Seguridad

Organigrama de RRHH – Control de Cambio y QA

Arquitectura Expert Choice AWS

Seguridad Expert Choice AWS

Los VPS AWS Expert Choice son una plataforma tecnológica segura y duradera que cuenta con certificaciones y auditorías reconocidas en el sector: PCI DSS nivel 1, ISO 27001, FISMA Moderate, FedRAMP, HIPAA y SOC 1 (conocida previamente con el nombre SAS 70 y/o SSAE 16) e informes de la auditoría de SOC 2. Nuestros servicios y centros de datos disponen de múltiples capas de seguridad operativa y física para asegurar la integridad y seguridad de sus datos.

Expert Choice AWS Datacenters

El Cloud en que opera Expert Choice de AWS opera 35 zonas de disponibilidad en 13 regiones geográficas de todo el mundo y 4 regiones más online. El UpTime de los datacenters son del 99.95% categoría Tier III+ de acuerdo a UpTime Institute.

Expert Choice Características de VPS Amazon

Expert Choice Monitoring

Estas métricas demuestran el comportamiento del equipo actualmente, por lo cual  es posible hasta comparar un lapso de 2 semanas de antigüedad.

Expert Choice Prueba de stress efectuada

Estrés sobre sistemas Expert Choice y su performance

Expert Choice Seguridad vía WS

Dada las características de nuestros sistemas e implementaciones, es necesario disponer de una metodología robusta y segura para la generación de conexiones vía web services entre los módulos que conforman nuestras soluciones y adicionalmente de forma externa con los servicios y sistemas Core de nuestros clientes.

 

Para este propósito especifico se tienen considerados 2 framework que nos suplen y abastecen de las principales características de seguridad necesarias para la implementación de nuestros sistemas, mas allá de la encriptación mediante conexiones seguras SSL (HTTPS) y de la integración a través de funnels VPN, estos framework son:

 

  • Apache Shiro
  • Protocolo Oauth2 en SpringBoot

 

Ambas herramientas pueden ser desplegadas de forma independiente o en una arquitectura que mezcle ciertas características complementarias para llegar a una implementación que cumpla con la seguridad necesarias por el cliente.

Apache Shiro

Características de la criptografía de Apache Shiro

Interface-driven, POJO based: todas las API de Shiro están basadas en interfaz e implementadas como POJO. Esto le permite configurar fácilmente los componentes de Criptografía Shiro con formatos compatibles con JavaBeans como JSON, YAML, Spring XML y otros. También puede anular o personalizar Shiro según lo considere necesario, aprovechando su API para ahorrarle tiempo y esfuerzo.

 

Simplified wrapper over JCE: Java Cryptography Extension (JCE) Las API de criptografía de Shiro entienden, usan y simplifican los conceptos de JCE.

 

“Object Orientifies” cryptography concepts: Integración de las clases Cipher y Message Digest (Hash) de JDK / JCE. Shiro ‘Object Orientify’ Ciphers and Hashes, permite mediante una jerarquía de objetos limpia, la implementación mediante simple instanciación.

 

Runtime Exceptions: Las excepciones de criptografía se manejan como excepciones de tiempo de ejecución. Puede decidir si capturar o no una excepción según sus necesidades.

 

Default interface implementations: Shiro proporciona implementaciones Hash predeterminadas (también conocidas como Digests de mensajes en el JDK) listas para usar, como MD5, SHA1, SHA-256 y otros.

 

Built-in Hex and Base64 conversion: las instancias de Shiro Hash pueden proporcionar automáticamente codificación Hex y Base-64 de datos hash a través de sus métodos toHex () y toBase64 ().

Oauth2

Protocolo Oauth2 en SpringBoot

OAuth2 define los siguientes roles del lado del servidor:

 

  • Propietario del recurso: el servicio responsable de controlar el acceso a los recursos
  • Servidor de recursos: el servicio que realmente suministra los recursos
  • Servidor de autorización: el proceso de autorización de manejo del servicio que actúa como intermediario entre el cliente y el propietario del recurso

 

JSON Web Token, o JWT: es una especificación para la representación de reclamos que se transferirán entre dos partes. Los reclamos se codifican como un objeto JSON que se utiliza como carga útil de una estructura encriptada, lo que permite que los reclamos se firmen o encripten digitalmente.

 

La estructura que contiene puede ser JSON Web Signature (JWS) o JSON Web Encryption (JWE).

 

JWT se puede elegir como el formato para acceder y actualizar tokens utilizados dentro del protocolo OAuth2.

Cotización de Software

Nombre (requerido)

Apellido (requerido)

Correo (requerido)

Telefono (requerido)

×