/f/94542/999x666/abc26d1195/photo-by-dayne-topkin-on-unsplash-e1557998325209.jpg)
En Metalshub nos tomamos en serio la seguridad
La seguridad de nuestros servicios y de sus datos es nuestra mayor prioridad. Sabemos que el éxito de su negocio depende de nuestra seguridad. Trabajamos constantemente para proteger sus datos utilizando las mejores prácticas generalmente aceptadas.
Seguridad del sistema
En Metalshub, creemos en la separación fuerte: Nuestros servidores están alojados en hardware dedicado - el hardware no se comparte con otras partes y sólo nosotros podemos acceder a nuestros sistemas. Utilizamos hardware separado para nuestra plataforma de producción, nuestro sitio web y nuestros servicios internos. Los servidores se encuentran en Alemania y están física y lógicamente protegidos contra el acceso, mientras que se supervisan constantemente. El centro de datos es auditado regularmente y tiene una certificación ISO 27001.
Servidores
Todos nuestros servidores están protegidos por múltiples cortafuegos y tienen una protección automatizada DDoS (denegación de servicio distribuida). Además, nuestro sistema de detección de intrusos bloquea automáticamente las direcciones IP que muestran un comportamiento sospechoso (por ejemplo, intentos de acceso fallidos). Los archivos de registro relacionados con la seguridad se analizan constantemente de forma automática y se revisan manualmente cada semana. Las actualizaciones del sistema operativo relacionadas con la seguridad se aplican de forma inmediata y automática.
Control de acceso y formación
El acceso a nuestros servidores está limitado a la autenticación basada en RSA-Key (no a un login con contraseña).Un número mínimo de empleados (actualmente dos) y ninguna parte externa tiene acceso administrativo a nuestros servidores.
Utilizamos un sistema de control de acceso basado en roles para asegurar que cada empleado sólo tenga acceso a los datos que son absolutamente necesarios como parte de su trabajo. Además, todos los empleados pertinentes reciben formación periódica en seguridad de TI.
Encriptación
Ciframos sus datos cada vez que son enviados. Utilizamos el protocolo Secure Sockets Layer (SSL) estándar del sector, que proporciona cifrado de datos, integridad de mensajes y autenticación de servidores. Habilitamos HTTP Strict Transport Security (HSTS) para todos nuestros dominios y subdominios. Nuestra configuración SSL recibió una calificación A+ en la conocida auditoría de Qualys SSL Labs.
Contraseñas
Utilizamos un mecanismo de última generación para almacenar contraseñas: Se almacenan utilizando el algoritmo "Password-based Key Derivation Function 2" (PBKDF2), un mecanismo de expansión de contraseñas recomendado por el Instituto Nacional Americano de Estándares y Tecnología (NIST) y el Bundesamt für Sicherheit in der Informationstechnik (BSI) alemán. Cada contraseña tiene un condimento aleatorio único y está hecha más de cien mil veces usando el algoritmo SHA256.
Desarrollo de Software
Cada cambio de código es revisado y necesita aprobación antes de ser implementado en nuestro entorno de preparación. Después de una revisión por etapas, los cambios se implementan en nuestros servidores de producción. Todas las versiones se comprueban de forma automática y manual en cuanto a funcionalidad, vulnerabilidades, separación de datos basada en autenticación/autorización y otros aspectos relacionados con la seguridad.