En este artículo encontrarás toda la información relacionada a nuestro modelo de seguridad a nivel interno y externo.
A NIVEL EXTERNO TENEMOS:
INFRAESTRUCTURA
- Google Compute platform
- Seguridad Interna
- Permisos por rol del usuario
Consulta más en:
ARQUITECTURA
CLOUD 66
- Aislamiento de aplicación y base de datos
- La base de datos tiene un firewall que bloquea todas las conexiones web, y solo permite conexiones a su puerto postgres y SSH desde una APN configurada. - Uso exclusivo de HTTPS
- Seguridad interna:
- Permisos por rol de usuario
- Audit trail
- 2FA (TODO) - Protección contra DDoS y ataques de fuerza bruta (ActiveProtect)
- Mejores practicas
- Despliegue de servidores GCP
- Configuración nGINX
- Actualización de dependencias
Consulta más en:
A NIVEL INTERNO TENEMOS:
APLICACIÓN
Datos sensibles:
- Contraseñas encriptadas
- Tokens de pago encriptado
- Protección de acceso a datos entre academias
- Tercerización de datos de pago:
- Stripe
- Mercado Pago
Autenticación:
- Device (mejores practicas)
- Tokens de sesión seguros
Autorización:
- API restringida por tipo de usuario
Mejores prácticas:
- Actualización de dependencias
- Uso estandarizado de dependencias confiables
- Uso estandarizado de Rails y Vue
Vectores de ataque:
- XSS
- CSRF
- SQL injection
- Signed webhooks
PÉRDIDA DE DATOS:
- Backup base de datos
- Backup contenido (TODO)
- Historial de contenido (TODO)
- Audit log
