Centro de Seguridad

Version 1.0    2016-11-03

 

1. Introducción

Tradicionalmente, el campo de Building Information Modeling ha sido impulsado por herramientas que se usaban localmente en PCs individuales. A medida que el mundo avanza a la colaboración global y los servicios en la nube, el valor agregado al adoptar estas ideas y tecnologías no ha pasado desapercibido en ningún área de la tecnología.

Trimble, el productor del software y de los servicios de Tekla, ha impulsado las oportunidades creadas por el internet. El equipo de servicios online Tekla  se enfoca en crear y mantener servicios en línea que soportan y crean valor agregado para los usuarios de Tekla. Algunos ejemplos incluyen el servicio Tekla Model Sharing para colaboración, y Tekla User Assistance, que ayuda a los usuarios a utilizar los productos Tekla de manera efectiva. Los servicios en línea en los que nos enfocamos son Tekla Account y Tekla Online Admin Tool, Tekla Model Sharing, Tekla User Assistance, Tekla Warehouse, Tekla Forum, Tekla Downloads y Tekla Campus. Este documento analiza algunos de los temas de seguridad y privacidad que son importantes para nuestros clientes. Los procesos y las organizaciones relacionadas sobre seguridad y protección de privacidad siguen las mejores prácticas de la norma ISO 27001. Además, muchos de los requisitos de seguridad están alineados con los estándares de la industria, como BSIMM y OWASP ASVS.

 

2. Servicios En línea Tekla

2.1 Información

Por diseño, la mayoría de los servicios en línea de Tekla no comparten datos entre ellos. Los datos, como los modelos almacenados en un servicio, no están disponibles para otros servicios. La única excepción a esta regla es la Cuenta Tekla que se utiliza para la autenticación en todos los servicios: proporciona la información de identidad necesaria para los servicios.

Información Justificación de la categorización
Modelos creados por clientes usando Tekla Structures (Modelos) Los modelos son los atractivos comerciales más valiosos que nuestros clientes almacenan dentro de los servicios en línea.
Información de identificación personal  (PII) Información de identificación personal (PII) es cualquier información que pueda identificar a un individuo específico.
Otro contenido creado por los clientes dentro de los servicios  (Other Content) Además de los modelos, otro contenido, como discusiones de soporte o archivos, debe estar protegido dentro de los servicios.

 

2.2 Servicios y Clasificación

Al diseñar la cartera de servicios en línea de Tekla, un principio de diseño es almacenar la cantidad mínima de información necesaria para que funcione cada servicio. Trimble reconoce el valor de los datos de los clientes y desea minimizar el riesgo relacionado con los incidentes de seguridad y cualquier posible uso indebido de los datos.

Los servicios en línea de Tekla se pueden clasificar en función de los tipos de datos que procesan.

Clasificación

Servicio

Justificación de servicios

Critico

Tekla Model Sharing


Contiene todos los modelos de Tekla Structures compartidos utilizando Tekla Model Sharing.

Critico

Tekla Account


Contiene PII sobre los usuarios y las funciones de los usuarios que se utilizan para la autenticación.

Alto

Tekla Warehouse

Contiene aplicaciones y complementos que se pueden insertar directamente en los modelos.

Normal

Todos los demás

Almacena solo PII limitada de la cuenta de Tekla u otro contenido creado dentro del sistema. No almacena ni tiene acceso a Modelos.

 

Clasificación

Explicación

Critico


Los servicios que, por diseño, almacenan y procesan los datos comerciales críticos de los usuarios (por ejemplo, modelos), o que trivialmente permiten el acceso a ellos en caso de verse comprometidos.

Alto


Servicios que no están diseñados principalmente para almacenar o procesar datos comerciales críticos de los usuarios, pero pueden hacerlo ocasionalmente en cantidades limitadas, por ejemplo, para fines de soporte técnico

Normal


Sistemas que no almacenan ni procesan los datos comerciales críticos de los usuarios bajo ninguna circunstancia, ni permiten el acceso a dichos datos, incluso si están comprometidos.

 

2.3 Almacenamiento de información

La información específica sobre datos del cliente almacenada dentro de los Servicios en línea de Tekla, y donde la información se encuentra geográficamente, está disponible bajo petición. 

3. Seguridad

3.1 Auditorias de seguridad

Incluso después de que las aplicaciones se han diseñado y desarrollado de acuerdo con todas las mejores prácticas de la industria y por profesionales altamente calificados, aún existe la posibilidad de que algo se haya omitido. Con los Servicios en línea de Tekla, nos aseguramos de que todos nuestros servicios pasen por auditorías de seguridad exhaustivas por parte de probadores de seguridad externos. Los servicios se auditan periódicamente para garantizar que el nivel de seguridad sigue siendo alto.

Si se identifican problemas de seguridad o áreas de mejora en las auditorías de seguridad, el equipo de Tekla evaluará estos elementos y diseñará mitigaciones efectivas. Todos los hallazgos de seguridad importantes se corrigen antes de que el producto se implemente en la producción y los verificadores de seguridad lo verifiquen antes de aprobarlo.

Todas las auditorías se realizan contra marcos y estándares de auditoría de seguridad estándar de la industria, como el estándar OWASP Foundation ASVS 3.0 y las listas de problemas de seguridad OWASP Top 10 u OWASP Mobile Top 10 según corresponda. Todos los problemas de seguridad se clasifican de acuerdo con el método de puntuación CVSS, que es ampliamente reconocido como estándar de la industria.

 

3.2 Administración de la vulnerabilidad

La gestión de vulnerabilidades es el proceso de garantizar que el software se mantenga actualizado a medida que la comunidad de seguridad encuentra nuevos problemas de seguridad. Con nuevos problemas que se encuentran a un ritmo cada vez mayor, es vital para garantizar que los servicios de Internet permanezcan seguros.


Muchos Servicios en línea de Tekla utilizan componentes y sistemas de código abierto y propietario. Ocasionalmente, los investigadores de seguridad encuentran nuevas vulnerabilidades de seguridad en estos sistemas. Las vulnerabilidades identificadas se revisan y se implementan soluciones a los servicios en función de su gravedad. Existen procesos para acelerar el seguimiento de soluciones de seguridad críticas en la producción, en base al análisis de riesgos realizado por el equipo de Tekla para garantizar que los servicios permanezcan seguros.


Cada equipo de Tekla Online Services es responsable de mantener un inventario de los componentes de software utilizados por su producto o servicio. Los equipos siguen de forma activa los feeds de seguridad provenientes de proveedores o autoridades centrales como Cert.


Algunos de los servicios en línea de Tekla son alojados o gestionados por socios. En estos casos, el equipo de Tekla trabaja en estrecha cooperación con el socio para garantizar que la gestión de la vulnerabilidad sea efectiva y que los servicios se parchen regularmente. Se han establecido contratos para garantizar que nuestros socios sigan normas similares a las de Trimble.

 

3.3 Administración de Incidentes

Si bien hacemos todo lo posible para garantizar que todos los servicios en línea de Tekla sean seguros, siempre existe el riesgo de que un sistema se vea comprometido. Trimble ha establecido prácticas para la administración de incidentes para garantizar que todos los incidentes se manejen de manera eficiente.


Cada equipo de Tekla Online Services mantiene un plan de respuesta a incidentes que incluye instrucciones sobre el manejo de incidentes de seguridad. Los planes incluyen responsabilidades, pasos técnicos a seguir y la ubicación de todos los materiales relevantes necesarios para mitigar e investigar problemas.

 

3.4 Continuidad y recuperación de desastres

Cada Tekla Online Services tiene un plan de recuperación ante desastres que detalla cómo se puede volver a llamar el servicio en caso de pérdida parcial o total. Los planes garantizan que se puedan mantener niveles aceptables de servicio incluso si ocurre algo inesperado. 

4. Requisitos y Diseño

4.1 Principios de arquitectura

Los servicios en línea de Tekla utilizan distintos tipos de arquitectura según el sistema específico y sus requisitos. Sin embargo, los principios básicos de arquitectura se comparten y se aplican a todos los sistemas para garantizar que los servicios cumplan con los requisitos de seguridad y calidad de Trimble.

Todos los diseños arquitectónicos son creados y validados por un equipo de arquitectura separado dentro de Trimble para garantizar que la estructura básica sea sólida y segura. Esto asegura que los equipos de desarrollo puedan enfocarse en la lógica de la aplicación. Si hay algún cambio que pueda afectar el panorama de la seguridad, el equipo de arquitectura vuelve a participar. La plantilla de arquitectura de nube estándar se recomienda para los Servicios en línea de Tekla que no tienen requisitos únicos que impidan su uso. También se utiliza para comparar soluciones de arquitectura personalizadas para garantizar que cumplan con los mismos requisitos básicos.

Todos los servicios en línea de Tekla usan HTTPS / TLS para proteger los datos de los clientes cuando están en tránsito por Internet. Esto es especialmente crítico en servicios que manejan modelos u otros datos creados por nuestros clientes.

 

4.2 Servicio disponible

Muchos de los servicios en línea son críticos para nuestros clientes y sus negocios. Para garantizar que los servicios estén disponibles cuando sea necesario, los hemos diseñado para lograr alta disponibilidad y escalabilidad. Los servicios críticos se alojan en centros de datos establecidos y de clase mundial con historial de brindar un buen servicio. Hemos implementado un alojamiento geográficamente distribuido para garantizar que, incluso en caso de pérdida total, el contenido aún esté disponible y se pueda distribuir desde la ubicación más cercana al cliente. Información detallada sobre servicios individuales está disponible bajo petición.

4.3 Amenazas de modelado

El diseño de soluciones seguras comienza por comprender las amenazas de las que debe protegerse la solución. Sin una comprensión adecuada de las amenazas, los controles de seguridad pueden ser ineficaces o incluso empeorar la situación. Comprender las amenazas es uno de los principios rectores centrales para diseñar y desarrollar los servicios en línea de Tekla.

El modelado de amenazas es una actividad donde se estudia el paisaje de amenazas antes de que se finalice el diseño arquitectónico. Todos los servicios en línea de Tekla pasan por modelado de amenazas. Las amenazas forman la base para el diseño de los controles de seguridad y las características del sistema.

Los modelos de amenazas se mantienen actualizados a medida que evolucionan los servicios. El modelado de amenazas es una parte obligatoria del proceso de gestión de cambios. Asegura que el impacto de las nuevas características se comprenda correctamente.

La entrada del modelado de amenazas se usa como base para definir auditorías y pruebas de seguridad.

 

4.4 Administración de servicio

Los servicios en línea de Tekla están diseñados para ser administrados y aprovisionados por nuestros clientes. La herramienta Tekla Account Admin permite a las organizaciones de clientes configurar los roles y los derechos de acceso dentro de diferentes servicios. Nuestros clientes retienen el control de sus datos y pueden decidir qué tipo de derechos de acceso se otorgan dentro de sus propias organizaciones.

Solo el personal autorizado de Trimble tiene acceso administrativo a los servicios, y el número de personas que pueden acceder a los datos del cliente es limitado.

Las razones del acceso administrativo a cada servicio se explican en la documentación específica del servicio. La información general sobre esto está disponible en Trimble Terms of Service y la política de privacidad de Trimble.

 

4.5 Cumplimiento y regulaciones

Nuestra Oficina de Protección de Datos está dedicada a seguir y garantizar que los Servicios en línea de Tekla cumplan con la legislación de la UE. Los requisitos específicos de cumplimiento que afectan los Servicios en línea de Tekla se identifican por cada objetivo de los Servicios para minimizar los datos recopilados sobre el usuario. En general, los datos creados por los usuarios son propiedad de los usuarios, incluso cuando están almacenados en los Servicios en línea de Tekla. Las excepciones a esta regla se describen en términos específicos del servicio.

Equipo de Tekla y considerado durante las fases de diseño y desarrollo de los servicios. La información relacionada con la recopilación y el uso de datos se describe en la Política de privacidad. En general, Tekla Online

 

4.6 Proveedores de terceros

Los servicios en línea de Tekla utilizan socios de confianza para alojar, desarrollar, mantener y probar los servicios. Estas relaciones con los socios han durado muchos años y la experiencia de los socios es un aspecto clave en la creación y el mantenimiento de nuestros servicios.   Todos los contratos con proveedores de Trimble que manejan datos personales incluyen cláusulas modelo de la UE que definen requisitos de seguridad, privacidad, confidencialidad y uso de cualquier material al que el proveedor pueda tener acceso. Todos los proveedores están sujetos a los mismos estándares que los propios empleados de Trimble. Además, solo las personas nombradas de los proveedores pueden trabajar en proyectos de Trimble.

 

4.7 Autenticación de administración de acceso

Los servicios en línea de Tekla que requieren autenticación operan usando la cuenta de Tekla. Los derechos de acceso siempre se pueden administrar de forma centralizada a través de Tekla Account Admin Tool. Esto facilita a nuestros clientes administrar sus accesos dentro de los Servicios en línea de Tekla. El servicio de cuentas de Tekla se basa en la tecnología de autenticación estándar de la industria. Todas las integraciones a otros servicios en línea de Tekla se implementan utilizando tecnologías estándar, como SAML, para mantener la separación clara. El servicio solo lo utilizan otros servicios en línea de Tekla, que deben ser autorizados y probados antes de implementarse en la producción.

 

5. Desarrollo de Software

5.1 Protección de Códigos

Asegurar que el código fuente no pueda ser alterado es crítico para la seguridad de los sistemas en línea. Para garantizar esto, varias medidas están en su lugar. Todo el código se almacena utilizando sistemas de control de versiones, ya sea desplegados dentro de la propia red de Trimble en el repositorio centralizado o en el propio sistema de control de versiones de nuestros socios. El acceso está estrictamente limitado a los equipos de desarrollo y partes interesadas nombradas.

 

5.2 Entorno de desarrollo seguro

Code for Tekla Online Services se desarrolla localmente en las instalaciones de Trimble o en las instalaciones de nuestros socios. Las propias instalaciones de Trimble son seguras y requieren permisos de acceso de todos los miembros del personal y visitantes. Se han establecido requisitos similares para que los socios se aseguren de seguir las mismas pautas estrictas. El desarrollo y las pruebas se realizan localmente en estaciones de trabajo o en entornos de desarrollo especialmente configurados. Los entornos remotos de desarrollo y prueba están diseñados para proteger el software y otros datos de manera similar a la producción.

5.3 Revisión de Códigos

Incluso los mejores profesionales de desarrollo de software pueden cometer errores. La mejor forma de detectar estos errores y aprender de ellos es revisar el código dentro de los equipos de desarrollo. Diferentes equipos de Tekla Online Services realizan una revisión del código en forma de revisión por pares y revisión formal del código. Esto nos permite garantizar que el código sea de alta calidad y difundir las mejores prácticas dentro de los equipos. Los servicios en línea de Tekla se basan en una amplia gama de tecnologías. Los diferentes equipos usan y siguen las pautas de la industria y las mejores prácticas cuando desarrollan código. Los procesos de revisión de código tienen como objetivo identificar las desviaciones de las pautas o las mejores prácticas. Las desviaciones pueden abordarse antes de implementar el código en producción.

 

5.4 Test de Aceptacion

En Trimble, queremos asegurarnos de que nuestros servicios sean de la más alta calidad. Para lograr este objetivo, todos los sistemas pasan por pruebas rigurosas antes de implementarlos en la producción. Como parte del proceso de gestión de cambios, todos los cambios a los servicios en línea de Tekla se prueban primero utilizando pruebas automáticas y casos de prueba manual. Cualquier regresión en las pruebas se aborda antes de que los cambios se puedan considerar para la implementación. Los casos de prueba se mejoran continuamente para cubrir nuevos desarrollos. Si se descubren problemas, se crean casos de prueba para atraparlos. A través de este proceso, la calidad de nuestros servicios sigue siendo alta.

 

6. Conclusión

Trimble reconoce el valor de nuestros clientes. Con Tekla Online Services, hemos tomado los pasos necesarios para proteger tanto su privacidad como los diseños que son el núcleo de su negocio. Mientras usa los servicios, puede estar seguro de que sus datos están protegidos. Continuaremos trabajando para mantener y mejorar la seguridad de nuestros servicios aprovechando el nuevo desarrollo en las mejores prácticas de la industria. Nuestros esfuerzos le permiten concentrarse en su negocio principal sin dejar que las preocupaciones de seguridad lo detengan. Si tiene alguna inquietud o pregunta con respecto a cualquiera de los Servicios en línea de Tekla que no están cubiertos aquí, no dude en contactarnos.