Findiur

Compromiso con la Seguridad de la Información en Findiur SL

 1. Introducción  

En Findiur SL, como proveedores de un software en la nube para la gestión de certificados digitales, la seguridad de la información es un pilar fundamental de nuestra operativa y una prioridad ineludible. Este informe detalla exhaustivamente las medidas de seguridad técnicas y organizativas implementadas en Findiur Cloud para asegurar la integridad, confidencialidad y disponibilidad de los certificados digitales utilizados por nuestros clientes. Nuestro marco de seguridad se desarrolla siguiendo estrictamente las directrices y controles recomendados por la norma internacional ISO/IEC 27001:2022 (Sistemas de Gestión de Seguridad de la Información – SGSI). 

Nuestro compromiso es absoluto con el cumplimiento de sus rigurosos requisitos. Hemos establecido y mantenemos un Sistema de Gestión de Seguridad de la Información (SGSI) robusto y en constante evolución, que refleja nuestra dedicación a la excelencia en ciberseguridad. 

El principal objetivo es garantizar la confidencialidad, integridad y disponibilidad (CID) de toda la información que gestionamos, abarcando tanto nuestros activos corporativos como los datos sensibles de nuestros clientes. Esto se logra mediante la implementación de políticas y procedimientos alineados con los controles avanzados que incluyen un enfoque integral en la protección de datos, la gestión de riesgos y la continuidad del negocio. 

En Findiur SL, hemos adoptado el marco de la norma ISO 27001 para guiar la implementación y mejora continua de nuestra seguridad, lo cual es fundamental para nuestra cultura de ciberseguridad. Reconocemos que la certificación es un hito importante y estamos trabajando diligentemente para alcanzarla.

2. Seguridad de los Certificados en Findiur Cloud 

La gestión segura de los certificados digitales es la esencia de nuestro servicio, y hemos implementado una serie de controles técnicos y operativos de vanguardia para garantizar la máxima protección en cada fase de su ciclo de vida. 

2.1 Almacenamiento y Acceso Controlado (ISO 27001 A.8 y A.9) 

La seguridad del almacenamiento y el acceso a los certificados digitales en Findiur Cloud se fundamenta en un enfoque multicapa y principios de seguridad por diseño: 

  • Almacenamiento de certificados en Azure Key Vault: los certificados digitales se almacenan en un entorno altamente protegido y aislado utilizando Azure Key Vault. Esta solución de gestión de claves y secretos en la nube de Microsoft Azure proporciona un nivel de seguridad empresarial, que incluye:

Aislamiento lógico y físico: cada Key Vault es una entidad aislada, con sus propias claves y permisos de acceso, lo que previene el acceso cruzado no autorizado entre diferentes almacenes. 

Cifrado en reposo y en tránsito: todos los datos dentro de Azure Key Vault están cifrados en reposo, y las comunicaciones con el servicio utilizan TLS 1.2 o superior para asegurar el cifrado en tránsito. 

  • Control de acceso basado en roles (RBAC) y políticas de acceso: el acceso a los certificados en Azure Key Vault está estrictamente controlado mediante un modelo de Control de Acceso Basado en Roles (RBAC) y políticas de acceso 

específicas. Esto asegura que únicamente entidades (identidades de usuario o de servicio) con roles y permisos específicos y limitados puedan realizar operaciones (ej. Get, List, Sign) sobre los certificados. El principio de privilegio mínimo está rigurosamente aplicado. 

  • Descarga y eliminación criptográficamente segura (ISO 27001 A.12.6.1): para la operación de firma o uso del certificado, los certificados digitales (archivos PFX/P12) se transmiten de forma segura y se descargan temporalmente en la memoria volátil del dispositivo del cliente. Es crucial destacar que la existencia de estos archivos es estrictamente efímera, con un período máximo de existencia de medio segundo antes de ser utilizados. Inmediatamente después de su uso, se garantiza su eliminación segura del dispositivo del usuario. Esta eliminación es una supresión lógica. 

Control riguroso de ciclo de vida: se gestiona activamente el ciclo de vida del certificado en el cliente, asegurando que no persista en el sistema de archivos o en caché. 

  • Aislamiento y protección del certificado en uso: para su uso, el certificado se carga de manera temporal en el dispositivo del cliente, pero se mantiene fuertemente aislado. Si bien técnicamente reside en el sistema durante la operación, no es visible ni accesible a través de los gestores de certificados estándar del sistema operativo. Su ubicación y manejo están controlados para que su uso sea exclusivo de la plataforma Findiur, impidiendo que otros procesos o usuarios puedan acceder a él o utilizarlo fuera de las funciones autorizadas por la aplicación. Este aislamiento previene un uso externo no autorizado y requiere un nivel de conocimiento técnico avanzado para ser eludido. 

2.2 Auditoría y Monitoreo Continuo (ISO 27001 A.12.4, A.12.7) 

La transparencia, la responsabilidad y la detección temprana de anomalías son pilares fundamentales de nuestra estrategia de ciberseguridad. Hemos implementado un sistema de auditoría y monitoreo exhaustivo:

  • Auditoría rigurosa de movimientos de certificados: todos los movimientos y operaciones realizadas con los certificados están rigurosamente auditados y registrados. Este sistema de auditoría captura cada interacción, generando un registro inmutable de la actividad. 
  • Recopilación de logs detallados (SIEM integration): se recopilan logs detallados de eventos de seguridad y operacionales. Estos incluyen: 

○ Logs de auditoría de Azure Key Vault: registran cada intento de acceso a los certificados, incluyendo la identidad que lo solicitó, la operación realizada y el resultado. 

○ Logs de aplicación y acceso: registran los accesos a URLs específicas dentro de Findiur Cloud, los documentos descargados y las acciones realizadas por cada usuario en relación con los certificados. 

○ Logs de sistema y red: capturan eventos a nivel de infraestructura, como intentos de acceso no autorizados, cambios de configuración, y patrones de tráfico anómalos. 

  • Centralización y correlación de eventos: todos los logs se centralizan en un Sistema de Gestión de Información y Eventos de Seguridad (SIEM) para su correlación en tiempo real. Esto permite la detección temprana de patrones de ataque, actividades sospechosas o violaciones de políticas. 
  • Garantía de trazabilidad y responsabilidad: este nivel de detalle en la auditoría garantiza una completa trazabilidad y responsabilidad en el uso de los certificados, permitiendo la reconstrucción forense de cualquier evento y facilitando la detección e investigación de actividades anómalas o no autorizadas. Los logs se retienen conforme a políticas de retención y requisitos legales.

3. Backup y retención de seguridad (ISO 27001 A.12.3) 

Para mitigar el riesgo de pérdida accidental de certificados debido a errores humanos o fallos del sistema, Findiur Cloud implementa una política de backup y retención robusta y cifrada: 

  • Copia de seguridad cifrada de certificados: como medida preventiva ante posibles errores humanos o eliminaciones accidentales, el sistema mantiene una copia de seguridad cifrada de cada certificado tras su eliminación por parte del usuario. Esta copia se almacena de forma segura en un almacenamiento redundante y está protegida con mecanismos de cifrado avanzados, asegurando su

confidencialidad incluso en caso de acceso no autorizado al almacenamiento de backup. Las claves de cifrado para los backups se gestionan de forma separada de las claves operacionales de los certificados. 

  • Período de retención estratégico: la copia de seguridad de cada certificado se retiene durante un período de 90 días después de su eliminación por parte del usuario. Este período ha sido definido para permitir la recuperación de certificados en caso de necesidad justificada, proporcionando una capa adicional de seguridad y resiliencia para el negocio de nuestros clientes. 

Proceso de recuperación controlado: el proceso de recuperación de certificados desde estas copias de seguridad está estrictamente controlado y requiere la verificación de identidad del solicitante, así como la autorización adecuada por parte de personal de seguridad con permisos granulares, asegurando que solo los usuarios legítimos puedan restaurar sus certificados.

4 .Implementación del SGSI y cumplimiento de ISO 27001 

En Findiur SL, hemos adoptado el robusto marco de la norma ISO 27001 como la base de nuestro Sistema de Gestión de Seguridad de la Información. Esta elección refleja nuestra cultura de seguridad intrínseca y nos permite gestionar de forma proactiva la ciberseguridad en cada capa de nuestra operación. Aunque la certificación es el siguiente paso lógico y un objetivo claro en nuestra hoja de ruta, ya operamos bajo sus estrictos principios para asegurar la máxima protección de la información de nuestros clientes.

4.1 Gestión de Riesgos de Seguridad de la Información (ISO 27001 A.6.1) 

Adoptamos un enfoque proactivo en la gestión del riesgo de seguridad de la información. Esto incluye: 

  • Identificación sistemática de riesgos: realizamos evaluaciones periódicas para identificar los activos de información, las amenazas y vulnerabilidades asociadas a la gestión de certificados digitales y la plataforma en la nube. 
  • Análisis y evaluación de riesgos: los riesgos identificados se analizan en términos de probabilidad de ocurrencia e impacto potencial, utilizando una metodología definida.
  • Tratamiento de riesgos: se definen e implementan planes de tratamiento de riesgos, priorizando la mitigación, transferencia, evitación o aceptación de los riesgos, siempre buscando optimizar el balance entre seguridad y operabilidad. 

4.2 Gestión de Incidentes de Seguridad (ISO 27001 A.16) 

Contamos con un plan de respuesta ante incidentes de seguridad detallado, que incluye: 

  • Detección y clasificación de incidentes: mecanismos para la detección temprana de incidentes a través del monitoreo 24/7 y la correlación de logs. Los incidentes se clasifican según su impacto y criticidad. 
  • Contención y erradicación: procedimientos claros para contener la propagación de un incidente y erradicar la causa raíz. 
  • Recuperación y aprendizaje: planes para la recuperación de los servicios y la lecciones aprendidas para mejorar la resiliencia y prevenir futuras recurrencias. La comunicación con las partes interesadas se gestiona de manera transparente y oportuna. 

4.3 Concienciación y formación (ISO 27001 A.7.2) 

  • Formación continua: todo el personal de Findiur SL recibe formación regular en las mejores prácticas de seguridad de la información, concienciación sobre amenazas de ciberseguridad y cumplimiento de nuestras políticas internas. 

Simulacros y ejercicios: se realizan simulacros de incidentes y ejercicios de concienciación para mantener al personal preparado y familiarizado con los procedimientos de seguridad.

5. Conclusión 

La combinación de controles técnicos avanzados, una auditoría permanente y estrictas metodologías de gestión de riesgos, todo ello en estricta alineación con los principios de la norma ISO 27001, garantizan a nuestros clientes la máxima seguridad y confianza en el manejo y utilización de certificados digitales en la plataforma Findiur Cloud. En Findiur SL, la protección de la información de nuestros clientes es una responsabilidad que asumimos con la máxima seriedad, ofreciendo una solución robusta y confiable para la gestión de certificados digitales, respaldada por un compromiso con la excelencia en ciberseguridad.

Productos

Modo local

Buscador de certificados, agiliza el uso de certificados, notificaciones, etc.

Modo cloud

Centraliza, controla y audita el uso de tu certificado digital.

Gestor de notificaciones

Revisa automáticamente en 12.0000 AAPP para ver si hay notificaciones pendientes (local)

Precios

Modo local

Modo cloud

Contacta

Ayuda

Pruébalo gratis

7 días sin compromiso