Seguridad Plataforma MyOdoo

¡Su seguridad es muy importante para nosotros! Este es un resumen de lo que hacemos todos los días para garantizar que sus datos sean seguros con MyOdoo y que aplicamos las mejores prácticas de seguridad en nuestra versión alojada, la nube de Odoo Online.

Odoo en línea

Copias de seguridad / recuperación de desastres

  • Mantenemos 14 copias de seguridad completas de cada instancia de por hasta 3 meses: 1 diaria / 7 días, 1 semana / 4 semanas, 1 mensual durante 3 meses.
  • Las copias de seguridad se replican en al menos 3 máquinas diferentes en diferentes centros de datos
  • También puede descargar copias de seguridad manuales de sus datos en vivo en cualquier momento utilizando el panel de control de Odoo Online
  • Puede ponerse en contacto con nuestro Helpdesk para restaurar cualquiera de esas copias de seguridad en su base de datos en vivo (o en el lado)
  • En caso de desastre (nunca sucedió hasta ahora, pero planeamos lo peor):
    • RPO (Recovery Point Objective) = 24 horas, es decir, puede perder el máximo de 24 horas de trabajo si los datos no pueden recuperarse y tenemos que restaurar la última copia de seguridad diaria.
    • RTO (Recovery Time Objective) = 6h, es decir, el servicio se restaurará dentro de 6 horas en un centro de datos diferente si ocurre un desastre y un centro de datos está completamente caido.

Seguridad de la base de datos

  • Los datos de los clientes se almacenan en una base de datos dedicada, sin compartir datos entre clientes.
  • Las reglas de control de acceso a datos implementan el aislamiento completo entre las bases de datos de clientes que se ejecutan en el mismo clúster, no es posible el acceso de una base de datos a otra.

Seguridad de las contraseña

  • Las contraseñas de los clientes están protegidas con cifrado PBKDF2 + SHA512 estándar de la industria (salado + extendido durante miles de rondas)
  • El personal de Odoo no tiene acceso a su contraseña y no puede recuperarla para usted, la única opción si la pierde es para restablecerla.
  • Las credenciales de inicio de sesión siempre se transmiten de forma segura a través de HTTPS.

Acceso del personal MyOdoo

  • El personal de asistencia de Odoo puede acceder a su cuenta para acceder a la configuración relacionada con su problema de soporte. Para ello, utilizan sus propias credenciales de personal especial, no su contraseña (que no tienen forma de saber).
  • Este acceso especial al personal mejora la eficiencia y la seguridad: puede reproducir inmediatamente el problema que está viendo, nunca necesita compartir su contraseña y podemos auditar y controlar las acciones del personal por separado.
  • Nuestro personal de Helpdesk se esfuerza por respetar su privacidad en la medida de lo posible y sólo tiene acceso a los archivos y la configuración necesarios para diagnosticar y resolver su problema

Sistema de seguridad

  • Todos los servidores en línea de Odoo están ejecutando distribuciones endurecidas de Linux con parches de seguridad actualizados
  • Las instalaciones son ad-hoc y mínimas para limitar el número de servicios que podrían contener vulnerabilidades (no hay pila PHP / MySQL por ejemplo)
  • Sólo unos pocos ingenieros de Odoo de confianza tienen autorización para gestionar remotamente los servidores y el acceso sólo es posible utilizando pares de claves SSH (la autenticación de contraseña no está permitida)
  • Los cortafuegos y las contramedidas de intrusión ayudan a impedir el acceso no autorizado
  • La mitigación de la Denegación de Servicio Distribuida Automática (DDoS) se implementa en los centros de datos de la UE y de Estados Unidos y próximamente en Asia

Seguridad física

Los servidores de Odoo Online están alojados en varios centros de datos en todo el mundo, que deben cumplir con nuestros criterios mínimos de seguridad física:

  • El acceso físico al área del centro de datos donde se encuentran los servidores Odoo está restringido sólo a los técnicos del centro de datos
  • Las cámaras de seguridad están monitoreando las ubicaciones de los centros de datos

Seguridad de las tarjeta de crédito

  • Cuando te registras para recibir una suscripción pagada de Odoo Online, no guardamos tu información de tarjeta de crédito
  • La información de su tarjeta de crédito sólo se transmite de forma segura entre usted y nuestros adquirientes de pago PCI-Compliant payment acquirers: Ingenico y Paypal (incluso para suscripciones periódicas)

Comunicaciones

  • Todas las conexiones web a instancias de cliente están protegidas con el cifrado SSL de última generación de 256 bits
  • Nuestros servidores se mantienen bajo un estricto reloj de seguridad, y siempre están protegidos contra las últimas vulnerabilidades de SSL, disfrutando de las calificaciones SSL de Grado A+ en todo momento.
  • Todos nuestros certificados SSL utilizan módulos robustos de 2048 bits con cadenas completas de certificados SHA-2

Odoo

Seguridad del software

Odoo es de código abierto, por lo que toda la base de código está siendo examinada continuamente por usuarios de Odoo y colaboradores en todo el mundo. Los informes de errores de la comunidad son, por lo tanto, una fuente importante de comentarios sobre la seguridad. Animamos a los desarrolladores a auditar el código ya informar de problemas de seguridad.

Los procesos de I+D de Odoo tienen pasos de revisión de código que incluyen aspectos de seguridad, para piezas de código nuevas y contribuidas.

Seguridad por diseño

Odoo está diseñado de una manera que evita la introducción de las vulnerabilidades de seguridad más comunes:

  • Las inyecciones SQL se previenen mediante el uso de una API de nivel superior que no requiere consultas SQL manuales.

  • Los ataques XSS se evitan mediante el uso de un sistema de plantilla de alto nivel que escapa automáticamente a los datos inyectados.

  • El marco impide el acceso de RPC a los métodos privados, por lo que es más difícil introducir vulnerabilidades explotables.

Consulte también la sección sobre las Vulnerabilidades de OWASP para ver cómo se diseña Odoo desde cero para evitar que aparezcan dichas vulnerabilidades.

Auditorías independientes de seguridad

Odoo es regularmente auditada por empresas independientes que son contratadas por nuestros clientes y prospectos para realizar auditorías y pruebas de penetración. El Equipo de Seguridad de Odoo recibe los resultados y toma las medidas correctivas apropiadas cuando es necesario.

Sin embargo, no podemos revelar ninguno de esos resultados, porque son confidenciales y pertenecen a los comisionados. Por favor, no pregunte ;-)

Odoo también tiene una comunidad muy activa de investigadores independientes de seguridad, que supervisan continuamente el código fuente y trabajan con nosotros para mejorar y reforzar la seguridad de Odoo. Nuestro programa de seguridad se describe en nuestra página de dibulgación responsable


Vulnerabilidades de OWASP

Aquí es donde Odoo se encuentra en el primer problema de seguridad para aplicaciones web, según lo enumerado por el Open Web Application Security Project (OWASP):

  • Defectos de inyección: Los defectos de inyección, particularmente la inyección de SQL, son comunes en las aplicaciones web. La inyección se produce cuando los datos suministrados por el usuario se envían a un intérprete como parte de un comando o consulta. Los datos hostiles del atacante engañan al intérprete para que ejecute comandos no deseados o cambie datos.
    Odoo se basa en un marco ORM (object-relational-mapping) que abstrae la creación de consultas y evita las inyecciones SQL de forma predeterminada. Los desarrolladores normalmente no generan consultas SQL manualmente, son generadas por el ORM, y los parámetros siempre se escapan correctamente.

  • Cross Site Scripting (XSS): Las fallas XSS ocurren cada vez que una aplicación toma datos suministrados por el usuario y los envía a un navegador web sin validar o codificar primero ese contenido. XSS permite a los atacantes ejecutar secuencias de comandos en el navegador de la víctima que pueden secuestrar las sesiones de los usuarios, desmantelar los sitios web, posiblemente introducir gusanos, etc.
    El marco de Odoo escapa a todas las expresiones prestadas en vistas y páginas de forma predeterminada, evitando XSS. Los desarrolladores tienen que marcar especialmente las expresiones como "seguras" para la inclusión cruda en páginas renderizadas.

  • Cross Site Request Forgery (CSRF): Un ataque CSRF obliga al navegador de una víctima conectada a enviar una solicitud HTTP falsificada, incluida la cookie de sesión de la víctima y cualquier otra información de autenticación incluida automáticamente, a una aplicación web vulnerable. Esto permite al atacante obligar al navegador de la víctima a generar peticiones que la aplicación vulnerable cree que son peticiones legítimas de la víctima.
    El motor de sitio web Odoo incluye un mecanismo de protección incorporado CSRF. Evita que cualquier controlador HTTP reciba una solicitud POST sin el token de seguridad correspondiente. Esta es la técnica recomendada para la prevención de CSRF. Este token de seguridad sólo se conoce y se presenta cuando el usuario accedió genuinamente al formulario del sitio web pertinente y un atacante no puede forjar una solicitud sin él.

  • Ejecución de archivos maliciosos: El código vulnerable a la inclusión remota de archivos (RFI) permite a los atacantes incluir código y datos hostiles, lo que resulta en ataques devastadores, como el compromiso total del servidor.
    Odoo no expone funciones para realizar la inclusión remota de archivos. Sin embargo, permite a los usuarios privilegiados personalizar las funciones agregando expresiones personalizadas que serán evaluadas por el sistema. Estas expresiones siempre se evalúan mediante un entorno de sandbox y sanitized que sólo permite el acceso a las funciones permitidas.

  • Referencia de objeto directo inseguro: una referencia de objeto directo se produce cuando un desarrollador expone una referencia a un objeto de implementación interno, como un archivo, un directorio, un registro de base de datos o una clave, como URL o parámetro de formulario. Los atacantes pueden manipular esas referencias para acceder a otros objetos sin autorización.
    El control de acceso Odoo no se implementa en el nivel de interfaz de usuario, por lo que no hay riesgo en la exposición de referencias a objetos internos en las URL. Los atacantes no pueden eludir la capa de control de acceso mediante la manipulación de esas referencias, ya que cada solicitud todavía tiene que pasar por la capa de validación de acceso a datos.

  • Almacenamiento criptográfico inseguro: Las aplicaciones Web rara vez utilizan funciones criptográficas correctamente para proteger datos y credenciales. Los atacantes usan datos débilmente protegidos para conducir el robo de identidad y otros delitos, como el fraude con tarjetas de crédito.
    Odoo utiliza el hashing seguro estándar de la industria para las contraseñas de usuario (por defecto, PKFDB2 + SHA-512, con extensión de clave) para proteger las contraseñas almacenadas. También es posible utilizar sistemas de autenticación externa como OAuth 2.0 o LDAP, para evitar almacenar las contraseñas de usuario localmente.

  • Comunicaciones inseguras: Las aplicaciones no suelen cifrar el tráfico de red cuando es necesario proteger las comunicaciones sensibles.
    Odoo Online se ejecuta en HTTPS de forma predeterminada. Para instalaciones en las instalaciones, se recomienda ejecutar Odoo detrás de un servidor web que implemente la solicitud de encriptación y proxy a Odoo, por ejemplo Apache, Lighttpd o nginx.

  • Error al restringir el acceso a URL: Con frecuencia, una aplicación sólo protege la funcionalidad sensible al impedir la visualización de enlaces o direcciones URL a usuarios no autorizados. Los atacantes pueden usar esta debilidad para acceder y realizar operaciones no autorizadas al acceder directamente a esas URL.

    El control de acceso Odoo no se implementa en el nivel de interfaz de usuario y la seguridad no se basa en ocultar URL especiales. Los atacantes no pueden eludir la capa de control de acceso reutilizando o manipulando cualquier URL, ya que cada solicitud todavía tiene que pasar por la capa de validación de acceso a datos. En casos excepcionales en los que una URL proporciona acceso no autenticado a datos confidenciales, como URL especiales que el cliente utiliza para confirmar un pedido, estas URL se firman digitalmente con fichas únicas y sólo se envían por correo electrónico al destinatario previsto.

Informe Vulnerabilidades de Seguridad

Si necesita informar sobre una vulnerabilidad de seguridad, diríjase a nuestra página de divulgación responsable. Estos informes se tratan con alta prioridad, el problema es inmediatamente evaluado y resuelto por el equipo de seguridad de Odoo, en colaboración con el reportero, y luego revelado de manera responsable a los clientes y usuarios de Odoo.