¿Qué hace i-Reserve con respecto a la seguridad y privacidad de los datos (personales)?

¿Por qué es necesario proteger los datos de los clientes?

Como emprendedor sabes que la protección de los datos de los clientes es fundamental. Los piratas informáticos y los ciberdelincuentes siempre buscan nuevas formas de robar información. Por eso es importante tomar medidas para mantener seguros los datos de sus clientes. Dentro de nuestro sistema de reservas online, los datos de sus clientes también están protegidos según la legislación GDPR.

GDPR como reemplazo de Wbp

Desde el 25 de mayo de 2018, el RGPD ha sustituido a la Ley de Protección de Datos Personales (Wbp). El Reglamento General de Protección de Datos (GDPR) es una ley de privacidad que se aplica en toda la UE. Y aunque el RGPD es nuevo, se basa en los principios básicos de la legislación Wbp. El propósito del GDPR es proteger las regulaciones de privacidad y los datos personales de los ciudadanos de la UE y se aplica a cualquier empresa que recopile datos personales de ciudadanos de la UE. Lea todo sobre la legislación GDPR aquí.

La seguridad y privacidad de los datos (personales) en el sistema de reservas i-Reserve

Vea cómo se garantiza la seguridad y privacidad de los datos (personales) en nuestro sistema de reservas.

Conexión segura

Como servicio, proporcionamos a nuestro sistema de reservas un certificado SSL de serie (privacidad por defecto). SSL (o en realidad TLS) es reconocible por https:// antes de la URL. Se trata de una técnica con la que se asegura la conexión entre el visitante de un sitio web y el servidor donde se aloja el sitio web mediante un cifrado muy potente. Con una conexión SSL nos aseguramos de que la información enviada hacia y desde el diálogo de reserva no pueda ser "leída" o "adaptada" involuntariamente por terceros.

Cifrado de información

Además de cifrar el tráfico de datos en Internet a través de SSL (también los llamamos datos en tránsito), el sistema de reservas -Reserve también ofrece la opción de aplicar cifrado a los datos físicos (también llamados datos en reposo).

Las contraseñas se almacenan cifradas dentro de i-Reserve . En caso de olvidar una contraseña, nunca se enviará una contraseña, sino solo un enlace para restablecerla usted mismo.

Cortafuegos

Cuando utilizamos un firewall, solo permitimos que las direcciones IP públicas se conecten a los puertos que sean necesarios. Utilizamos una lista blanca para puertos y funciones que son críticas desde el punto de vista de la seguridad. Sólo las direcciones IP de esa lista tienen acceso al sistema de reservas.

Cortafuegos de aplicaciones web (WAF)

Un firewall de aplicaciones web es una aplicación que visualiza y monitorea el tráfico entrante y saliente. Se bloquea todo el tráfico que se desvíe o vaya en contra de las reglas del firewall. En el caso de "violaciones" más graves, como un intento de inyección repetida de MySQL, esta dirección IP se colocará inmediatamente en la lista negra para que este remitente ya no pueda conectarse al sistema de reservas.

Lista blanca de IP

Es posible proteger completamente el entorno de reservas i-Reserve del mundo exterior. Esto se puede hacer mediante el uso de listas blancas de IP. Esto bloquea completamente el dominio en el que se encuentra el sistema de reservas y solo se puede acceder al dominio desde direcciones IP específicas. Esto lo utilizan, por ejemplo, los clientes que desean utilizar i-Reserve como una aplicación interna.

Declaraciones preparadas

La inyección SQL se utiliza para un tipo de vulnerabilidad de aplicación informática. Las aplicaciones que almacenan información en una base de datos suelen utilizar SQL para comunicarse con la base de datos. La inyección SQL puede ocurrir si la entrada del usuario se procesa en una declaración SQL de manera insuficientemente controlada.

Dentro del sistema de reservas i-Reserve utilizamos declaraciones preparadas. Este es un mecanismo que garantiza que no se pueda procesar código no deseado en las consultas SQL ejecutadas por la aplicación.

Mecanismo de desaceleración

Los ataques de fuerza bruta significan que partes malintencionadas intentan iniciar sesión automáticamente en el sistema de reservas con una lista de contraseñas y nombres de usuario hasta que encuentran una combinación correcta.

Para repeler ataques de fuerza bruta, utilizamos un mecanismo de desaceleración. La primera vez que haya una combinación incorrecta de nombre de usuario y contraseña, deberá esperar dos segundos antes de poder probar una nueva combinación. La segunda vez cuatro segundos, la tercera dieciséis segundos. Esta es una forma de hacer inútil el uso de la fuerza bruta.

Mecanismo de bloqueo

Si un intruso ha obtenido acceso e intenta darse más derechos, esto resulta imposible y queda bloqueado.

Alojamiento y almacenamiento de datos.

Todos nuestros datos se almacenan en los Países Bajos. La aplicación de reservas i-Reserve y la base de datos asociada se ejecutan en un servidor dedicado. Esto significa que el servidor está configurado para el sistema de reservas i-Reserve y sólo lo utilizan los clientes de Teqa Webdiensten. Solo se puede acceder a los datos desde la aplicación, no se permite que otras fuentes se conecten a la base de datos.

Bases de datos

i-Reserve no utiliza bases de datos compartidas. Cada cliente tiene su propia base de datos con datos de inicio de sesión únicos. Esto minimiza el riesgo en caso de fuga.

Copias de seguridad diarias

Para garantizar que los datos no se pierdan simplemente, utilizamos copias de seguridad automatizadas diarias. Estas copias de seguridad del sistema de reservas se realizan todos los días e incluyen tanto la base de datos como el sistema de archivos. Las copias de seguridad se almacenan en un servidor independiente y se conservan durante 30 días.

Escaneos diarios

Realizamos un análisis automatizado del sistema todos los días con McAfee Secure, que prueba la seguridad de nuestros servidores. También realizamos un análisis diario en busca de malware y virus y tenemos un control proactivo sobre esto.

Segregación de deberes

La segregación de funciones (o división de puestos de trabajo) es el concepto de repartir una determinada responsabilidad entre más de una persona. Por ejemplo, los programadores y desarrolladores no tienen acceso a las bases de datos de los clientes. Sólo tienen ese acceso aquellas personas que necesitan acceso a sistemas de producción y bases de datos para su trabajo.

Anonimizar automáticamente los datos personales

Para cumplir con la legislación sobre el procesamiento de datos personales según GDPR, es posible anonimizar automáticamente los datos personales relevantes en nuestro sistema de reservas. Esto significa que los datos personales no se conservan más tiempo del necesario o deben ser anonimizados. Esto entra dentro del "derecho al olvido".

Esta funcionalidad no está habilitada de forma predeterminada y el administrador deberá configurarla (privacidad por diseño).

Proyecto abierto de seguridad de aplicaciones web

El sistema de reservas i-Reserve cumple con el top 10 de OWASP de uso común. Durante el desarrollo de la aplicación, se tienen en cuenta los temas más recientes del top 10 de OWASP y, además, se comprueba periódica y periódicamente, a través de varias fases de prueba. si la solicitud cumple permanentemente estos requisitos.

¿Cómo puede garantizar la seguridad de los datos de sus clientes?

Por supuesto, usted también es responsable de la seguridad y privacidad de los datos de sus clientes. Usar contraseñas simples, compartir cuentas de usuario y "olvidarse" cerrar sesión son ejemplos que vemos con frecuencia en la práctica. Por ello ofrecemos la opción de hacer obligatorias las contraseñas con un número mínimo de caracteres, números, mayúsculas y caracteres especiales. El cambio obligatorio de la contraseña del usuario cada x número de días también es una posibilidad que tenemos integrada en el sistema de reservas i-Reserve .

Naturalmente, depende de usted como organización asegurarse de que se haya creado un usuario para todos (esto no implica costos adicionales) y que los derechos basados ​​en grupos de usuarios estén configurados correctamente. Al acortar la duración de una sesión iniciada, es posible abordar el "olvido" de cerrar sesión.

En resumen, oportunidades suficientes para asumir la responsabilidad y evitar el uso indebido de los datos (personales).

¿Tienes curiosidad por nuestro sistema de reservas?

Le gustaría descubrir qué más i-Reserve ¿O desea obtener más información sobre cómo proteger los datos de los clientes? Por favor contáctenos .