uso de API de salida de encabezados en middleware del backend
Prevencion de Clickjacking
- Salida del campo de encabezado X-Frame-Options
- Ejecucion no posible sin sesion valida
- Operaciones importantes disenadas para que no puedan ejecutarse usando solo el mouse
Prevencion de Desbordamiento de Buffer
- Uso de Node.js, que no permite acceso directo a memoria
- Verificaciones regulares de bibliotecas via GitHub, con PRs creados para bibliotecas vulnerables y actualizaciones oportunas
Control de Acceso y Autorizacion
- Autenticacion de dos factores con token de Email disponible para privilegios de administrador
- Control de autorizacion implementado ademas de autenticacion, previniendo que usuarios conectados se hagan pasar por otros