La seguridad de nuestros servicios y de sus datos es nuestra máxima prioridad. Sabemos que el éxito de su negocio depende de su confianza en nuestra seguridad. Trabajamos constantemente para proteger sus datos utilizando las mejores prácticas generalmente aceptadas.

Infraestructura del sistema

En Metalshub, creemos en una fuerte separación: Nuestros servidores están alojados en hardware dedicado: el hardware no se comparte con otras partes y sólo nosotros podemos acceder a nuestros sistemas. Utilizamos hardware separado para nuestra plataforma de producción, nuestro sitio web y nuestros servicios internos. Los servidores están ubicados en Alemania y están protegidos física y lógicamente contra el acceso, a la vez que son supervisados constantemente. El centro de datos se somete a auditorías periódicas y cuenta con la certificación ISO 27001.

Servidores

Todos nuestros servidores están protegidos por múltiples cortafuegos y cuentan con una protección automatizada contra DDoS (denegación de servicio distribuida). Además, nuestro sistema de detección de intrusos bloquea automáticamente las direcciones IP que muestran un comportamiento sospechoso (por ejemplo, intentos fallidos de inicio de sesión). Los archivos de registro relacionados con la seguridad se analizan constantemente de forma automática y se revisan manualmente cada semana. Las actualizaciones del sistema operativo relacionadas con la seguridad se aplican inmediata y automáticamente.

Control de acceso y formación

El acceso a nuestros servidores está limitado a la autenticación basada en claves RSA (no a un inicio de sesión con contraseña). Un número mínimo de empleados (actualmente dos) y ninguna parte externa tienen acceso administrativo a nuestros servidores.

Utilizamos un sistema de control de acceso basado en funciones para garantizar que cada empleado sólo tenga acceso a los datos que sean absolutamente necesarios como parte de su trabajo. Además, todos los empleados pertinentes reciben formación periódica en materia de seguridad informática.

Cifrado

Ciframos sus datos cada vez que nos los envían. Utilizamos el protocolo Secure Sockets Layer (SSL), estándar del sector, que proporciona cifrado de datos, integridad de los mensajes y autenticación del servidor. Activamos el protocolo HTTP Strict Transport Security (HSTS) para todos nuestros dominios y subdominios. Nuestra configuración SSL recibió una calificación A+ en la conocida auditoría de Qualys SSL Labs.

Contraseñas

Utilizamos un mecanismo de última generación para almacenar las contraseñas: Se almacenan utilizando el algoritmo "Password-based Key Derivation Function 2" (PBKDF2), un mecanismo de estiramiento de contraseñas recomendado por el Instituto Nacional de Estándares y Tecnología estadounidense (NIST) y el Bundesamt für Sicherheit in der Informationstechnik (BSI) alemán. Cada contraseña tiene una sal aleatoria única y se convierte en hash más de cien mil veces mediante el algoritmo SHA256.

Si se solicita, Metalshub también puede limitar el rango de IP de las cuentas de la empresa, garantizando que sólo las personas de la red de la empresa autorizada puedan iniciar sesión en una determinada cuenta. Los usuarios también pueden establecer una capa adicional de seguridad para el proceso de autenticación mediante la habilitación de la autenticación de 2 factores (2FA) para el proceso de inicio de sesión.

Desarrollo de software

Cada cambio de código es revisado y necesita aprobación antes de ser desplegado en nuestro entorno de puesta en marcha. Tras la revisión de la fase de pruebas, los cambios se despliegan en nuestros servidores de producción. Cada versión se somete a pruebas automáticas y manuales para comprobar la funcionalidad, las vulnerabilidades, la separación de datos basada en la autenticación/autorización y otras cuestiones relacionadas con la seguridad.

Seguridad de los datos internos

Utilizamos un sistema de acceso muy restrictivo basado en funciones para controlar qué empleados tienen acceso a qué datos y nos adherimos al principio de minimización de datos, es decir, los empleados sólo tienen acceso a los datos necesarios en función de sus funciones. Además, todos nuestros empleados tienen una cláusula de confidencialidad en su contrato de trabajo. El incumplimiento de esta cláusula puede dar lugar a la terminación de la relación laboral y a posibles acciones legales.

Si tiene alguna pregunta, póngase en contacto con nosotros: support@metals-hub.com