verified_user
Reporte de Postura de Seguridad
Evaluación de Seguridad de la Plataforma DPO
Controles de seguridad, decisiones de arquitectura y postura de cumplimiento de la plataforma Data Performance Optimizer.
Basado en 8 dominios de seguridad, 47 controles evaluados
cloud_download 1. Seguridad en Recolección de Datos
| Control | Estado | Detalles |
|---|
| Zero Footprint | Pass | Ningún software instalado en servidores del cliente. Solo scripts SQL de solo lectura. |
| Zero Data Exposure | Pass | Nunca accede a datos de negocio. Solo metadata, configuración y métricas de rendimiento. |
| Auditabilidad de Scripts | Pass | Los 8 scripts del collector son open-box. El cliente los revisa antes de ejecutar. |
| Privilegios Mínimos | Pass | VIEW SERVER STATE, VIEW DATABASE STATE, VIEW DEFINITION. Zero sysadmin. |
| Salida Cifrada | Pass | Salida JSON cifrada AES-256 + hash SHA-256 de integridad. |
| Huella del Servidor | Pass | Fingerprint basado en hash valida el origen de los datos. Detecta manipulación. |
lock 2. Autenticación y Autorización
| Control | Estado | Detalles |
|---|
| Hashing de Contraseñas | Pass | BCrypt con salt automático. Sin almacenamiento en texto plano. |
| Bloqueo de Cuenta | Pass | 5 intentos fallidos = bloqueo 15 minutos. Registrado en audit trail. |
| RBAC | Pass | 3 roles: Admin, Analyst, Viewer. Control de acceso por funcionalidad. |
| JWT (Mobile) | Pass | Tokens HMAC-SHA256. Acceso 1 hora + refresh 30 días. Auto-rotación. |
| Esquema Dual | Pass | Cookie (portal Blazor) + JWT (API móvil) en el mismo servidor. |
| Almacenamiento Seguro | Pass | Móvil: SecureStorage del OS (Keychain/Keystore). Portal: cookies HttpOnly. |
security 3. Hardening de Plataforma
| Control | Estado | Detalles |
|---|
| CSP | Pass | Restringe fuentes de scripts/estilos. Previene inyección XSS. |
| HSTS | Pass | Strict-Transport-Security: max-age=31536000; includeSubDomains |
| X-Frame-Options | Pass | DENY. Previene ataques de clickjacking. |
| X-Content-Type-Options | Pass | nosniff. Previene sniffing de tipo MIME. |
| Referrer-Policy | Pass | strict-origin-when-cross-origin |
| Permissions-Policy | Pass | camera=(), microphone=(), geolocation=(), payment=() |
| Identidad del Servidor | Pass | Headers Server y X-Powered-By eliminados. Stack tecnológico oculto. |
| Bloqueo de Rutas | Pass | .php, wp-admin, .env, .git, .sql, .bak bloqueados automáticamente con 404. |
speed 4. Rate Limiting y Anti-Abuso
| Control | Estado | Detalles |
|---|
| Rate Limiting por IP | Pass | Ventana deslizante. 200 req/min (portal), 60 req/min (license manager). |
| Throttling de Auth | Pass | 3-5 intentos de login por IP por minuto. Previene fuerza bruta. |
| Rate Limit Headers | Pass | X-RateLimit-Limit, X-RateLimit-Remaining |
| IP Allowlist | Disponible | Configurable por servicio. Recomendado para License Manager en producción. |
| MCP API Key | Pass | Autenticación timing-safe via CryptographicOperations.FixedTimeEquals. |
vpn_key 5. Seguridad de Licencias
| Control | Estado | Detalles |
|---|
| Firma RSA-2048 | Pass | Criptografía asimétrica. Clave privada solo en PeopleWorks. |
| Detección de Manipulación | Pass | Firma del archivo verificada en cada carga. Modificado = rechazado. |
| Feature Gating | Pass | 3 ediciones (Starter/Professional/Enterprise). 28 features controlados. |
| Expiración | Pass | Expirada = modo solo lectura. Sin pérdida de datos. |
| Límite de Servidores | Pass | Límite por edición aplicado. No se puede exceder sin upgrade. |
| Protección de Clave | Pass | .gitignore excluye claves privadas. Nunca en control de versiones. |
history_edu 6. Auditoría y Cumplimiento
| Control | Estado | Detalles |
|---|
| Auditoría de Login | Pass | Éxito/fallo registrado con IP, User-Agent, timestamp. |
| Registro de Acciones | Pass | Cada acción significativa registrada: quién, qué, cuándo, desde dónde. |
| Auditoría de Licencias | Pass | Generación, descarga, revocación rastreada por usuario. |
| Manifiesto de Recolección | Pass | El cliente aprueba cada paso antes de ejecutar. Transparencia total. |
| Soberanía Regional | Pass | Cada región ejecuta scripts localmente. Datos procesados según regulaciones locales. |
architecture 7. Seguridad de Arquitectura
| Control | Estado | Detalles |
|---|
| Defensa en Profundidad | Pass | Middleware de seguridad aplicado a los 3 servicios web. No es opcional. |
| Separación de Responsabilidades | Pass | 10 proyectos. Firma de licencias separada de validación. Portal separado de API. |
| Validación de Entrada | Pass | EF Core con queries parametrizadas. Sin vectores de inyección SQL. |
| Seguridad AI | Pass | Motor AI procesa solo metadata. Human-in-the-loop para todas las recomendaciones. |
| On-Premise | Pass | El cliente puede ejecutar completamente en su infraestructura. Sin dependencia cloud. |
smartphone 8. Seguridad de App Móvil
| Control | Estado | Detalles |
|---|
| JWT Tokens | Pass | HMAC-SHA256. Acceso corto (1h) + refresh (30d). Auto-rotación. |
| SecureStorage | Pass | Tokens en SecureStorage del OS (iOS Keychain / Android Keystore). |
| Seguridad de Red | Pass | HTTPS obligatorio. Sin conexiones HTTP planas. |
| Sin Credenciales | Pass | Contraseñas nunca almacenadas en el dispositivo. Solo tokens JWT. |
| Solo Lectura | Pass | La app móvil solo puede ver datos. Sin operaciones de escritura a bases de datos. |
47 Controles de Seguridad • 8 Dominios • Todo Aprobado
DPO fue diseñado con seguridad como principio fundacional, no como una ocurrencia tardía. Cada decisión arquitectónica — desde recolección agentless hasta licenciamiento RSA y autenticación JWT móvil — refleja nuestro compromiso con proteger el activo más valioso de nuestros clientes: su infraestructura de datos.