Home > Artículos de soporte > Seguridad SaaS: Cómo CiraSync mantiene los datos de los usuarios a salvo y seguros
Share on share on Facebook share on Twitter share on Facebook share by email

Una de las preguntas más frecuentes que recibimos es: «¿Cuáles son los aspectos técnicos de la seguridad de CiraSync, y qué medidas se toman para garantizar la seguridad de la información de los usuarios?» Cuando una empresa decide buscar ayuda externa para la gestión de la información, quieren asegurarse de que se tiene el máximo cuidado.

Como compañía SaaS, CiraSync se integra estrechamente con Microsoft Azure, utilizando el Marco de Consentimiento Azure. Si eres un suscriptor, tus datos se mantienen dentro de la nube de Microsoft. Con más de 100 millones de usuarios activos en Office 365 y más certificaciones de seguridad en la nube que cualquier otra compañía, la seguridad de Microsoft Azure es posiblemente la mejor del mundo.

¿Cómo garantiza Microsoft su seguridad?

Microsoft ha hecho una prioridad el asegurar los más altos niveles de estabilidad y seguridad dentro de sus operaciones a medida que las compañías se trasladan rápidamente a la nube. Su objetivo es hacer que los datos sean accesibles a los usuarios en cualquier lugar, sin compromisos de seguridad.

Un problema común es que las soluciones de seguridad más antiguas no están diseñadas para proteger los datos que se ejecutan en las aplicaciones SaaS. Los métodos tradicionales como los cortafuegos no dan la accesibilidad y la visibilidad en profundidad a las aplicaciones que se mantienen fuera de las instalaciones. Estos métodos no ofrecen protección y seguridad para las aplicaciones en la nube, ya que sólo mantienen el seguimiento de una pequeña región de tráfico y tienen un acceso limitado a muchas actividades de las aplicaciones.

La infraestructura de Azure está diseñada como una base segura que puede albergar millones de clientes simultáneamente, dando a los usuarios control y personalización a través de una amplia gama de opciones de seguridad configurables. Azure impide la transferencia no autorizada e involuntaria de información entre implementaciones en una arquitectura multi-inquilino, utilizando el aislamiento de la red de área local virtual, listas de control de acceso, balanceadores de carga y filtros IP, junto con políticas de flujo de tráfico; la traducción de direcciones de red separa el tráfico de la red interna del tráfico externo.

En pocas palabras, como CiraSync está alojado en los servidores de Azure, su seguridad es nuestra seguridad.

Sin embargo, entendemos que esto no responde a todas las preguntas, ya que hay otros puntos de vulnerabilidad que pueden surgir.

Aquí hay algunas de las preguntas más frecuentes.

¿Cómo maneja y protege CiraSync los datos PII?

CiraSync está alojado en Azure. Azure tiene más certificaciones de seguridad en la nube que cualquier otro proveedor de la nube en el mundo. Por lo tanto, la seguridad física de los servidores de CiraSync es bastante segura.

Sólo tres máquinas virtuales son accesibles a través de direcciones IP públicas. Todos los puertos están bloqueados para el tráfico entrante de Internet con la excepción del tablero de mandos que permite el puerto 443. La comunicación entre servidores se realiza a través de conexiones LAN en direcciones IP privadas.

Las copias de seguridad se mantienen en la nube Azure. Los registros y cualquier caché usado para propósitos de rendimiento son purgados después de 30 días.

¿Cuál es la arquitectura del flujo de datos del sistema?

No hay documentos formales de arquitectura disponibles para su publicación. CiraSync interactúa con Azure AD usando el Graph API. El acceso a Office 365 Exchange se realiza a través de Exchange Web Services.

Todos los datos de los clientes se transmiten a través de la red Microsoft Azure, no a través de Internet.

La información de los inquilinos del backend se almacena en el servidor SQL. Los datos de registro y caché se almacenan en MongoDB. La información de facturación se almacena en QuickBooks online. Todas las transacciones con tarjeta de crédito se hacen a través de Authorize.Net y cumple con la normativa PCI.

Por razones de rendimiento, las listas de contactos y los calendarios se almacenan en una base de datos local que funciona con cada trabajador. Toda la información almacenada en la caché se elimina automáticamente después de 30 días.

Tenga en cuenta que los datos en reposo están cifrados en el sistema de archivos.

¿Cuáles son las políticas de acceso y autenticación de inicio de sesión?

CiraSync no almacena ni solicita contraseñas. No existe ningún código para almacenar las contraseñas de los clientes.

Toda la autentificación se hace a través del proceso de consentimiento de Azure. Después de que el usuario otorga su consentimiento a la aplicación Azure CiraSync, toda la interacción con los datos del inquilino se realiza mediante el token.

En cualquier momento, puede eliminar el consentimiento para CiraSync.

¿Qué políticas se han establecido para frustrar las infracciones internas?

El acceso a los servidores está limitado al CTO y a tres miembros del personal que son empleados de larga data y están muy comprometidos con el éxito de CiraSync.

Nuestra aplicación de administración y facturación en la nube tiene una lista de empleados que pueden acceder a la consola. No hay posibilidad de exportar los datos de contacto de los clientes o del calendario.

¿Tienen alguna información escrita sobre la política de privacidad?

Nuestra última política de privacidad completa se puede encontrar aquí: política de privacidad de datos

Más historias del soporte técnico