NIDUX siempre se preocupa por la seguridad de la información, y sabemos que somos parte de la primera línea de exposición.
Somos una plataforma SaaS (Software as a Service), que cuenta con capas de seguridad para proteger la integridad de la información, la imagen nuestra y la de nuestros clientes.
Seguidamente preguntas que son de interés:
El acceso con control a la información de cada tienda lo tiene el administrador principal y los multiusuarios de cada tienda virtual.
Existen 5 formas de acceder a la información, como lo son;
1.1 CMS NIDUX: Con control total de la tienda virtual con el usuario administrador principal y los multiusuarios que cada tienda virtual posea, se recomienda que todos cuenten con el 2FA para ingresar al admin NIDUX.
1.2 API: Al API tienen acceso sólo los desarrolladores que cada comercio haya designado para esa labor, mas no queda exento que algún otro informático intente forzadamente el acceder a la misma. El API NIDUX está protegido por AUTH 2.0
Este cuenta con un juego de llaves protegido el cual genera un token con un vencimiento corto.
1.3 Tienda virtual: Ésta es la URL de acceso al público, los usuarios consultan, pueden comprar, pueden visualizar y navegar por la información, pero no podrán modificar la misma.
Existen integraciones con las diferentes pasarelas de pagos, que siguen todas las prácticas y protocolos de cada institución financiera. Cada página cuenta con protección de SSL (Secure Sockets Layer) el cual es el candado de seguridad que garantiza la encriptación de la comunicación entre el cliente y la plataforma NIDUX.
Si el cliente intenta manipular o solicita información de forma maliciosa el sistema lo bloqueará y no le permitirá el acceso.
1.4 Marketplaces: Este punto es similar al punto 1.3 sigue las mismas reglas y políticas.
1.5 APP NIDUX: está protegido a través de un API y tiene control limitado de la información que se pueda administrar.
NIDUX, es el medio tecnológico por el que se hace la comunicación por un medio seguro hacia la institución financiera/procesador de pago, no guarda datos de tarjetas.
Todo procesador de pago está certificado PCI DSS (Payment Card Industry Data Security Standard), el cual garantiza la seguridad del tratamiento de la información.
Cada procesador integrado por NIDUX, ha sido certificado y aprobado por la institución financiera/procesador de pagos.
3. ¿Es seguro el API de NIDUX?
Sí, está protegido por Auth 2.0, adicional cuenta con rate limit para cada comercio, lo que permite una estabilidad en el sistema evitando así la saturación por consultas realizadas al API.
A este tienen acceso únicamente los desarrolladores, y los entes encargados a los que usted autorice previamente para el uso de dicho API.
Es importante destacar que mediante el API no se tiene acceso directamente al administrador, sino a la información que es manipulable desde el API
Lo que es modificación de usuarios, y/o cambios en el diseño está fuera de los alcances del API.
4. ¿Por qué no se visualiza mi tienda?
Por algunas capas de seguridad que evitan accesos no deseados hasta llegar al punto de bloquear IPs. Es por esta razón que una misma tienda virtual desde un dispositivo se puede mirar y desde otro dispositivo no, o bien, el mismo dispositivo conectado de diferentes redes de internet si tiene la visualización de la tienda virtual
La información de la tienda virtual se resguarda de forma cifrada en la base de datos, y solo los usuarios administradores de esa tienda virtual, pueden tener acceso a esa información, todos los respaldos son únicos y exclusivos de esa tienda, así como también, su almacenamiento es respectivamente privado.
6. ¿Puedo tener tranquilidad con la seguridad que tiene mi eCommerce?
Por supuesto que sí se puede tener tranquilidad, siempre y cuando el usuario sea participe de las buenas prácticas de seguridad al manejar su equipo de trabajo, tener un buen antivirus, buena solución de seguridad de internet, buenas prácticas al hacer uso de redes wifi públicas, y lo más importante con claves potentes de acceso guardadas de forma segura.
En NIDUX, se han aplicado políticas internas para forzar que los contraseñas sean más extensas y de mejor dificultad, así como también la activación del 2FA.
7. ¿Cuenta NIDUX con medidas de contingencia ante siniestros?
La plataforma NIDUX, es monitoreada constantemente con procesos automatizados que permiten identificar situaciones que puedan afectar uno o más componentes en la plataforma.
Cuando se revisa un evento y se determina afectación parcial o total puede requerirse la ejecución de un procedimiento de contingencia con diferentes alcances. A continuación, se detallan en orden de gravedad de menor a mayor afectación;
- Afectación parcial en zona de base de datos: El motor de base de datos está configurado multi-zona permitiendo que en un lapso de 15 a 30 minutos podamos re-establecer la base de datos si la zona principal es afectada. Eso se logra sin perder mínimo de datos.
- Base de datos principal afectada: La base de datos cuenta con réplicas en tiempo real, si la principal falla una réplica puede tomar la posición de la principal en un lapso de hasta 120 minutos. Eso se logra sin perder mínimo de datos.
- Afectación total en zona: En caso de una afectación en zona sin fallo de base de datos podemos poner a operar toda la infraestructura en un lapso hasta de 3 horas en una zona paralela. Eso se logra sin perder mínimo de datos.
- Afectación total en Base de datos: Contamos con un esquema de respaldos conocido como hijo-padre-abuelo para una afectación en caso de fuerza mayor, en una situación como ésta el tiempo de recuperación es de hasta 8 horas. Esta recuperación puede provocar pérdida de datos desde el momento del respaldo.
Es importante aclarar que a la fecha solo se ha ejecutado el primer punto de recuperación ante eventualidades.
8. ¿Cuenta NIDUX con réplicas en el servidor?
En efecto NIDUX cuenta con réplicas en diferentes servidores a nivel global, y en distintas zonas lo que nos permite estar en múltiples lugares para la distribución de contenido o como plan de resguardo en caso de algún evento.
9. En caso de alguna eventualidad de fuerza mayor, ¿Cuál es el tiempo estimado de recuperación?
El tiempo de recuperación depende de la severidad de la afectación. NIDUX sigue las mejores prácticas en cuanto al respaldo de la información y las comunicaciones, por tanto es posible la recuperación de cualquier situación leve o grave.
El tiempo es variable, por ejemplo, puede ser de 15 minutos en una afectación por pérdidas de comunicación en un ataque de negación de servicio, y la solución consiste en la configuración de otro canal de comunicación, pero los datos siempre estarán disponibles para su tienda. En una situación más grave como la pérdida de una réplica, el tiempo de recuperación es de aproximadamente 2 horas. En una situación mayor como la afectación parcial o total en el motor principal de Base de Datos, el tiempo de recuperación puede ser de hasta 8 horas. Es importante aclarar que nunca hemos tenido una afectación en el motor principal de la Base de Datos.
Existen otras situaciones en que la recuperación es importante, pero el sistema en todo momento está online solo que puede desmejorar el rendimiento, esto lo logramos gracias a una infraestructura con escalabilidad horizontal para distribuir las cargas de trabajo.
Se recomiendan los siguientes artículos de seguridad, que se pueden implementar en las diferentes cuentas que tengan las personas usuarias de NIDUX en las diferentes plataformas externas.
Cuentas de correo en Gmail
- Google Workspace o Gsuite, tienen la opción de poner como obligatorio la opción del 2FA a todos los que estén incluidos dentro de la organización.
2FA para cuentas Workspace o Gsuite
Para las cuentas gmail personal, también es recomendado el realizar esta acción si el gmail está siendo utilizado para ingresar a las cuentas que tenga agregadas en la tienda virtual, para realizar diferentes acciones como lo son, la recepción y notificación de órdenes de compras, cotización de productos entre otros.
2FA para cuenta personal en Gmail
Recordar que un paso más cuando se trata de la seguridad de la información nunca está demás.
Para que comprendas en totalidad el tema, adicionalmente te invitamos a visualizar este conversatorio de Seguridad en formato video.