Mejores Prácticas de Seguridad para Administradores, Creadores de Proyectos y Especialistas en Integración¶
Introducción¶
Este documento está dirigido a administradores, creadores de proyectos y especialistas en integración que integran Jitterbit con otros productos, como Salesforce, NetSuite y otros extremos. Cuando trabaje con sus proyectos, construya teniendo en cuenta la seguridad.
Nota
Metodología del Proyecto de Integración contiene información útil para un proyecto de integración PM.
Antes de desplegar proyectos, debería haber completado una auditoría reciente de la infraestructura y los procedimientos de seguridad de su empresa. Una auditoría de seguridad es una evaluación estructurada y validada de la seguridad del sistema de información de su empresa. La auditoría de seguridad mide cómo la seguridad de su empresa se ajusta a un conjunto de criterios establecidos y estándar de la industria, que incluyen políticas, procedimientos y requisitos.
Nota
Información de cumplimiento y auditoría de seguridad:
- Definiciones de auditoría ISO 19011 traducidas al inglés sencillo
- Guía de seguridad cibernética de HHS.gov
- SOC para ciberseguridad de AICPA.org
Esta no es una lista completa. Es posible que haya otros recursos disponibles a través del especialista en seguridad y cumplimiento de su organización.
Si opera bajo algún requisito regulatorio, como la FAA o la FDA de EE. UU., asegúrese de que su configuración de seguridad cumpla con estos requisitos.
normativa de Seguridad y Protección de Datos¶
Existen importantes regulaciones gubernamentales a las que puede estar sujeto, dependiendo de dónde opere su negocio o dónde vivan y trabajen sus clientes. Estas regulaciones tratan sobre la privacidad de los datos de los cuales usted, junto con Jitterbit, son responsables.
Nota
Las siguientes regulaciones requieren que Jitterbit, sus socios tecnológicos y usted implementen y mantengan salvaguardias administrativas, físicas y técnicas razonables o apropiadas. Estas leyes y regulaciones otorgan derechos de privacidad específicos que usted debe cumplir. Además, cada uno tiene plazos y requisitos de presentación de informes específicos.
Estados Unidos de América Regulaciones Estatales y Federales:¶
- HIPAA (Ley de Responsabilidad y Portabilidad del Seguro Médico) y HITECH (Ley de Tecnología de Seguros Médicos para la Salud Clínica) establece requisitos para el uso, divulgación y salvaguardia de la PHI (Información de salud privada). Estas leyes se aplican a entidades cubiertas, como proveedores de salud, así como a servicios en la nube y proveedores de TI.
- CCPA (Ley de Privacidad del Consumidor de California) mejora los derechos del consumidor y la protección de la privacidad de los residentes de California. Se trata de cualquier empresa que recopile datos personales de consumidores que realicen negocios en California.
Normativa de la Unión Europea y de la Zona Europea de Actividad Económica:¶
- GDPR (Reglamento General de Protección de Datos) otorga control a individuos en la UE (Unión Europea) y el EEE (Espacio Económico Europeo). Requiere que las empresas se aseguren de que sus procesos que manejan datos personales se diseñen e implementen con salvaguardias para proteger los datos. Estas empresas también deben divulgar sus políticas de recopilación, uso y retención de datos.
Agentes en Nube y Agentes Privados¶
Cuando ejecutas una integración, Jitterbit conecta tus datos a través de los agentes que configuraste. Los agentes pueden ser Agentes en Nube o Agentes Privados y los agentes existen en grupos. Los Grupos son conjuntos de Agentes en un mismo Ambiente, que proporcionan alta disponibilidad. Esto significa que si un grupo se cae y no está disponible, otro puede ocupar su lugar y continuar con tu trabajo. Grupo de Agentes en Nube es un conjunto de agentes mantenidos y administrados por Jitterbit en la nube. Usted mantiene y administra los Grupos de Agentes Privados, utilizando sus propios servidores o instancias dentro de su firewall o alojados virtualmente en nubes privadas. Al ejecutar Agentes Privados, sus datos comerciales confidenciales permanecerán dentro de sus redes administradas.
Nota
¿Qué tipo de Agente utilizar?
- Utilice los Grupos de Agentes en Nube cuando desee ejecutar su integración en la nube y necesite la escalabilidad que ofrecen los Grupos de Agentes en Nube.
- Utilice Grupos de Agentes Privados cuando desee (o deba) ejecutar integraciones en sus instalaciones.
Grupos de Agentes en Nube¶
Jitterbit mantiene y administra los Agentes en Nube. Los Agentes en Nube son multiinquilino y están bloqueados. Los datos que fluyen son transitorios y solo permanecen en el agente hasta completar el procesamiento. No puede controlar ni configurar el Grupo de Agentes en Nube ni sus agentes como puede hacerlo con sus Grupos de Agentes Privados.
Cuando el Grupo de Agentes en Nube realiza una integración, se conecta directamente con la aplicación que requiere la integración de datos. Luego lee y publica datos en estas aplicaciones. Si utiliza almacenamiento persistente como parte de su proyecto, permanecerá en el agente durante 24 horas. Los datos que persisten en el Grupo de Agentes en Nube se almacenan en depósitos cifrados de Amazon S3 a los que el usuario no puede acceder directamente. Cada integración almacena datos en el depósito de su ambiente. Para obtener información detallada sobre la seguridad de la red de Amazon S3 y las mejores prácticas, consulte Seguridad de Amazon S3.
Si tiene un requisito normativo que restringe la residencia de datos en la nube o fuera de los límites geográficos, utilice un Grupo de Agentes Privados en su lugar.
Grupos de Agentes Privados¶
Debido a que usted administra y controla los Agentes Privados, controla su seguridad. Cuando utiliza Agentes Privados, los datos no salen de sus servidores. Si utiliza una nube privada, usted elige dónde opera su ambiente de tiempo de ejecución de integración y controla en qué red viajan y residen sus datos comerciales.
Los Agentes Privados se autentican y se comunican con Harmony a través de HTTPS. Los Agentes Privados implementados detrás de firewalls corporativos se pueden configurar para comunicarse a través de un servidor proxy corporativo. No existen requisitos de red adicionales, como abrir puertos dentro de los firewalls corporativos. La seguridad es su responsabilidad cuando utiliza Agentes Privados.
Jitterbit brinda consejos y recomendaciones de mejores prácticas para alojar código de Agente Privado en Requisitos del sistema para Agentes Privados.
Nota
Si utiliza grupos de agentes privados, revise la información en Regulaciones de seguridad y protección de datos.
Extremos Seguros con Agentes Privados¶
Hay muchos métodos que puede utilizar para proteger los extremos, incluidos:
- Utilice una VPN (red privada virtual) junto con cifrado.
- Las listas de redes permitidas pueden controlar a quién se le permite acceder a su red. Para utilizar la lista de permitidos con Agentes Privados, consulte Información de la lista de permitidos.
- Asegúrese de que todos los controladores y complementos que utilice estén actualizados y probados.
Organizaciones y Ambientes¶
Diferentes usuarios y grupos necesitarán diferentes niveles de acceso para acceder a sus Organizaciones y Ambientes. Un usuario no necesita el mismo nivel de acceso que un desarrollador o un administrador. Por ejemplo, un desarrollador de su organización puede necesitar permisos de ejecución y escritura en API Manager para crear y editar perfiles de seguridad, crear y editar APIs y acceder a determinadas funciones en Management Console. El usuario cotidiano no requiere estos permisos elevados. Piense en los usuarios y grupos y en lo que hacen. Limite el acceso para que los usuarios solo puedan usar lo que necesitan para realizar sus tareas.
Nota
Para obtener información sobre los diferentes roles de acceso, como Usuario, Administrador y Desarrollador, y cómo definirlos, consulte Administrar el acceso de roles a los ambientes en los Ambientes página.
Aplicar parches de hardware y software. Para los Grupos de Agentes en Nube, Jitterbit es responsable de los cambios de código. Si utiliza Grupos de Agentes Privados, supervise las actualizaciones y parches de su sistema operativo y software de aplicaciones, controladores y complementos, y aplíquelos cuando corresponda.
Proporcionar autenticación segura mediante OAuth y la autenticación multifactor, como 2FA (autenticación de dos factores), es fundamental. OAuth se analiza en Perfiles de seguridad en el API Manager. 2FA se analiza en Controles de contraseña de Jitterbit.
Mantenga las cuentas de desarrollo y prueba separadas de la producción. Esto incluye identificaciones y contraseñas independientes. Elimine estos ID y contraseñas de desarrollo y prueba antes de migrar el código a producción. En su lugar, utilice variables de proyecto para almacenar información como identificaciones y contraseñas. Como práctica recomendada, mantenga ambientes de desarrollo, pruebas y producción separados. También debe asegurarse de que no se utilice información de identificación personal (PII) en las pruebas.
Nota
Si pertenece a una industria regulada, como la atención médica, o si está sujeto a regulaciones gubernamentales relativas a datos y movimiento de datos, revise esos requisitos como parte de su planificación de seguridad.
Seguridad API¶
Nota
Para obtener una discusión detallada sobre la API y la seguridad de Harmony, consulte Seguridad de API Manager.
Harmony API Manager admite 
autenticación con Google, Okta, y Salesforce como proveedores de identidad. NetSuite ahora aplica la autenticación basada en token (TBA) para administrador, acceso completo y otras funciones con privilegios elevados a partir de su versión 2018.2. Consulte Autenticación basada en token de NetSuite 2018.2 para obtener más información e instrucciones. Las claves API y los secretos API se pueden utilizar para autenticar usuarios con la API Harmony.
Certificados¶
Jitterbit puede autenticarse con recursos externos con cliente SSL certificados al conectarse a HTTP o SOAP extremos en Cloud Studio y con extremos HTTP o Servicios web en Design Studio. Se puede acceder a la configuración de los certificados de cliente en el Portal de Harmony en la página Management Console > Customizaciones > Certificados de cliente.
Agregar Certificados a un Almacén de Claves¶
Las aplicaciones Jitterbit que se instalan localmente incluyen un almacén de claves confiable que contiene los certificados necesarios para una comunicación segura a través de HTTPS. Por ejemplo, agregaría un nuevo certificado al almacén de claves Java de Jitterbit si usa un servidor proxy y necesita permitir que el cliente local de Jitterbit se comunique de forma segura a través del servidor proxy. Puede agregar nuevos certificados según sea necesario. También deberá reemplazar o renovar los certificados si se modifican. Puede encontrar información e instrucciones sobre cómo agregar certificados a un almacén de claves en estas páginas:
- Agregar certificados al almacén de claves para el Data Loader
- Agregar certificados al almacén de claves para Design Studio
- Agregar certificados al almacén de claves para Agentes Privados
Seguridad del Conector¶
Al migrar su proyecto a otro ambiente, desea evitar compartir información privada. Comience con estas características de seguridad del conector:
-
Variables del proyecto: Cuando se trabaja con conectores, variables del proyecto puede proporcionar seguridad adicional. Si está creando secuencias de comandos o transformaciones, utilice variables de proyecto para información privada como inicio de sesión o ID de usuario, contraseñas, claves de acceso y otra información que deba mantenerse segura. Consulte Usar variables de proyecto en Secuencias de Comandos o Transformaciones para información y trámites.
-
Configuración: Se requieren nombres de usuario y contraseñas no cifrados en tiempo de ejecución. Utilice almacenes de claves y extraiga esta información de una base de datos almacenada fuera del agente y no llamada hasta el tiempo de ejecución.
-
Bóvedas de terceros: Las bóvedas digitales seguras en línea están diseñadas para proteger la privacidad de sus datos. Al utilizar cifrado de datos, autenticación sólida de usuarios y almacenamiento redundante, estas bóvedas permiten el almacenamiento en la nube con seguridad de datos. Las características específicas, los precios y las instrucciones dependen del proveedor que elija.
-
Listas de IP permitidas: en la mayoría de las situaciones, no es necesario realizar ningún cambio especial en la red o el firewall cuando los Agentes Privados o Design Studio se comunican con Harmony. ¿Qué pasa si su red está detrás de un firewall? En ese caso, configure su red para comunicarse con Harmony y use una lista de permisos para permitir esta comunicación. Jitterbit proporciona direcciones IP incluidas en la lista permitida para cada región. Consulte Información de la lista de permitidos para más información.
Seguridad de Registro¶
Cuando piense en el registro y la seguridad, examine los requisitos de su negocio. Decida qué nivel de registro necesita y qué riesgos son aceptables para usted según sus requisitos de seguridad. Jitterbit genera registros para diferentes funciones como registros de operaciones, registros de eventos de Windows o Linux y registros de API. La mayoría de los clientes utilizan el registro en la nube en la nube de Jitterbit. Los datos de registro están cifrados por seguridad. Puede desactivar el registro en la nube si es necesario.
Nota
Si desactiva el registro en la nube, los registros de la aplicación no se escriben.
Agentes en Nube¶
Cuando un Grupo de Agentes en Nube ejecuta una operación de integración, crea un registro de actividad que se almacena en la nube. Puede ver los registros de Operaciones en tiempo de ejecución página de la Management Console. Estos registros y sus detalles se conservan durante 30 días. Jitterbit proporciona funciones de registro y error para ayudarle a crear y depurar secuencias de comandos. WriteToOpereationLog() se puede utilizar para escribir datos confidenciales en registros, pero recomendamos encarecidamente no hacerlo, ya que puede crear un problema de seguridad.
Jitterbit proporciona un Jitterpak con una API que puede utilizar para descargar sus registros. Este Jitterpak está disponible en el soporte de Jitterbit enviando un solicitud de soporte y solicitando el Jitterpak con la API de descarga de registros. Consulte Soporte Jitterbit para obtener detalles sobre cómo comunicarse con el soporte de Jitterbit. Comuníquese con el soporte de Jitterbit para obtener información sobre el programa de retención de datos de registro.
Nota
Aunque Jitterbit no proporciona soporte nativo para compartir registros de operación utilizando herramientas como ELK, Splunk o Loggly, muchas herramientas de monitoreo de registros tienen agentes que se pueden desplegar en la misma máquina que el Agente Privado. Luego, estos agentes recopilan datos según reglas definidas e incorporan datos a la herramienta de monitoreo de registros.
Agentes Privados¶
El uso de un Grupo de Agentes Privados mantiene toda su información dentro de su organización y en sus propios servidores. Deshabilite el registro en la nube para evitar enviar registros a Harmony. Al final de cada operación, puede utilizar un secuencia de comandos para enviar datos de registro localmente. Los registros de depuración, registros de transformación, registros de errores, registros de errores de llamadas de extremo y más están disponibles y se pueden configurar en el jitterbit.conf archivo. Consulte Edición del archivo de configuración - jitterbit.conf para configuraciones y valores.