En la actualidad, las soluciones ERP desempeñan un papel fundamental en la gestión de datos críticos y procesos empresariales, centralizando información financiera, ventas, recursos humanos, logística y más. Un acceso no autorizado a los datos de tu empresa puede traer consecuencias devastadoras y es allí cuando la seguridad en el sistema que usas se vuelve una prioridad esencial.
Implementar medidas sólidas de seguridad para la protección de datos y garantizar que tu software ERP cumpla con las regulaciones de privacidad y seguridad de datos vigentes también lo es. Por esta razón, queremos hablarte de la seguridad en Odoo Enterprise. En este blog, exploraremos juntos las prácticas que protegen cada área de tu empresa y te enseñaremos a estar preparado para cualquier eventualidad que pueda surgir.
Odoo en la nube
Copias de seguridad / recuperación de desastres
Cuando se trata de la seguridad y la continuidad de tu empresa Odoo no toma riesgos. El sistema mantiene hasta 14 copias de seguridad completas de cada instancia durante un período de hasta 3 meses, lo que significa que tus datos están protegidos a lo largo del tiempo. Estas copias de seguridad se distribuyen en al menos 3 servidores diferentes, ubicadas en centros de datos distintos, garantizando el acceso a tu información en cualquier situación. Además, tienes el control total: puedes descargar copias de seguridad y manuales en cualquier momento utilizando la documentación proporcionada por Odoo.
Si alguna vez enfrentas un desastre, su RPO (Recovery Point Objective) es de tan solo 4 horas, lo que significa que, en el peor de los casos, se podría perder un máximo de 4 horas de trabajo antes de que se restaure la última copia de seguridad. Por otro lado, El RTO (Recovery Time Objective)
de Odoo
es destacable, con una restauración del servicio en un centro de datos alternativo en tan solo 2 horas en el caso de que se presente un desastre si uno de los centros de datos quede fuera de servicio.
Seguridad de la base de datos
En Odoo, cada cliente cuenta con su propia base de datos dedicada, y nunca se comparten datos entre clientes. Además, existen reglas rigurosas de control de acceso a los datos, lo que significa que hay un aislamiento completo entre las bases de datos de los clientes que se ejecutan en el mismo clúster. Esto impide cualquier posibilidad de acceso no autorizado o interacción entre bases de datos, asegurando la máxima confidencialidad y seguridad de tus datos.
Seguridad de las contraseñas
Las contraseñas de los usuarios están protegidas con una encriptación de industria estándar como PBKDF2+SHA512 (con adición de sal + y reforzada por miles de rondas) . Además, tu contraseña es tuya y solo tuya, ya que el personal de Odoo no tiene acceso para recuperarla, por lo cual, en caso de perderla debes restablecerla. En adición, Odoo garantiza la transmisión segura de las credenciales a través de HTTPS.
A partir de la versión 12.0, los administradores de bases de datos de tu Odoo pueden configurar límites de tasa y plazos de espera para los intentos de inicio de sesión. También ofrece políticas de contraseñas, como la longitud mínima, para mejorar la seguridad.
Acceso al personal
El personal de servicio de asistencia de Odoo puede iniciar sesión en tu cuenta utilizando sus propias credenciales, sin necesidad de conocer tu contraseña. Esto no solo mejora la eficiencia en la resolución de problemas, sino que también garantiza tu seguridad. Además, esta práctica permite auditar y controlar las acciones del personal de soporte de manera independiente, manteniendo así un alto nivel de privacidad. Puedes confiar en que el sistema solo accederá a los archivos y ajustes necesarios para diagnosticar y resolver tus problemas, protegiendo al máximo tu información.
Sistema de seguridad
La nube de Odoo utiliza parches de seguridad actualizados. Las instalaciones son mínimas para reducir vulnerabilidades potenciales y evitar stacks como PHP/MySQL. Solo unos pocos ingenieros tienen la autorización para gestionar los servidores de forma remota, y el acceso se realiza mediante un par de claves SSH personales cifradas desde computadoras con cifrado de disco completo, garantizando así la máxima protección.
Seguridad física
Los servidores de Odoo se alojan en centros de procesamiento de datos confiables en todo el mundo, como OVH y Google Cloud, que cumplen con rigurosos estándares de seguridad física. Estos centros cuentan con perímetros restringidos, acceso exclusivo para empleados autorizados a través de gafetes de seguridad o medidas biométricas, cámaras de seguridad que monitorean las instalaciones las 24 horas del día, y personal de seguridad en el sitio disponible las 24 horas.
Seguridad en pagos con tarjeta de crédito
Odoo no almacena información de tarjetas de crédito en el sistema. Tu información siempre se transmite de manera segura y directa, cumpliendo con los métodos de pago PCI (consulta la lista en la página de Política de Privacidad de Odoo).
Encriptación de datos
La información de los clientes se transmite y almacena siempre de forma encriptada, tanto en tránsito como en reposo. Todas las comunicaciones hacia las instancias de nuestros clientes están protegidas por el cifrado SSL de 256 bits (HTTPS), el más avanzado. Además, las comunicaciones internas entre los servidores también cuentan con cifrado de última generación (SSH). Odoo mantiene una estricta vigilancia de seguridad en sus servidores y aplica parches para proteger contra las últimas vulnerabilidades SSL, manteniendo calificaciones SSL de Grado A en todo momento. Todos sus certificados SSL utilizan módulos sólidos de 2048 bits con cadenas completas de certificados SHA-2.
Defensa de la red
La defensa de la red es sólida y robusta. Los proveedores de centros de datos que utiliza Odoo están preparados para hacer frente a ataques de denegación de servicio (DDOS). Sus sistemas de atenuación, tanto automáticos como manuales, pueden detectar y desviar el tráfico de ataque en el borde de sus redes en todo el mundo, evitando interrupciones en la disponibilidad de nuestros servicios. Además, en los servidores de Odoo Cloud, cuentas con firewalls y sistemas de prevención de intrusiones que detectan y bloquean amenazas como ataques de fuerza bruta para descifrar contraseñas. En la versión 12.0 y posteriores, los administradores de la base de datos del cliente tienen la flexibilidad de configurar el límite de tasa y la duración de enfriamiento para múltiples intentos de acceso, proporcionando un control adicional sobre la seguridad de sus datos.
Odoo (el software)
En cuanto a la seguridad del software, Odoo cuenta con una continua revisión por parte de usuarios en todo el mundo, permitiendo la identificación y colaboración proactiva en mejora de la seguridad. Además, los procesos de desarrollo incorporan pasos de revisión específicos para aspectos de seguridad, tanto en el código nuevo como en el contribuido.
El diseño de Odoo se centra en la seguridad desde el principio, evitando vulnerabilidades comunes como la inyección SQL y los ataques XSS mediante la implementación de medidas preventivas, como el uso de una API de nivel superior y sistemas de plantillas web avanzados. La infraestructura también limita el acceso a métodos privados, lo que dificulta la introducción de vulnerabilidades explotables.
La seguridad de Odoo se somete regularmente a pruebas independientes y auditorías realizadas por empresas contratadas por clientes y prospectos, así como a pruebas de penetración. Aunque los resultados son confidenciales, se utilizan para implementar las correcciones necesarias.
Prácticas para Proteger tus Datos en Odoo
¡No escatimes en seguridad! Protege tus datos y sigue las mejores prácticas.
Ahora que estás familiarizado con la seguridad de Odoo, tanto en la plataforma como en el software, deseamos mostrarte algunas recomendaciones que te permitirán fortalecer la seguridad de tu sistema y garantizar la protección de tus datos frente a posibles amenazas.
En primer lugar, es crucial mantener tus sistemas y aplicaciones actualizadas, incluyendo todas las extensiones y módulos utilizados. Además, debes implementar políticas de contraseñas robustas y únicas para cada usuario, evitando contraseñas comunes y compartidas. La autenticación de dos factores (2FA) también debe habilitarse siempre que sea posible para añadir una capa adicional de seguridad.
Por otro lado, se recomienda capacitar a los usuarios de tu compañía en la detección de correos electrónicos de phishing y en la importancia de no hacer clic en enlaces o abrir archivos adjuntos sospechosos. El cerrar sesión mientras no se estén usando las máquinas de la compañía también es otra recomendación importante. Además, se deben realizar copias de seguridad periódicas de los datos y almacenarlas de forma segura. Finalmente, mantenerse al tanto de las actualizaciones y parches de seguridad proporcionados por Odoo y aplicarlos de manera oportuna es esencial para proteger tu sistema y datos.
En resumen, la seguridad en Odoo es una prioridad inquebrantable. Desde el encriptado de datos hasta la revisión constante del código y las pruebas independientes, cada aspecto se aborda con atención meticulosa. Sin embargo, la seguridad es un esfuerzo conjunto, y cada usuario desempeña un papel esencial al adoptar prácticas de seguridad sólidas. Juntos, podemos mantener la seguridad en Odoo al más alto nivel.
Recuerda que las especificaciones de seguridad pueden variar según la infraestructura de Odoo que tengas: Online, On premise, Odoo.SH.
¿Listo para fortalecer tu seguridad con Odoo?
¡Contáctanos hoy y descubre cómo podemos
ayudarte a proteger tu negocio!
