Entiendo que están en la lista de portals
¿Me podéis responder, por favor?
El 03/09/2013 16:55, javier cerviño escribió:
Hola Miguel,
Sólo para no tener que reenviar muchos correos de un lado para otro. Todo lo relacionado con IDM y seguridad del IDM lo llevan Antonio, Críspin, Aldo y Enrique.
Saludos,
Javier.
2013/9/3 Miguel Carrillo <mcp at tid.es<mailto:mcp at tid.es>>
Javier
Te remito la comunicación que me mandaron ayer a ultima hora mis compañeros de seguridad.
Los puntos que me pasa a partir del "A continuación" son una mezcla de "cuéntame como está" y de "hágase si no está hecho"
Cuando tengas un respiro, te agradecería una respuesta dando la informacion que pide y confirmando si se va a hacer algún cambio (puede que no sea posible hacerlo inmediato) .
Gracias
Miguel
Hola Miguel
Perfecto. Ya tenemos información de la base de datos para incluir en el documento de seguridad del servicio. No era necesario tener los nombres, sino más bien los perfiles con acceso a la base de datos. Pero con lo que nos han mandado, es suficiente para controlar el uso de los datos personales.
Te hago un resumen de la información recogida sobre la base de datos:
1. Tipo de base de datos.
MySQL en Ubuntu.
1. Ubicación de la base de datos: equipo virtual, físico (anfitrión) y path.
La base de datos está en el propio equipo que aloja el portal web. El fichero es el estándar de MySQL en Ubuntu, que imagino estará en /var, pero no me se el path exacto.
1. Cifrado de los datos (nombre de usuario, email, contraseña).
Nombres de usuarios y emails se almacenan en claro en la tabla de la base de datos. Las contraseñas se almacenan en hash con un salt distinto por usuario para evitar ataques con diccionarios de hashes.
1. Identificar quien tiene acceso a este fichero. Incluyendo los perfiles de acceso: lectura y/o escritura.
4 personas del equipo UPM tienen acceso lectura y escritura: Enrique Barra, Aldo Gordillo, Javier Cerviño y yo. Mis compañeros me pueden corregir si me dejo a alguien.
1. Registro de actividad sobre la base de datos.
Hay un log de todas las consultas, tanto a nivel de Apache como Ruby on Rails. Los logs cumplen el estándar de Ubuntu; se comprime y almacenan durante 52 semanas
A continuación, te resumo las medidas de seguridad a implementar:
* El registro de actividad sobre la base de datos (punto 5) asegura que los accesos a la base de datos desde la aplicación por parte de los usuarios quedan registrados. Aún así, queda por verificar si las operaciones sobre la propia base de datos (mediante alguna herramienta de administración) quedan registradas. ¿Se están registrando los accesos (modificaciones, borrado) a las tablas con los datos personales?
Igualmente, también hay que verificar si se están registrando las operaciones sobre la base de datos, por ejemplo, ejecución de scripts, copias de seguridad, ...
* Mantener un backup al menos semanal-> Documentar como se hace el backup y donde se deposita.
* Mantener un registro de incidencias relativas a estos ficheros como por ejemplo, caidas de la BD, borrados accidentales, accesos no autorizados etc.. tambien sería útil si se mantiene un un log o registro de altas, bajas y modificaciones de los datos personales-> No se si existirá algún log de la base de datos que incluya todo o parte de esta información. Si no existe también se podría complementar con el sistema de ticketing o gestion de incidencias del grupo de Operaciones (si lo hay)
* Recomendamos el cifrado de las tablas que contienen los nombres de usuario y correo electrónico. Solo es una recomendación por estar la base de datos en primera línea desde Internet.
Un saludo.
Juan
--
----------------------------------------------------------------------
_/ _/_/ Miguel Carrillo Pacheco
_/ _/ _/ _/ Telefónica Distrito Telefónica
_/ _/_/_/ _/ _/ Investigación y Edifico Oeste 1, Planta 9
_/ _/ _/ _/ Desarrollo Ronda de la Comunicación S/N
_/ _/_/ 28050 Madrid (Spain)
Tel: (+34) 91 483 26 77<tel:%28%2B34%29%2091%20483%2026%2077>
e-mail: mcp at tid.es<mailto:mcp at tid.es>
Follow FI-WARE on the net
Website: http://www.fi-ware.eu
Facebook: http://www.facebook.com/pages/FI-WARE/251366491587242
Twitter: http://twitter.com/Fiware
LinkedIn: http://www.linkedin.com/groups/FIWARE-4239932
----------------------------------------------------------------------
________________________________
Este mensaje se dirige exclusivamente a su destinatario. Puede consultar nuestra política de envío y recepción de correo electrónico en el enlace situado más abajo.
This message is intended exclusively for its addressee. We only send and receive email on the basis of the terms set out at:
http://www.tid.es/ES/PAGINAS/disclaimer.aspx
--
----------------------------------------------------------------------
_/ _/_/ Miguel Carrillo Pacheco
_/ _/ _/ _/ Telefónica Distrito Telefónica
_/ _/_/_/ _/ _/ Investigación y Edifico Oeste 1, Planta 9
_/ _/ _/ _/ Desarrollo Ronda de la Comunicación S/N
_/ _/_/ 28050 Madrid (Spain)
Tel: (+34) 91 483 26 77
e-mail: mcp at tid.es<mailto:mcp at tid.es>
Follow FI-WARE on the net
Website: http://www.fi-ware.eu
Facebook: http://www.facebook.com/pages/FI-WARE/251366491587242
Twitter: http://twitter.com/Fiware
LinkedIn: http://www.linkedin.com/groups/FIWARE-4239932
----------------------------------------------------------------------
________________________________
Este mensaje se dirige exclusivamente a su destinatario. Puede consultar nuestra política de envío y recepción de correo electrónico en el enlace situado más abajo.
This message is intended exclusively for its addressee. We only send and receive email on the basis of the terms set out at:
http://www.tid.es/ES/PAGINAS/disclaimer.aspx
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.fiware.org/private/fiware-portals/attachments/20130904/97d05e18/attachment.html>
You can get more information about our cookies and privacy policies clicking on the following links: Privacy policy Cookies policy