Seguridad de la aplicación

Visibilidad y control de todos los accesos al proyecto.

 

Calidad Cloud ha implementado niveles de permisos estrictos para que pueda controlar quién tiene acceso a sus proyectos. Éstos incluyen:

 

Revisores: Los colaboradores no pueden eliminar los datos compartidos. Este es el papel menos permisivo.

Administrador del software: Los administradores tienen control sobre el proyecto y la configuración, y administran los miembros del equipo del proyecto.

 

Encriptación líder en la industria en tránsito

Todas las transferencias de datos desde un dispositivo a la nube segura de Calidad Cloud se realiza con cifrado SSL estándar de 2048 bits de la industria.

 

Autenticación segura

Las contraseñas se almacenan y transmiten de forma segura y se procesan con una sal fuerte.

 

Protección contra ataques de aplicaciones.

Calidad Cloud utiliza controles y tecnologías para evitar que los atacantes exploten vulnerabilidades a nivel de aplicación.

 

Seguridad de infraestructura

Estrictas políticas de control de acceso

El acceso a los datos del cliente internamente es limitado y se proporciona exclusivamente solo cuando el cliente lo requiere o solicita. Los repositorios de código están protegidos mediante la autenticación multifactor.

 

Mitigación de riesgos

Las cargas de documentos están restringidas a tipos de archivos específicos para evitar que se ejecute código malicioso en los clientes o en nuestras máquinas de alojamiento en la nube.

 

Gestión de secretos

Calidad Cloud utiliza procesos estándar de la industria SaaS para administrar y almacenar claves de cifrado.

 

Protección DoS y DDoS

Las aplicaciones y la infraestructura de Calidad Cloud están protegidas contra ataques de denegación de servicio (DoS) y de denegación de servicio distribuida (DDoS), lo que garantiza nuestro alto tiempo de actividad.

 

Autenticación multifactorial

El acceso al entorno de producción está restringido a unos pocos miembros autorizados de Calidad Cloud. La autenticación multifactorial siempre es necesaria para acceder a los sistemas de producción.

 

Seguridad física

Nube altamente segura

Calidad Cloud aloja datos en los centros de datos de Amazon, que es un líder de la industria en la gestión de instalaciones de alojamiento seguro. Lea más sobre seguridad en Amazon.

  • El acceso a los centros de datos de Amazon requiere autenticación de múltiples factores, y se registra todo el acceso. Los registros son auditados rutinariamente.
  • El personal de seguridad profesional está presente en los centros de datos 24/7.
  • Las fuentes de alimentación ininterrumpida evitan el tiempo de inactividad y se instalan generadores de respaldo en cada centro de datos.

 

Disponible en todo el mundo

Servicio en la nube de clase mundial con el que puede contar

El SLA de Calidad Cloud garantiza un tiempo de actividad del 99.5% para los servicios. Las bases de datos y la infraestructura están disponibles en múltiples regiones geográficas en los Estados Unidos, lo que permite la resistencia ante desastres naturales o interrupciones del servicio. 

 

Política de divulgación responsable

Informe de vulnerabilidades de seguridad a Calidad Cloud

Calidad Cloud tiene como objetivo mantener sus productos y servicios seguros para todos. La seguridad y la privacidad de los datos son de máxima prioridad para Calidad Cloud. Si usted es un investigador de seguridad y ha descubierto un problema de seguridad o privacidad en el producto o servicio, le agradecemos su ayuda para que nos lo revele de manera responsable enviando un correo a seguridad@calidadcloud.com

 

Un informe debe incluir:
  • Descripción de la vulnerabilidad.
  • Pasos para reproducir la vulnerabilidad reportada
  • Lista de URL y parámetros afectados
  • Cargas adicionales, código de prueba de concepto
  • Navegador, sistema operativo y / o versión de la aplicación utilizada durante las pruebas
  • Si es posible: solicitudes y respuestas vulnerables
  • Prueba de explotabilidad (por ejemplo, captura de pantalla, video)
  • Escenario de ataque: un ejemplo de escenario de ataque puede ayudar a demostrar el riesgo y resolver su problema más rápido.
  • Problemas fuera de alcance
  • Fuerza bruta, / Limitación de velocidad, / Aceleración de velocidad, y otros problemas basados en la denegación de servicio.
  • Clickjacking.
  • Cookie flags.

 

Redirecciones encubiertas.

 

  • Problema donde la corrección solo requiere un cambio de texto.
  • No autenticado / Iniciar sesión / Cerrar sesión CSRF
  • Adjuntos maliciosos en cargas de archivos o archivos adjuntos.
  • Falta de controles de seguridad adicionales, como encabezados HSTS o CSP
  • Problemas móviles que requieren un dispositivo rooteado o con jailbreak.
  • Políticas de recuperación de contraseña, como restablecer la caducidad del enlace o la complejidad de la contraseña
  • Problemas SPF, DKIM, DMARC.
  • XSS (o un comportamiento) donde solo puedes atacarte a ti mismo
  • Ataques que requieren MITM o acceso físico al dispositivo de un usuario.
  • Bibliotecas vulnerables previamente conocidas sin una Prueba de Concepto Funcional.
  • Inyección de valores separados por comas (CSV) sin demostrar una vulnerabilidad.
  • Falta a las mejores prácticas en la configuración SSL / TLS.
  • Problemas de suplantación de contenido e inyección de texto sin mostrar un vector de ataque / sin poder modificar HTML / CSS.