Page Comparison

...

...

Cada cuenta de usuario tiene una función específica y permisos asociados, que se pueden asignar y recuperar. Además, todas las acciones realizadas por un usuario se registran en un registro de auditoría para que sea posible saber quién ha hecho algo y qué ha hecho alguien.

User accounts are managed by users with specific roles, so that the accounts can be disabled. Disabled accounts and their activity logs are retained in the system for a configurable period of time so that the retention periods applicable to each implementation can be metLas cuentas de usuario son administradas por usuarios con roles específicos, por lo que las cuentas se pueden deshabilitar. Las cuentas deshabilitadas y sus registros de actividad se conservan en el sistema durante un período de tiempo configurable para que se puedan cumplir los períodos de retención aplicables a cada implementación.

[op.acc.2] Access Requirements

Access to all system resources is protected by authentication and their use is restricted to the user who created them and to users and groups to whom access has been specifically granted by authorized roles.

There is the possibility to mark resources for public access. This option is never the default option and must be carried out by a user with special permissions on that resource.

Access to configuration parameters and Onesait Platform modules/components is restricted to administrator users and system operators onlyRequisitos de acceso

El acceso a todos los recursos del sistema está protegido por autenticación y su uso está restringido al usuario que los creó y a los usuarios y grupos a los que se les ha otorgado acceso específicamente mediante roles autorizados.

Existe la posibilidad de marcar los recursos para el acceso público. Esta opción nunca es la opción por defecto y debe ser realizada por un usuario con permisos especiales sobre ese recurso.

El acceso a los parámetros de configuración y módulos/componentes de la Plataforma Onesait está restringido únicamente a usuarios administradores y operadores del sistema.

[op.acc.3] Segregation of roles and tasks

The access control system is designed with specific roles with different functions within the system.

At the platform user level, the roles that a user must be aware of are theseSegregación de roles y tareas

El sistema de control de acceso está diseñado con roles específicos con diferentes funciones dentro del sistema.

A nivel de usuario de la plataforma, los roles que un usuario debe conocer son estos:

• USER (ROLE_USER): This role has query-mode access to the platform, that is to say, it can consume platform information generated by others, but it cannot upload information. It can therefore consume dashboards, APIs, query ontologies Usuario. Este rol tiene acceso en modo consulta a la plataforma, es decir, puede consumir información de la plataforma generada por otros, pero no puede cargar información. Por lo tanto, puede consumir dashboards, API, ontologías de consulta, ....
• DEVELOPER (ROLE_DEVELOPER): This role can use all the DaM and IoT capabilities in the platform without restrictions. It can create ontologies, APIs, rules, ... It is the typical platform user, and the one that is created by default. It has limited access to the AI capabilities of the platform, to control the resource consumption of the installation Desarrollador. Este rol puede utilizar todas las capacidades de DaM e IoT en la plataforma sin restricciones. Puede crear ontologías, APIs, reglas,... Es el típico usuario de plataforma, y ​​el que se crea por defecto. Tiene acceso limitado a las capacidades de IA de la plataforma, para controlar el consumo de recursos de la instalación.
• ANALYTICS (ROLE_DATASCIENTIST): This role extends the capabilities of the Developer role, allowing access to the analytical and AI tools. Therefore, it has access to the DataFlow, Notebooks, Models Científico de datos. Este rol amplía las capacidades del rol de desarrollador, lo que permite el acceso a las herramientas analíticas y de inteligencia artificial. Por lo tanto, tiene acceso al DataFlow, Cuadernos, Modelos, ...
• ADMINISTRATOR (ROLE_ADMINISTRATOR): This role has administration access to the Platform Control Panel. From there, it can manage all the concepts of a platform instance created by the rest of the users, including management of users, ontologies, permissions Administrador. Este rol tiene acceso de administración al Panel de control de la plataforma. Desde ahí, puede gestionar todos los conceptos de una instancia de plataforma creada por el resto de usuarios, incluyendo la gestión de usuarios, ontologías, permisos, etc...

Internally, the platform manages a set of roles that allow the operation and management of a platform installationInternamente, la plataforma gestiona un conjunto de roles que permiten la operación y gestión de una instalación de plataforma:

• DEVOPS (ROLE_DEVOPS): This role is in charge of managing the platform's  DevOps, Desarrollo y Operaciones. Este rol se encarga de administrar el proceso de CI/CD process. It has access to the Jenkins that is managed from the platform, from where it can launch the compilation and version generation pipelines, both of the platform and of verticals and micro services deployed on the platformde la plataforma. Tiene acceso al Jenkins que se gestiona desde la plataforma, desde donde puede lanzar los pipelines de compilación y generación de versiones, tanto de la plataforma como de los verticales y microservicios desplegados en la plataforma.
• OPERATIONS (ROLE_OPERATIONS): This role has only access to the platform's monitoring tools, being able to know the status of each module and to generate alerts from them Operaciones. Este rol sólo tiene acceso a las herramientas de monitorización de la plataforma, pudiendo conocer el estado de cada módulo y generar alertas a partir de los mismos.
• SYS_ADMIN (ROLE_SYS_ADMIN): This role has the system administration access, allowing access to the underlying infrastructure of the platform.

...

•  Administrador del sistema. Este rol tiene el acceso de administración del sistema, lo que permite el acceso a la infraestructura subyacente de la plataforma.

Más allá de estos roles principales, existen dos roles más con características especiales:

• VIEWER (ROLE_DATAVIEWER): This role is a subrole of the USER role. It only allows access to the Dashboards and  Visualización de datos. Este rol es un sub-rol del rol USER. Sólo permite el acceso a los Dashboards y al Marketplace.
• PARTNER (ROLE_PARTNER): This role contributes to the platform ecosystem by being able to create solutions that are marketed together with the platform and therefore has all the permissions of the ANALYTICS Role plus access to a part of the platform Operation Console to be able to deploy and operate its  Socio. Este rol contribuye al ecosistema de la plataforma al poder crear soluciones que se comercializan junto con la plataforma y por lo tanto tiene todos los permisos del Rol ANALYTICS, y además acceso a una parte de la Consola de Operación de la plataforma para poder implementar y operar su vertical.

[op.acc.4] Access rights management process
As a consequence of the segregation of functions and tasks materialized in the roles exposed in the previous step Proceso de gestión de derechos de acceso

Como consecuencia de la segregación de funciones y tareas materializada en los roles expuestos en el paso anterior, [op.acc.4], Onesait Platform complies with the following principles in access rights management:

...

cumple con los siguientes principios en la gestión de derechos de acceso:

• Mínimo privilegio: Los privilegios de cada usuario se reducen al mínimo estrictamente necesario para el cumplimiento de sus funciones.
• Necesidad de saber: Los privilegios están limitados para que los usuarios solo accedan a la información que necesitan para cumplir con sus obligaciones.
• Facultad de autorizar: Única y exclusivamente el personal con competencia para ello podrá otorgar, modificar o cancelar la autorización de acceso a los recursos, de acuerdo con los criterios establecidos por el responsable.

[op.acc.5] Authentication Mechanisms

Onesait Platform can be configured with different authentication mechanisms depending on security requirements:

...

 Mecanismos de autenticación

Onesait Platform se puede configurar con diferentes mecanismos de autenticación en función de los requisitos de seguridad:

• Nombre de usuario y contraseña.
• Certificados digitales: Tales como DNI electrónico u otros, firmados y emitidos por las autoridades competentes.
• Doble factor de autenticación: Autenticación acompañada de SMS o correo electrónico con código de verificación.

[op.acc.6] Local access and Acceso local y [op.acc.7] Remote access

Failed access attempts do not reveal sensitive information to the user. The number of access attempts is limited in a configurable way and the access attempt is temporarily blocked after each failure to avoid brute force attacks.

As it is a service-mode platform, all access is remote. The selected infrastructure service provider allows the creation of VPNs in the cloud so that it is possible to protect access to the desired services through private networks.

...

Acceso remoto

Los intentos de acceso fallidos no revelan información confidencial al usuario. El número de intentos de acceso está limitado de forma configurable,, y el intento de acceso se bloquea temporalmente tras cada fallo para evitar ataques de fuerza bruta.

Al ser una plataforma en modo servicio, todo acceso es remoto. El proveedor de servicios de infraestructura seleccionado permite la creación de VPN en la nube para que sea posible proteger el acceso a los servicios deseados a través de redes privadas.

Explotación

[op.exp.1] Asset inventory
An up-to-date inventory of all the elements of the system shall be maintained, detailing their nature and identifying the person responsible for them, i.e. the person who is responsible for decisions relating to themInventario de activos

Se mantendrá un inventario actualizado de todos los elementos del sistema, detallando su naturaleza e identificando al responsable de los mismos, es decir, al responsable de las decisiones relativas a los mismos.

[op.exp.2] Security configuration

The pieces of equipment shall be configured prior to their entry into operation, in such a way as to:

...

Configuración de seguridad

Los equipos deberán estar configurados antes de su entrada en funcionamiento, de forma que:

• Se eliminan las cuentas y contraseñas estándar.
• Se aplica la regla de “funcionalidad mínima”: De manera que sólo quedan activas aquellas funcionalidades requeridas para el cumplimiento de requisitos.
• Las funciones que no sean de interés, no sean necesarias o incluso no sean adecuadas para el fin previsto, serán eliminadas o desactivadas mediante el control de configuración.
• Se aplicará la regla de "seguridad por defecto". Es decir, todos los recursos protegidos por defecto y los permisos sobre los mismos deben ser otorgados por los usuarios responsables.

[op.exp.3] Configuration Management

The configuration of the system components shall be managed on an ongoing basis so that:

...

Gestión de la configuración

La configuración de los componentes del sistema se gestionará de forma continua de modo que:

• Se mantiene en todo momento la regla de "funcionalidad mínima" ([op.exp.2]) is maintained at all times.The "default security" rule
• La regla de "seguridad por defecto" ([op.exp.2]) is maintained at all times.The system adapts to new, previously authorized requirements se mantiene en todo momento.
• El sistema se adapta a nuevos requerimientos previamente autorizados ([op.acc.4]).
• The system reacts to reported vulnerabilities El sistema reacciona ante las vulnerabilidades reportadas ([op.exp.4]).The system reacts to incidences (see
• El sistema reacciona ante las incidencias (ver [op.exp.7]).

[op.exp.4] Maintenance

To maintain the physical and logical equipment constituting the system, the following shall be applied:

...

Mantenimiento

Para el mantenimiento de los equipos físicos y lógicos que constituyen el sistema, se aplicará lo siguiente:

• Se seguirán las especificaciones de los fabricantes para la instalación y mantenimiento de los sistemas.
• Se realizará un seguimiento continuo del defecto anunciado.
• Habrá un procedimiento disponible para analizar, priorizar y determinar cuándo aplicar actualizaciones de seguridad, parches, actualizaciones y nuevos lanzamientos. La priorización tendrá en cuenta la variación del riesgo según se aplique o no la actualización.

[op.exp.5] Change Management

Continuous control of changes made to the system will be maintained, so that:

...

Gestión del cambio

Se mantendrá un control continuo de los cambios realizados en el sistema, de manera que:

• Se analizarán las actualizaciones de la Plataforma Onesait para determinar su idoneidad para su incorporación o no.
• Antes de cargar una nueva versión o una versión parcheada en producción, se probará en una computadora que no sea de producción que la nueva instalación funcione correctamente y no disminuya la efectividad de las funciones requeridas para el trabajo diario. El equipo de prueba será equivalente al equipo de producción en los aspectos que se prueban.
• Se planificarán cambios para reducir el impacto en la prestación de los servicios afectados.
• El análisis de riesgos determinará si los cambios son relevantes para la seguridad del sistema. Los cambios que impliquen una situación de riesgo de alto nivel deberán ser aprobados explícitamente antes de su implementación.

[op.exp.8] Logging of user activity

User activity in the system shall be logged, so that:

• The log shall indicate who performs the activity, when they perform the activity, and on what information.
• User activity shall be included, and especially that of operators and administrators insofar as they can access the configuration and act in the maintenance of the system.
• Successful activities and unsuccessful attempts should be recorded.

Onesait Platform implements the following functionality:

...

Registro de la actividad del usuario

La actividad del usuario en el sistema se registrará, de modo que:

• El registro deberá indicar quién realiza la actividad, cuándo realiza la actividad y sobre qué información.
• Se incluirá la actividad de los usuarios, y en especial la de los operadores y administradores en la medida en que puedan acceder a la configuración y actuar en el mantenimiento del sistema.
• Deben registrarse las actividades exitosas y los intentos fallidos.

Onesait Platform implementa la siguiente funcionalidad:

• La plataforma cuenta con un sistema de auditoría que permite auditar cada operación que ocurre en la plataforma. Estas operaciones incluyen inicios y cierres de sesión en el Panel de Control, comunicaciones entre dispositivos y sistemas, etc.
• La información asociada a la auditoría se almacena en una ontología particular para cada usuario para que cada usuario pueda acceder a esta información de forma sencilla (y, por ejemplo, crear un panel de seguimiento).
• Para este propósito, cuando un usuario se registra en la plataforma, se crea una ontología con identificación Audit_ <userName>.
• Los usuarios administradores pueden acceder a la información de auditoría de cualquier usuario.

[op.exp.9] Incident Management Logging

All actions related to incident management shall be logged, so that:

...

Registro de gestión de incidentes

Se registrarán todas las actuaciones relacionadas con la gestión de incidencias, de forma que:

• Se registrará el informe inicial, las acciones de emergencia y las modificaciones del sistema resultantes del incidente.
• Se registrarán las pruebas que puedan sustentar posteriormente una reclamación judicial, o utilizarse para sustentarla, cuando el incidente pueda dar lugar a medidas disciplinarias contra el personal interno, proveedores externos o el enjuiciamiento de infracciones. Para determinar la composición y el detalle de esta evidencia, se buscará asesoramiento legal especializado.
• Como consecuencia del análisis de incidentes, se revisará la determinación de eventos auditables.

[op.exp.11] Cryptographic Key Protection

Cryptographic keys shall be protected throughout their life cycle according to the protocols defined during the platform implementation:

...

Protección de clave criptográfica

Las claves criptográficas estarán protegidas durante todo su ciclo de vida de acuerdo con los protocolos definidos durante la implementación de la plataforma:

• Generación.
• Transporte al punto de uso.
• Custodia durante la operación.
• Archivado después de la eliminación de la operación activa.
• Archiving after removal from active operation.
• Final destructionDestrucción definitiva.

...

Monitorización del sistema

[op.mon.1] Intrusion detection
Intrusion detection to the systems is ensured by the capabilities of the infrastructure-as-a-service provider AWS, which, through active monitoring of the contracted systems through Cloudwatch, monitors any installed element that is part of the Amazon Web Services infrastructure, collecting data in the form of logs, metrics and events, and offering a unified and correlated view of them. Besides, Cloudwatch incorporates an alarm system that can be used to automatically detect anomalous behavior in the data, and for automated troubleshooting to keep the systems runningDetección de intrusiones

La detección de intrusiones en los sistemas está asegurada por las capacidades del proveedor de infraestructura como servicio AWS, que a través de la monitorización activa de los sistemas contratados a través de Cloudwatch, monitorea cualquier elemento instalado que sea parte de la infraestructura de Amazon Web Services, recopilando datos en forma de logs, métricas y eventos, y ofreciendo una visión unificada y correlacionada de los mismos. Además, Cloudwatch incorpora un sistema de alarma que se puede utilizar para detectar automáticamente comportamientos anómalos en los datos y para la resolución automática de problemas para mantener los sistemas en funcionamiento.

[op.mon.2] Metrics System

In addition to the Cloud provider's monitoring, at the Monitoring level, tools are offered that allow to query the security status and monitor all hardware and software components. Besides, the platform includes CaaS Console, the Monitoring UI and the platform's audit module.

Protection measures

These are focused on protecting specific assets, according to their nature, with the level required in each security dimension.

...

Sistema de métricas

Además de la monitorización del proveedor de la Nube, a nivel de monitorización se ofrecen herramientas que permiten consultar el estado de seguridad y monitorear todos los componentes de hardware y software. Además, la plataforma incluye la Consola CaaS, la Interfaz de Usuario de Monitorización y el Módulo de Auditoría de la plataforma.

Medidas de protección

Éstas están enfocadas a proteger activos específicos, de acuerdo a su naturaleza, con el nivel requerido en cada dimensión de seguridad.

Protección de comunicaciones

[mp.com.1] Secure Perimeter

A firewall system shall be provided to separate the internal network from the outside. All traffic must pass through this firewall, which will only allow previously authorized flows to pass through.

The firewall contemplates, among others, the following rules:

• Unsecured protocols and ports must be disabled by default (port 80, http protocol, tcp without certificate).
• Block invalid packets.
• Block new packets that are not SYN.
• Block infrequent MSS values.
• Block packets from private subnets (Spoofing).
• Block connection attacks.
• Limiting new connections per second.
• Blocking fragmented packets.
• Limiting incoming TCP RST packets to mitigate TCP RST flooding.

During the implementation of the Platform, and based on a risk analysis, the set of rules to be implemented in the firewall will be determined Perímetro seguro

Se proporcionará un sistema de cortafuegos (firewall) para separar la red interna de la exterior. Todo el tráfico debe pasar por este cortafuegos, que sólo permitirá el paso de flujos previamente autorizados.

El firewall contempla, entre otras, las siguientes reglas:

• Los protocolos y puertos no seguros deben estar deshabilitados por defecto (puerto 80, protocolo http, tcp sin certificado).
• Bloquear paquetes no válidos.
• Bloquea nuevos paquetes que no sean SYN.
• Bloquear valores de MSS poco frecuentes.
• Bloquear paquetes de subredes privadas (Spoofing).
• Bloquear ataques de conexión.
• Limitación de nuevas conexiones por segundo.
• Bloqueo de paquetes fragmentados.
• Limitar los paquetes TCP RST entrantes para mitigar flooding de TCP RST.

Durante la implementación de la Plataforma, y ​​en base a un análisis de riesgo, se determinará el conjunto de reglas a implementar en el firewall.

[mp.com.2] Confidentiality Protection
Virtual private networks will be used when the communication runs through networks outside the security domain itself where possible. Algorithms accredited by the Centro Criptológico Nacional (Spanish National Cryptologic Center) shall be used Protección de la confidencialidad

Se usarán redes privadas virtuales cuando la comunicación se realice a través de redes fuera del propio dominio de seguridad cuando sea posible. Se utilizarán algoritmos acreditados por el Centro Criptológico Nacional.

[mp.com.3] Authenticity and Integrity Protection

All communications are protected by SSL certificates or electronic certificates such as DNI (Spanish national identity document).

...

 Protección de autenticidad e integridad

Todas las comunicaciones están protegidas por certificados SSL o certificados electrónicos como el DNI.

Protección de la información

[mp.info.1] Personal data

In accordance with the EU regulation 2016/679 for data protection (GDPR, General Data Protection Regulation), the platform adopts the necessary requirements in software design and development to ensure privacy and personal data protection for the user in any possible scenario. Users will have their personal data secured and protected. They will be able to define restrictions and use information assignments, guaranteeing at all times the rights established in the GDPR.

• Accountability Principle

Onesait Platform implements the mechanisms by adopting the necessary measures for the processing of personal data, as required by the standard, in compliance with:

• Responsibility.
• Accountability.

• Protection Principles

From the beginning of Onesait Platform, the design was focused on full compliance with the standard, adopting the necessary measures in all the processes involving data processing, as a rule and from the origin. The platform provides authentication, authorization (by roles) and encryption (encrypted information) mechanisms, both in the transfer of information from systems and devices to the platform and in the consumption of stored information. This guarantees the confidentiality and integrity of the stored information, complying at all times with:

• Data protection by design and by default.
• Anonymization.

• Principle of transparency

Onesait Platform is completely transparent, both in terms of architecture and data management. The platform is an open-source solution, with the Onesait Platform Community version available on GitHub. Onesait Platform provides at all times:

• Right of access.
• Right of deletion.
• Logging of processing activities.
• Allows the existence of a data protection officer.

A users will have the possibility of managing both that user's profile and all of that user's information, from the ControlPanel, maintaining a principle of complete transparency and privacy for the user.

• Registration and privacy options

To register an account in the system, users must accept the platform's terms and conditions of use.

Users are informed about the use of data and rights according to GDPR and how to exercise them (contact information). After that, by using only the credentials (username / password), users can access their personal account on the platform.

Once the user has deleted their account, all the user information is also deleted if the user had marked it as "private". If the information (ontologies) was verified as "public", that information will remain.

The user can define privacy settings in accordance with the GDPR:

...

 Datos personales

De acuerdo con el reglamento de la UE 2016/679 de protección de datos (RGPD, Reglamento General de Protección de Datos), la plataforma adopta los requisitos necesarios en el diseño y desarrollo de software para garantizar la privacidad y protección de datos personales del usuario en cualquier escenario posible. Los usuarios tendrán sus datos personales asegurados y protegidos. Podrán definir restricciones y cesiones de uso de la información, garantizando en todo momento los derechos establecidos en el RGPD.

• Principio de responsabilidad

Onesait Platform implementa los mecanismos mediante la adopción de las medidas necesarias para el tratamiento de datos personales, tal y como exige la norma, en cumplimiento de:

• Responsabilidad.
• Obligación de rendir cuentas.

• Principios de protección

Desde el inicio de Onesait Platform, el diseño estuvo enfocado al pleno cumplimiento del estándar, adoptando las medidas necesarias en todos los procesos que implican el tratamiento de datos, como norma y desde el origen. La plataforma proporciona mecanismos de autenticación, autorización (por roles) y encriptación (información encriptada), tanto en la transferencia de información de los sistemas y dispositivos a la plataforma, como en el consumo de la información almacenada. Esto garantiza la confidencialidad e integridad de la información almacenada, cumpliendo en todo momento con:

• Protección de datos desde el diseño y por defecto.
• Anonimización.

• Principio de transparencia

Onesait Platform es completamente transparente, tanto a nivel de arquitectura como de gestión de datos. La plataforma es una solución de código abierto, con la versión Onesait Platform Community disponible en GitHub. Onesait Platform proporciona en todo momento:

• Derecho de acceso.
• Derecho de borrado.
• Registro de actividades de procesamiento.
• Permite la existencia de un oficial de protección de datos.

Un usuario tendrá la posibilidad de gestionar tanto el perfil de ese usuario como toda la información de ese usuario, desde el Panel de Control, manteniendo un principio de total transparencia y privacidad para el usuario.

• Opciones de registro y privacidad

Para registrar una cuenta en el sistema, los usuarios deben aceptar los términos y condiciones de uso de la plataforma.

Se informa a los usuarios sobre el uso de datos y derechos según el RGPD y cómo ejercerlos (información de contacto). Después de eso, usando solo las credenciales (nombre de usuario / contraseña), los usuarios pueden acceder a su cuenta personal en la plataforma.

Una vez que el usuario ha eliminado su cuenta, toda la información del usuario también se elimina si el usuario la había marcado como "privada". Si la información (ontologías) fue verificada como "pública", esa información permanecerá.

El usuario puede definir la configuración de privacidad de acuerdo con el RGPD:

• Olvidar mis datos: El usuario puede eliminar cualquier información contenida en las ontologías que posee.
• Revocar consentimiento: El usuario puede revocar cualquier consentimiento previamente otorgado.
• Ver mis datos: El usuario puede ver los datos almacenados en las ontologías que posee.
• Olvídame: El usuario puede borrar el perfil de ese usuario, eliminando toda la información.

[mp.info.9] Backup copies

The system will take advantage of the facilities and tools provided by the AWS Cloud, specifically the snapshot concept that allows to back up data, allowing to take snapshots at a given time and running incrementally, and saving storage costs. These snapshots contain the information necessary to restore data on a final volume, producing an exact replica of the original volume. The replicated volumes load the data in the background, allowing to start using them immediately.

...

 Copias de seguridad

El sistema aprovechará las ventajas y herramientas que brinda AWS Cloud, específicamente el concepto de instantánea (snapshot) que permite realizar copias de seguridad de los datos, permitiendo tomar instantáneas en un momento dado, de manera incremental, y ahorrando costos de almacenamiento. Estas instantáneas contienen la información necesaria para restaurar datos en un volumen final, produciendo una réplica exacta del volumen original. Los volúmenes replicados cargan los datos en segundo plano, lo que permite comenzar a usarlos de inmediato.

Protección de servicios

[mp.s.2] Protection of web services and applications

Onesait Platform implements by default the following measures to protect its services and applications:

...

 Protección de servicios web y aplicaciones

Onesait Platform implementa por defecto las siguientes medidas para proteger sus servicios y aplicaciones:

• Protección contra la automatización. Capacidad para habilitar CAPTCHA.
• Protección contra la inyección de código.
• Protección contra secuencias de comandos entre sitios (cross-site scripting).
• Restricción de permisos y accesos por defecto.
• Protección contra la falsificación de solicitudes entre sitios (Cross-Site Request Forgery).
• Secure session cookie.
• Policies against weak passwords.
• Insecure SSL and HTTPS protocol in all exposed services.
• Unnecessary resources.
• Throttling control.Periodic update of libraries and tools used in each release, so that known vulnerabilities are eliminatedCookie de sesión segura.
• Políticas contra contraseñas débiles.
• Protocolo SSL y HTTPS inseguro en todos los servicios expuestos.
• Recursos innecesarios.
• Control de throttling. Actualización periódica de librerías y herramientas utilizadas en cada release, de forma que se eliminen las vulnerabilidades conocidas.

[mp.s.8] Protection against denial of service

• Application-level protection provided by Onesait Platform
  • Limiting the number of erroneous accesses.
  • Control of throttling in the exposed APIs.
  • Updating to the latest stable software versions in each release.
• Protection provided by the infrastructure service provider.

Explained in the security measure  Protección contra denegación de servicio

• Protección a nivel de aplicación proporcionada por Onesait Platform
  
  • Limitación del número de accesos erróneos.
  • Control de throttling en las APIs expuestas.
  • Actualización a las últimas versiones de software estables en cada lanzamiento.
• Protección proporcionada por el proveedor de servicios de infraestructura.

Explicado en la medida de seguridad [mp.com.1]. Secure perimeterPerímetro seguro.

• System sizing and scaling

...

• Dimensionamiento y escalado del sistema

El dimensionamiento del sistema planificado tiene capacidad suficiente para soportar aumentos en la demanda. Además, las capacidades de escalabilidad y robustez brindan la flexibilidad para soportar estos aumentos en la demanda.