¿Qué hace i-Reserve en materia de seguridad y privacidad de datos (personales)?

¿Por qué es necesario proteger los datos de los clientes?

Como empresario, sabes que la protección de los datos de tus clientes es esencial. Los hackers y ciberdelincuentes buscan constantemente nuevas formas de robar información. Por eso es importante tomar medidas para mantener seguros los datos de tus clientes. Dentro de nuestro sistema de reservas en línea, los datos de tus clientes también están protegidos conforme a la legislación RGPD.

El RGPD como sustituto de la Wbp

Desde el 25 de mayo de 2018, el RGPD reemplaza a la Ley de Protección de Datos Personales (Wbp). El Reglamento General de Protección de Datos (RGPD) es una ley de privacidad vigente en toda la UE. Y aunque el RGPD es relativamente nuevo, se basa en los principios fundamentales de la legislación Wbp. El objetivo del RGPD es proteger la normativa de privacidad y los datos personales de los ciudadanos de la UE, y se aplica a cualquier empresa que recopile datos personales de ciudadanos de la UE. Lee aquí todo sobre la legislación RGPD.

La seguridad y privacidad de datos (personales) en el sistema de reservas i-Reserve

Descubre cómo se garantiza la seguridad y privacidad de los datos (personales) en nuestro sistema de reservas.

Conexión segura

Como servicio, ofrecemos nuestro sistema de reservas por defecto (privacy by default) con un certificado SSL. El SSL (o más concretamente TLS) se reconoce por el https:// que aparece antes de la URL. Esta es una técnica mediante la cual la conexión entre el visitante de un sitio web y el servidor donde está alojado dicho sitio se protege con un cifrado muy robusto. De este modo, con una conexión SSL garantizamos que la información enviada desde y hacia el diálogo de reservas no pueda ser leída ni modificada de forma no autorizada por terceros.

Cifrado de información

Además de cifrar el tráfico de datos en internet a través de SSL (lo que también llamamos datos en tránsito), el sistema de reservas i-Reserve ofrece la posibilidad de aplicar también cifrado a los datos físicos (también conocidos como datos en reposo).

Las contraseñas se almacenan de forma cifrada dentro de i-Reserve. Además, nunca se enviará una contraseña en caso de olvido, sino únicamente un enlace para que el propio usuario pueda restablecer su contraseña.

Firewall

Al utilizar un firewall, permitimos que las direcciones IP públicas solo se conecten a los puertos necesarios. Para los puertos y funciones que son críticos desde el punto de vista de la seguridad, utilizamos una lista blanca (whitelist). Solo las direcciones IP incluidas en dicha lista tienen acceso al sistema de reservas.

Web Application Firewall (WAF)

Un Web Application Firewall es una aplicación que examina y supervisa el tráfico entrante y saliente. Todo el tráfico que resulte anómalo o que infrinja las reglas del firewall queda bloqueado. Ante infracciones más graves, como un intento de inyección MySQL repetida, la dirección IP en cuestión pasa directamente a la lista negra (blacklist), impidiendo que dicho emisor pueda establecer conexión con el sistema de reservas.

IP-Whitelisting

Es posible aislar completamente un entorno de reservas de i-Reserve del mundo exterior mediante el uso de IP-whitelisting. Con esto, el dominio en el que se encuentra el sistema de reservas queda totalmente bloqueado y solo puede ser accedido desde direcciones IP específicas. Esto es utilizado, por ejemplo, por clientes que desean usar i-Reserve como aplicación interna.

Prepared statements

La inyección SQL se utiliza para explotar un tipo de vulnerabilidad en aplicaciones informáticas. Las aplicaciones que almacenan información en una base de datos suelen usar SQL para comunicarse con ella. La inyección SQL puede producirse cuando la entrada de los usuarios se procesa de forma insuficientemente controlada en una sentencia SQL.

Dentro del sistema de reservas i-Reserve utilizamos prepared statements. Se trata de un mecanismo que garantiza que el código no deseado no pueda ser procesado en las consultas SQL ejecutadas por la aplicación.

Mecanismo de ralentización

Los ataques de fuerza bruta consisten en que actores maliciosos intentan acceder al sistema de reservas de forma automatizada con listas de contraseñas y nombres de usuario, hasta encontrar una combinación correcta.

Para contrarrestar los ataques de fuerza bruta, utilizamos un mecanismo de ralentización. La primera vez que se introduce una combinación incorrecta de nombre de usuario y contraseña, es necesario esperar dos segundos antes de poder intentar una nueva combinación. La segunda vez, cuatro segundos; la tercera vez, dieciséis segundos. Este es un método para hacer inviable el uso de la fuerza bruta.

Mecanismo de bloqueo

Si un intruso consigue acceder al sistema e intenta otorgarse más permisos, se le impedirá hacerlo y quedará bloqueado.

Hosting y almacenamiento de datos

Todos nuestros datos están almacenados en los Países Bajos. La aplicación de reservas i-Reserve y su base de datos correspondiente funcionan en un servidor dedicado. Esto significa que el servidor está configurado exclusivamente para el sistema de reservas i-Reserve y solo es utilizado por los clientes de Teqa Webdiensten. Los datos únicamente son accesibles desde la aplicación; ninguna otra fuente tiene autorización para conectarse a la base de datos.

Bases de datos

i-Reserve no utiliza bases de datos compartidas. Cada cliente dispone de su propia base de datos con credenciales de acceso únicas. De este modo, se minimiza el riesgo en caso de una posible brecha de seguridad.

Copias de seguridad diarias

Para garantizar que los datos no se pierdan de forma accidental, realizamos copias de seguridad automatizadas diariamente. Estas copias de seguridad del sistema de reservas se efectúan cada día e incluyen tanto la base de datos como el sistema de archivos. Las copias de seguridad se almacenan en un servidor independiente y se conservan durante 30 días.

Análisis diarios

Realizamos diariamente un análisis automatizado del sistema con McAfee Secure, que evalúa la seguridad de nuestros servidores. También llevamos a cabo un análisis diario en busca de malware y virus, ejerciendo un control proactivo al respecto.

Segregation of duties

La segregation of duties (o separación de funciones) es el concepto según el cual una determinada responsabilidad se distribuye entre más de una persona. Por ejemplo, los programadores y desarrolladores no tienen acceso a las bases de datos de los clientes. Solo las personas que necesitan acceso a los sistemas de producción y bases de datos para realizar su trabajo disponen de dicho acceso.

Anonimización automática de datos personales

Para cumplir con la legislación relativa al tratamiento de datos personales según el RGPD, nuestro sistema de reservas permite que los datos personales relevantes sean anonimizados de forma automatizada. Esto significa que los datos personales no se conservarán más tiempo del necesario o deberán ser anonimizados. Esto se enmarca dentro del «derecho al olvido».

Esta funcionalidad no está activada por defecto y deberá ser configurada (privacy by design) por el administrador.

Open Web Application Security Project

El sistema de reservas i-Reserve cumple con el ampliamente utilizado OWASP top 10. Desde el propio desarrollo de la aplicación se tienen en cuenta los temas más recientes del OWASP top 10. Además, se comprueba de forma periódica y regular —a través de distintas fases de prueba— que la aplicación siga cumpliendo de manera continua con estos requisitos.

¿Cómo puedes garantizar tú mismo la seguridad de los datos de tus clientes?

Por supuesto, tú también eres responsable de la seguridad y privacidad de los datos de tus clientes. El uso de contraseñas sencillas, compartir cuentas de usuario y «olvidarse» de cerrar sesión son ejemplos que vemos con frecuencia en la práctica. Por ello, ofrecemos la posibilidad de establecer como obligatorio que las contraseñas contengan un número mínimo de caracteres, dígitos, letras mayúsculas y caracteres especiales. También hemos integrado en el sistema de reservas i-Reserve la opción de obligar al cambio de contraseña de usuario cada cierto número de días.

Por supuesto, corresponde a vuestra organización asegurarse de que se haya creado un usuario para cada persona (lo cual no conlleva costes adicionales) y de que los permisos basados en grupos de usuarios estén correctamente configurados. Reduciendo la duración de una sesión iniciada es posible abordar el problema de «olvidarse» de cerrar sesión.

En resumen, existen suficientes posibilidades para asumir también tu propia responsabilidad y prevenir el uso indebido de datos (personales).

¿Tienes curiosidad por nuestro sistema de reservas?

¿Quieres descubrir qué más puede hacer el sistema de reservas i-Reserve por ti? ¿O deseas más información sobre la protección de los datos de tus clientes? No dudes en ponerte en contacto con nosotros.