Documento: Definiciones de Términos Clave de Seguridad para el Sistema CRM¶

Introducción¶

Este documento define términos clave relacionados con la seguridad del Sistema CRM, asegurando un entendimiento común entre los equipos de desarrollo, DevOps, seguridad y legal. Las definiciones son claras, concisas y alineadas con los estándares de la industria, facilitando la implementación coherente de medidas de seguridad y el cumplimiento normativo.

Definiciones¶

1. TLS 1.3

   • Definición: Protocolo de seguridad que protege los datos mientras viajan por internet, asegurando que la comunicación entre el usuario y el servidor sea privada y no pueda ser alterada. Es la versión más reciente y segura del protocolo TLS (Transport Layer Security).
   • Ejemplo: Cuando un usuario accede al Sistema CRM desde un navegador, TLS 1.3 cifra la información para evitar que terceros la intercepten.
   • Relevancia: Garantiza la confidencialidad e integridad de los datos en tránsito, como se especifica en NFR-003.

2. AES-256

   • Definición: Algoritmo de cifrado simétrico que utiliza una clave de 256 bits para proteger datos almacenados, como los guardados en la base de datos MySQL. Es uno de los métodos más seguros para proteger información.
   • Ejemplo: Los datos de contactos en el Sistema CRM se cifran con AES-256 para que no puedan ser leídos si alguien accede a la base de datos sin permiso.
   • Relevancia: Cumple con NFR-003 para proteger datos en reposo, asegurando cumplimiento con normativas como GDPR.

3. GDPR

   • Definición: Reglamento General de Protección de Datos de la Unión Europea, que establece reglas para proteger la privacidad de los datos personales de los ciudadanos de la UE, incluyendo consentimiento, derecho al olvido y seguridad de datos.
   • Ejemplo: El Sistema CRM incluye un banner de consentimiento de cookies y permite a los usuarios eliminar sus datos personales para cumplir con GDPR.
   • Relevancia: Obligatorio para operar en la UE, garantizando conformidad legal (NFR-003).

4. CCPA

   • Definición: Ley de Privacidad del Consumidor de California, que otorga a los residentes de California derechos sobre sus datos personales, como el acceso, la eliminación y la opción de no compartirlos con terceros.
   • Ejemplo: Un usuario del Sistema CRM en California puede solicitar ver o eliminar su información personal almacenada.
   • Relevancia: Asegura cumplimiento con regulaciones de privacidad en California, complementando GDPR.

5. LGPD

   • Definición: Ley General de Protección de Datos de Brasil, similar a GDPR, que regula el manejo de datos personales en Brasil, exigiendo consentimiento, seguridad y transparencia.
   • Ejemplo: El Sistema CRM debe notificar a los usuarios brasileños cómo se usan sus datos y permitirles revocar el consentimiento.
   • Relevancia: Esencial para operar en Brasil, alineándose con NFR-003 para cumplimiento normativo.

6. PII (Información Personal Identificable)

   • Definición: Cualquier dato que pueda identificar a una persona, como nombre, correo electrónico, número de teléfono o dirección.
   • Ejemplo: En el Sistema CRM, los datos de contacto como nombre y correo son PII y deben protegerse con cifrado.
   • Relevancia: Proteger PII es clave para cumplir con GDPR, CCPA y LGPD, y evitar violaciones de datos.

7. OAuth 2.0

   • Definición: Protocolo de autorización que permite a usuarios otorgar acceso limitado a sus datos en una aplicación sin compartir contraseñas, usando tokens seguros.
   • Ejemplo: Un usuario podría usar su cuenta de Google para iniciar sesión en el Sistema CRM sin revelar su contraseña.
   • Relevancia: Mejora la seguridad del acceso a APIs, alineándose con NFR-003 para autenticación segura.

8. Inyección SQL

   • Definición: Técnica de ataque donde un atacante inserta código malicioso en consultas de base de datos para manipular o robar datos.
   • Ejemplo: Un formulario de búsqueda en el Sistema CRM mal diseñado podría permitir a un atacante acceder a datos sensibles.
   • Relevancia: Se mitiga usando consultas parametrizadas en MySQL, como requiere NFR-003.

9. XSS (Cross-Site Scripting)

   • Definición: Ataque que inyecta scripts maliciosos en páginas web vistas por usuarios, pudiendo robar datos o ejecutar acciones no autorizadas.
   • Ejemplo: Un atacante podría insertar un script en un campo de comentarios del Sistema CRM para robar cookies de sesión.
   • Relevancia: Se previene con validación de entradas y codificación en Razor Pages, según NFR-003.

10. Pruebas de Penetración

    • Definición: Proceso de simular ataques controlados para identificar vulnerabilidades en el sistema antes de que sean explotadas.
    • Ejemplo: Un equipo de seguridad intenta hackear el Sistema CRM para encontrar fallos antes del despliegue.
    • Relevancia: Asegura que el sistema sea robusto frente a amenazas, cumpliendo con NFR-003.

11. Auditoría de Seguridad

    • Definición: Evaluación sistemática de las medidas de seguridad de un sistema para verificar su cumplimiento con estándares y detectar riesgos.
    • Ejemplo: Revisar los registros de Audit Logging de ABP.IO para confirmar que las acciones de usuarios son seguras.
    • Relevancia: Esencial para garantizar conformidad con normativas y mantener la seguridad (NFR-003).

12. Cifrado en Reposo

    • Definición: Protección de datos almacenados en discos o bases de datos mediante algoritmos como AES-256, evitando accesos no autorizados.
    • Ejemplo: La base de datos MySQL del Sistema CRM cifra los datos de contactos para protegerlos.
    • Relevancia: Cumple con NFR-003 para proteger datos sensibles en reposo.

13. Cifrado en Tránsito

    • Definición: Protección de datos mientras se transfieren por redes, usando protocolos como TLS 1.3.
    • Ejemplo: Los datos enviados desde el navegador al servidor del Sistema CRM están cifrados para evitar interceptaciones.
    • Relevancia: Garantiza la seguridad de los datos durante la comunicación, según NFR-003.

14. Anonimización de Datos

    • Definición: Proceso de modificar o eliminar PII para que los datos no puedan vincularse a una persona, manteniendo su utilidad para análisis.
    • Ejemplo: Reemplazar nombres reales por códigos en los reportes del Sistema CRM para proteger la privacidad.
    • Relevancia: Ayuda a cumplir con GDPR, CCPA y LGPD, especialmente para análisis de datos.

15. Política de Retención de Datos

    • Definición: Conjunto de reglas que define cuánto tiempo se guardan los datos y cómo se eliminan de forma segura cuando ya no son necesarios.
    • Ejemplo: El Sistema CRM elimina automáticamente datos de contactos inactivos tras 5 años, según la política.
    • Relevancia: Asegura cumplimiento con normativas de privacidad y optimiza el almacenamiento (NFR-006).

Verificación¶

• Este documento debe ser revisado por los equipos de desarrollo, DevOps, seguridad y legal para garantizar que las definiciones sean claras y precisas.
• Se recomienda incluir ejemplos específicos del Sistema CRM en las revisiones para contextualizar los términos.
• Una vez aprobado, el documento puede integrarse en la documentación en Markdown del proyecto, como se especifica en NFR-006.

Buen trabajo, Lo importante es que lo entiendan, y que empiecen hacer su propia biblioteca de conocimiento