Un software SaaS «Software As A Service», ya sea en el ámbito de los recursos humanos, financiero o de gestión de proyectos, es un servicio web en línea, facturado sobre la base del consumo real.
Estos servicios son accesibles desde todas partes, desde un portátil, una tableta o incluso a través de aplicaciones móviles Android e iOS. Los empleados aprecian poder hacer sus solicitudes de vacaciones desde casa o declarar sus gastos inmediatamente después de haberlos realizado, con el recibo en mano. Lo único que necesitan es una conexión a Internet.
La plataforma segura de Lucca: un proceso de mejora continua
En el sector de los software de recursos humanos en modo SaaS, la protección de datos es clave. Con el fin de protegerse de los ataques externos y asegurar las conexiones entre los software, Lucca desarrolla continuamente sus dispositivos de seguridad de acceso. Nuestras soluciones son auditadas regularmente por organizaciones externas especializadas, y hemos implementado una observancia de todo el tráfico en nuestra plataforma.
Desde el punto de vista del cliente, la seguridad de los datos se basa en 3 ejes:
- la autenticación permite que el acceso de cada persona a la plataforma sea legítimo (autenticación por contraseña o por SingleSignOn).
- un sistema detallado de gestión de derechos permite determinar qué empleado puede acceder a qué datos
- aislamiento de los clientes: cada plataforma sólo puede acceder a su propia base de datos
Desde el punto de vista de Lucca, la seguridad de los datos de los clientes implica:
- una protección aplicativa de todo el tráfico (Firewall y detección de ataques proactivos)
- la securización de todo el tráfico con un protocolo seguro (https)
- el almacenamiento de nuestras aplicaciones en la nube, de forma privada, segura y certificada (OVH)
- una auditoría continua de la seguridad de la plataforma por parte de organismos externos e independientes
- talleres internos de intentos de pirateo de nuestra plataforma para descubrir posibles vulnerabilidades
- un proceso de validación de seguridad y escalabilidad para cada nuevo despliegue
- la vigilancia permanente de las fisuras en seguridad en nuestra infraestructura, y la aplicación de los correctivos asociados
- copias de seguridad de todos los datos de nuestros clientes aseguradas en un sitio remoto por un período de 30 días consecutivos
- la seguridad interna de las instalaciones, así como los puestos de trabajo de todos los empleados
La política de seguridad de Lucca para asegurar las conexiones entre los software
Equipos internos y organizaciones externas independientes realizan periódicamente test de intrusión para evaluar el nivel de seguridad de las aplicaciones y de la infraestructura. Estas pruebas son encargadas por nuestros clientes o por nosotros mismos y llevadas a cabo por terceras personas, agentes de seguridad, o directamente por el departamento de seguridad interna. Cada año el nivel de pruebas aumenta, lo que nos permite perfeccionar el conjunto de medidas de seguridad que protegen los datos de los usuarios.
Desde finales de 2018, estamos en proceso de obtener la certificación ISO 27001 (norma internacional para la seguridad de los sistemas de información). Identificamos y analizamos los riesgos, los escenarios asociados y las medidas de protección. Este proceso es la base de la política de seguridad de Lucca: su plataforma, aplicaciones e infraestructura.
Lucca mejora y refuerza continuamente las medidas de protección, la trazabilidad y el análisis de los impactos de su plataforma, y ha puesto en marcha un proceso de validación de cualquier nuevo desarrollo inherente a la vida de un proveedor de Saas, con el fin de garantizar la seguridad de los datos en todo momento.
Asegurar el acceso a la plataforma con un firewall aplicativo
El firewall aplicativo protege a Lucca contra los ataques comunes (como la inyección SQL, XSS, etc.) que son los más peligrosos para las empresas. Este firewall analiza las peticiones entrantes y bloquea cualquier intento de ataque. Hoy en día, somos capaces de detectar instantáneamente este tipo de operación y de calificar si este ataque es legítimo o no (auditoría de seguridad, por ejemplo).
La autenticación, un elemento clave para la seguridad de las conexiones de los software de recursos humanos en modo SaaS
Lucca ha establecido una política de contraseñas configurable que puede ser adaptada a los requisitos de la política de seguridad de cada cliente.
También somos compatibles con los diferentes SSO (Single Sign-On) del mercado, lo que nos permite delegar la autenticación de nuestras soluciones en servicios de terceros (Google, Microsoft, etc.) para los clientes que deseen centralizar toda su autenticación.
La seguridad de las aplicaciones móviles es heredada de la política de seguridad configurada en Lucca. Si se configura un SSO, proponemos una autenticación de rebote, basada en un código único y efímero.
Todos los protocolos utilizados son seguros.
Enfoque sobre las contraseñas
Lucca utiliza un algoritmo hash (encriptación) probado y conocido para configurar la lentitud de la encriptación. A partir de la contraseña cifrada (huella digital o hash) almacenada en nuestra plataforma, es imposible recuperar la contraseña original. Estos hashes de contraseñas son por lo tanto inutilizables para rastrear la contraseña original. Sólo permiten validar que una contraseña es buena.
En otras palabras, las contraseñas nunca se almacenan en nuestra plataforma.
Por último, proponemos a nuestros clientes que definan su política de seguridad de contraseñas (número mínimo de caracteres, tipos de caracteres impuestos, tiempo de caducidad, reutilización de contraseñas antiguas... ).
Integración segura de los software de recursos humanos en el sistema de información del cliente
Gestión segura de las APIs de Lucca
Una aplicación SaaS está por definición alejada del sistema de información del cliente. La integración con este último es un factor importante para el éxito del proyecto.
Nuestras soluciones web y móviles se basan en las API (interfaz de programación de aplicaciones) REST (Transferencia de estado representativo). Estas API son explotables por nuestros clientes, a través de tokens de seguridad dedicados, cuyos derechos son configurables en la aplicación, permitiendo así crear integraciones con los sistemas de información de nuestros clientes.
Paralelamente a estas APIs, nuestras aplicaciones pueden sincronizarse con el sistema de información de los clientes, mediante mecanismos de importación y exportación de archivos, depositados en servidores FTP seguros o generados directamente por usuarios autorizados en las plataformas de nuestros clientes.
Los intercambios de datos entre las herramientas de Lucca y otros software como las soluciones de gestión de las nóminas o la contabilidad son seguros.
Actualizaciones fiables y seguras de las soluciones de RR.HH.
Lucca despliega actualizaciones de sus software de RR.HH. cada semana y mejoras cada noche o incluso durante el día de forma transparente. Este rendimiento se debe en parte al hecho de que todos los clientes utilizan una fuente única de código. La capacidad de respuesta de Lucca tanto en los aspectos de seguridad como en los aspectos aplicativos le permite ofrecer la mejor experiencia posible a sus clientes.
Una célula QA (Quality Assurance) garantiza la no regresión de las principales funcionalidades de nuestras soluciones. Esta validación automática se lleva a cabo antes de cada lanzamiento de evoluciones y va acompañada de pruebas funcionales manuales realizadas por los equipos que diseñan los productos.
La seguridad de los datos recopilados por los software Lucca es clave para garantizar la fiabilidad de los datos transmitidos al software de nómina y contabilidad.