Hola Miguel, Sólo para no tener que reenviar muchos correos de un lado para otro. Todo lo relacionado con IDM y seguridad del IDM lo llevan Antonio, Críspin, Aldo y Enrique. Saludos, Javier. 2013/9/3 Miguel Carrillo <mcp at tid.es> > Javier > > Te remito la comunicación que me mandaron ayer a ultima hora mis > compañeros de seguridad. > > Los puntos que me pasa a partir del "A continuación" son una mezcla de > "cuéntame como está" y de "hágase si no está hecho" > > Cuando tengas un respiro, te agradecería una respuesta dando la > informacion que pide y confirmando si se va a hacer algún cambio (puede que > no sea posible hacerlo inmediato) . > > Gracias > > Miguel > > Hola Miguel > > > > Perfecto. Ya tenemos información de la base de datos para incluir en el > documento de seguridad del servicio. No era necesario tener los nombres, > sino más bien los perfiles con acceso a la base de datos. Pero con lo que > nos han mandado, es suficiente para controlar el uso de los datos > personales. > > > > Te hago un *resumen de la información recogida sobre la base de datos*: > > 1. Tipo de base de datos. > > MySQL en Ubuntu. > > > > 1. Ubicación de la base de datos: equipo virtual, físico (anfitrión) y > path. > > La base de datos está en el propio equipo que aloja el portal web. El > fichero es el estándar de MySQL en Ubuntu, que imagino estará en /var, pero > no me se el path exacto. > > > > 1. Cifrado de los datos (nombre de usuario, email, contraseña). > > Nombres de usuarios y emails se almacenan en claro en la tabla de la base > de datos. Las contraseñas se almacenan en hash con un salt distinto por > usuario para evitar ataques con diccionarios de hashes. > > > > 1. Identificar quien tiene acceso a este fichero. Incluyendo los > perfiles de acceso: lectura y/o escritura. > > 4 personas del equipo UPM tienen acceso lectura y escritura: Enrique > Barra, Aldo Gordillo, Javier Cerviño y yo. Mis compañeros me pueden > corregir si me dejo a alguien. > > > > 1. Registro de actividad sobre la base de datos. > > Hay un log de todas las consultas, tanto a nivel de Apache como Ruby on > Rails. Los logs cumplen el estándar de Ubuntu; se comprime y almacenan > durante 52 semanas > > > > A continuación, te resumo las *medidas de seguridad a implementar*: > > · El registro de actividad sobre la base de datos (punto 5) > asegura que los accesos a la base de datos desde la aplicación por parte de > los usuarios quedan registrados. Aún así, queda por verificar si las > operaciones sobre la propia base de datos (mediante alguna herramienta de > administración) quedan registradas. ¿Se están registrando los accesos > (modificaciones, borrado) a las tablas con los datos personales? > > Igualmente, también hay que verificar si se están registrando las > operaciones sobre la base de datos, por ejemplo, ejecución de scripts, > copias de seguridad, ... > > > > · Mantener un backup al menos semanal-> Documentar como se hace > el backup y donde se deposita. > > > > · Mantener un registro de incidencias relativas a estos ficheros > como por ejemplo, caidas de la BD, borrados accidentales, accesos no > autorizados etc.. tambien sería útil si se mantiene un un log o registro de > altas, bajas y modificaciones de los datos personales-> No se si existirá > algún log de la base de datos que incluya todo o parte de esta información. > Si no existe también se podría complementar con el sistema de ticketing o > gestion de incidencias del grupo de Operaciones (si lo hay) > > > > · Recomendamos el cifrado de las tablas que contienen los nombres > de usuario y correo electrónico. Solo es una recomendación por estar la > base de datos en primera línea desde Internet. > > > > Un saludo. > > > > Juan > > > > > -- > ---------------------------------------------------------------------- > _/ _/_/ Miguel Carrillo Pacheco > _/ _/ _/ _/ Telefónica Distrito Telefónica > _/ _/_/_/ _/ _/ Investigación y Edifico Oeste 1, Planta 9 > _/ _/ _/ _/ Desarrollo Ronda de la Comunicación S/N > _/ _/_/ 28050 Madrid (Spain) > Tel: (+34) 91 483 26 77 > > e-mail: mcp at tid.es > > Follow FI-WARE on the net > > Website: http://www.fi-ware.eu > Facebook: http://www.facebook.com/pages/FI-WARE/251366491587242 > Twitter: http://twitter.com/Fiware > LinkedIn: http://www.linkedin.com/groups/FIWARE-4239932 > ---------------------------------------------------------------------- > > > ------------------------------ > > Este mensaje se dirige exclusivamente a su destinatario. Puede consultar > nuestra política de envío y recepción de correo electrónico en el enlace > situado más abajo. > This message is intended exclusively for its addressee. We only send and > receive email on the basis of the terms set out at: > http://www.tid.es/ES/PAGINAS/disclaimer.aspx > -------------- next part -------------- An HTML attachment was scrubbed... URL: <https://lists.fiware.org/private/fiware-portals/attachments/20130903/280048d0/attachment.html>
You can get more information about our cookies and privacy policies clicking on the following links: Privacy policy Cookies policy