Hola Miguel, efectivamente no hay nada implementado de lo que se comenta en el correo, y no es posible hacerlo de inmediato. Un saludo. El 04/09/13 14:07, Miguel Carrillo escribió: > Entiendo que están en la lista de portals > > ¿Me podéis responder, por favor? > > > El 03/09/2013 16:55, javier cerviño escribió: >> Hola Miguel, >> >> Sólo para no tener que reenviar muchos correos de un lado para otro. >> Todo lo relacionado con IDM y seguridad del IDM lo llevan Antonio, >> Críspin, Aldo y Enrique. >> >> Saludos, >> Javier. >> >> >> 2013/9/3 Miguel Carrillo <mcp at tid.es <mailto:mcp at tid.es>> >> >> Javier >> >> Te remito la comunicación que me mandaron ayer a ultima hora mis >> compañeros de seguridad. >> >> Los puntos que me pasa a partir del "A continuación" son una >> mezcla de "cuéntame como está" y de "hágase si no está hecho" >> >> Cuando tengas un respiro, te agradecería una respuesta dando la >> informacion que pide y confirmando si se va a hacer algún cambio >> (puede que no sea posible hacerlo inmediato) . >> >> Gracias >> >> Miguel >> >>> Hola Miguel >>> >>> Perfecto. Ya tenemos información de la base de datos para >>> incluir en el documento de seguridad del servicio. No era >>> necesario tener los nombres, sino más bien los perfiles con >>> acceso a la base de datos. Pero con lo que nos han mandado, es >>> suficiente para controlar el uso de los datos personales. >>> >>> Te hago un *resumen de la información recogida sobre la base de >>> datos*: >>> >>> 1. Tipo de base de datos. >>> >>> MySQL en Ubuntu. >>> >>> 2. Ubicación de la base de datos: equipo virtual, físico >>> (anfitrión) y path. >>> >>> La base de datos está en el propio equipo que aloja el portal >>> web. El fichero es el estándar de MySQL en Ubuntu, que imagino >>> estará en /var, pero no me se el path exacto. >>> >>> 3. Cifrado de los datos (nombre de usuario, email, contraseña). >>> >>> Nombres de usuarios y emails se almacenan en claro en la tabla >>> de la base de datos. Las contraseñas se almacenan en hash con un >>> salt distinto por usuario para evitar ataques con diccionarios >>> de hashes. >>> >>> 4. Identificar quien tiene acceso a este fichero. Incluyendo >>> los perfiles de acceso: lectura y/o escritura. >>> >>> 4 personas del equipo UPM tienen acceso lectura y escritura: >>> Enrique Barra, Aldo Gordillo, Javier Cerviño y yo. Mis >>> compañeros me pueden corregir si me dejo a alguien. >>> >>> 5. Registro de actividad sobre la base de datos. >>> >>> Hay un log de todas las consultas, tanto a nivel de Apache como >>> Ruby on Rails. Los logs cumplen el estándar de Ubuntu; se >>> comprime y almacenan durante 52 semanas >>> >>> A continuación, te resumo las *medidas de seguridad a implementar*: >>> >>> ·El registro de actividad sobre la base de datos (punto 5) >>> asegura que los accesos a la base de datos desde la aplicación >>> por parte de los usuarios quedan registrados. Aún así, queda por >>> verificar si las operaciones sobre la propia base de datos >>> (mediante alguna herramienta de administración) quedan >>> registradas. ¿Se están registrando los accesos (modificaciones, >>> borrado) a las tablas con los datos personales? >>> >>> Igualmente, también hay que verificar si se están registrando >>> las operaciones sobre la base de datos, por ejemplo, ejecución >>> de scripts, copias de seguridad, ... >>> >>> ·Mantener un backup al menos semanal-> Documentar como se hace >>> el backup y donde se deposita. >>> >>> ·Mantener un registro de incidencias relativas a estos ficheros >>> como por ejemplo, caidas de la BD, borrados accidentales, >>> accesos no autorizados etc.. tambien sería útil si se mantiene >>> un un log o registro de altas, bajas y modificaciones de los >>> datos personales-> No se si existirá algún log de la base de >>> datos que incluya todo o parte de esta información. Si no existe >>> también se podría complementar con el sistema de ticketing o >>> gestion de incidencias del grupo de Operaciones (si lo hay) >>> >>> ·Recomendamos el cifrado de las tablas que contienen los nombres >>> de usuario y correo electrónico. Solo es una recomendación por >>> estar la base de datos en primera línea desde Internet. >>> >>> Un saludo. >>> >>> Juan >>> >> >> -- >> ---------------------------------------------------------------------- >> _/ _/_/ Miguel Carrillo Pacheco >> _/ _/ _/ _/ Telefónica Distrito Telefónica >> _/ _/_/_/ _/ _/ Investigación y Edifico Oeste 1, Planta 9 >> _/ _/ _/ _/ Desarrollo Ronda de la Comunicación S/N >> _/ _/_/ 28050 Madrid (Spain) >> Tel:(+34) 91 483 26 77 <tel:%28%2B34%29%2091%20483%2026%2077> >> >> e-mail:mcp at tid.es <mailto:mcp at tid.es> >> >> Follow FI-WARE on the net >> >> Website:http://www.fi-ware.eu >> Facebook:http://www.facebook.com/pages/FI-WARE/251366491587242 >> Twitter:http://twitter.com/Fiware >> LinkedIn:http://www.linkedin.com/groups/FIWARE-4239932 >> ---------------------------------------------------------------------- >> >> >> ------------------------------------------------------------------------ >> >> Este mensaje se dirige exclusivamente a su destinatario. Puede >> consultar nuestra política de envío y recepción de correo >> electrónico en el enlace situado más abajo. >> This message is intended exclusively for its addressee. We only >> send and receive email on the basis of the terms set out at: >> http://www.tid.es/ES/PAGINAS/disclaimer.aspx >> >> > > -- > ---------------------------------------------------------------------- > _/ _/_/ Miguel Carrillo Pacheco > _/ _/ _/ _/ Telefónica Distrito Telefónica > _/ _/_/_/ _/ _/ Investigación y Edifico Oeste 1, Planta 9 > _/ _/ _/ _/ Desarrollo Ronda de la Comunicación S/N > _/ _/_/ 28050 Madrid (Spain) > Tel: (+34) 91 483 26 77 > > e-mail:mcp at tid.es > > Follow FI-WARE on the net > > Website:http://www.fi-ware.eu > Facebook:http://www.facebook.com/pages/FI-WARE/251366491587242 > Twitter:http://twitter.com/Fiware > LinkedIn:http://www.linkedin.com/groups/FIWARE-4239932 > ---------------------------------------------------------------------- > > ------------------------------------------------------------------------ > > Este mensaje se dirige exclusivamente a su destinatario. Puede > consultar nuestra política de envío y recepción de correo electrónico > en el enlace situado más abajo. > This message is intended exclusively for its addressee. We only send > and receive email on the basis of the terms set out at: > http://www.tid.es/ES/PAGINAS/disclaimer.aspx > > > _______________________________________________ > Fiware-portals mailing list > Fiware-portals at lists.fi-ware.eu > https://lists.fi-ware.eu/listinfo/fiware-portals -------------- next part -------------- An HTML attachment was scrubbed... URL: <https://lists.fiware.org/private/fiware-portals/attachments/20130904/ea372731/attachment.html>
You can get more information about our cookies and privacy policies clicking on the following links: Privacy policy Cookies policy