# Seguridad y privacidad

Este capítulo proporciona una visión general de las preguntas frecuentes sobre seguridad de la información, privacidad y garantía de calidad.

## Procesamiento de datos y permisos <a href="#data-processing-and-permissions" id="data-processing-and-permissions"></a>

### 1. ¿Desde qué centro de datos opera RealmJoin?

* Región de Azure West Europe (principal)&#x20;
* Región de Azure North Europe (respaldo)

### 2. ¿Qué datos procesa RealmJoin?

* Estado del equipo
* Datos de usuario/dispositivo/grupo de Entra ID (esto contiene datos de UPN / dirección de correo electrónico, nombre, apellido, foto de perfil)
* Datos de Intune
* Datos de ATP
* Archivos de registro

### 3. ¿Qué datos se almacenan de forma persistente por/en nombre de RealmJoin y cómo?

* Estado del equipo
* Referencias de usuario/dispositivo de Entra ID (esto contiene datos de UPN / dirección de correo electrónico)
* Información para la gestión de aplicaciones
* Archivos de registro

&#x20;Los datos se almacenan en una combinación de almacenamiento de blobs y bases de datos.

### 4. ¿Existe un mecanismo de archivado para los registros?

El estado del equipo se archiva durante 90 días; después, las políticas de retención eliminan los datos.

### 5. ¿Qué permisos del tenant deben aceptar los usuarios que acceden al portal web de RealmJoin?

Consulte [Permisos requeridos](https://docs.realmjoin.com/es/implementacion-de-realmjoin/required-permissions).

### 6. ¿Qué datos se ponen a disposición al conceder el/los consentimiento(s) de la pregunta 5?

Consulte [Permisos requeridos](https://docs.realmjoin.com/es/implementacion-de-realmjoin/required-permissions).

### 7. ¿Qué puntos de conexión accesibles externamente expone RealmJoin?

1. RealmJoin Portal
   * Un portal web que facilita la administración del servicio.
2. RealmJoin Client-API
   * API para las aplicaciones cliente (uso interno).
3. RealmJoin Customer-API
   * API para clientes.
4. RealmJoin Internal-API
   * API para operaciones relacionadas del backend (uso interno).
5. RealmJoin CDN
   * Datos binarios con soporte de BranchCache.
6. RealmJoin Package Server
   * Registro de paquetes nuget personalizado.

### 8. ¿Cómo están protegidos los puntos de conexión de la pregunta 7?

1. RealmJoin Portal
   * Protegidos mediante autenticación OAuth 2.0 con Microsoft Entra ID (Azure AD).
2. RealmJoin Client-API
   * Protegidos mediante autenticación OAuth 2.0 con Microsoft Entra ID (Azure AD).
   * Autenticación personalizada mediante Entra-Device-Certificate.
3. RealmJoin Customer-API
   * Clave compartida previamente por cliente.
4. RealmJoin Internal-API
   * Clave compartida previamente por cliente.
5. RealmJoin CDN
   * Sin autenticación por definición; puede protegerse mediante archivos cifrados.
6. RealmJoin Package Server
   * Clave compartida previamente por cliente.

### 9. ¿Qué puertos y protocolos usan los puntos de conexión de la pregunta 7?

1. Todos los puntos de conexión usan TLS de forma predeterminada.
   * HTTPS (TCP / 443).
2. RealmJoin CDN
   * Permite HTTP (TCP / 80) con fines de solución de problemas.
   * Las URL configuradas usan exclusivamente HTTPS (TCP / 443).

## Identidad

### 1. ¿Qué esquemas de autorización se utilizan para obtener acceso a RealmJoin?

El acceso administrativo se realiza mediante autenticación OAuth 2.0 con Microsoft Entra ID (Azure AD) para los usuarios registrados en la plataforma.

### 2. ¿Existen controles de acceso condicional / basados en roles para proteger RealmJoin?

Sí. El portal de administración de RealmJoin proporciona funciones para asignar [roles](https://docs.realmjoin.com/es/configuracion-de-realmjoin/permission) a cada usuario.&#x20;

Roles predeterminados disponibles:

* Admin
* Auditor
* Supporter
* Runbook Runner
* Software Agent
* Solicitante de software
* Organic Software Requester
* Notification Agent

Además, RealmJoin permite crear Roles personalizados.

### 3. ¿Se pueden recuperar las credenciales de acceso? En caso afirmativo, ¿cómo?

RealmJoin usa SSO y está sujeto a las directivas de Microsoft Entra ID (Azure AD) en el tenant del cliente.

## Protección de datos

### 1. ¿Cómo se protege *los datos en reposo* contra el acceso no autorizado?

* Acceso administrativo restringido según las mejores prácticas.
* Uso de MFA con Passkey.
* Las bases de datos están restringidas a IPs de VPN para el acceso externo.

### 2. ¿Cómo se protegen *los datos en tránsito* contra el acceso no autorizado?

La comunicación entre el servicio de RealmJoin (backend) y el agente de RealmJoin (cliente) está protegida con Transport Layer Security (TLS) 1.2 o superior.

Además, parte del contenido (por ejemplo, paquetes de software) está firmado por el servicio de RealmJoin, de modo que el agente de RealmJoin puede garantizar que los datos no fueron alterados durante el transporte.

### 3. ¿Cómo se separan entre sí los tenants de los clientes?

Dependiendo de las restricciones del servicio y de las consideraciones de rendimiento, ya sea mediante grupos/contenedores separados o mediante particionamiento de tablas.

Las rutas de código utilizan contexto de cliente basado en el entorno para la separación.

## Seguridad desde el diseño

### Estamos comprometidos con altos estándares de seguridad

* Nuestro equipo de desarrollo y operaciones cuenta con certificación ISO 27001.
* Trabajamos con las últimas herramientas de desarrollo en la nube (por ejemplo, GitHub) y el código se almacena en repositorios seguros.
* Estamos comprometidos con metodologías de desarrollo, construcción y operaciones de última generación (por ejemplo, CI/CD).
* Los miembros de nuestro equipo utilizan identidades de Entra ID y están obligados a usar autenticación multifactor.
* Los puntos de conexión, las identidades y los servicios están protegidos por las últimas tecnologías (por ejemplo, Microsoft Sentinel y la suite M365 Defender, incluido EDR) y supervisados por un Centro de Operaciones de Seguridad.
* Todos los sistemas se actualizan continuamente.

### 1. ¿Qué tecnologías, stacks y plataformas se utilizaron para diseñar RealmJoin?

* `Azure`

## Disponibilidad

### 1. ¿Cómo garantizan la disponibilidad de RealmJoin?

Para mantener una alta disponibilidad de RealmJoin, se implementan varias estrategias clave, cada una diseñada para proporcionar un acceso robusto e ininterrumpido al servicio. Estas medidas incluyen:

* **Infraestructura redundante**: Despliegue en varios centros de datos para garantizar un servicio continuo en caso de fallo en una ubicación. RealmJoin aprovecha Azure IaaS en varios centros de datos de Azure.
* **Procesos automatizados de conmutación por error**: Existen sistemas para redirigir automáticamente el tráfico a servidores operativos durante una interrupción, minimizando el tiempo de inactividad.
* **Arquitectura escalable**: La capacidad de escalar rápidamente los recursos hacia arriba o hacia abajo en función de la demanda ayuda a mantener el rendimiento durante los picos de uso.
* **Actualizaciones y parches periódicos**: Se aplican tareas de mantenimiento y actualizaciones rutinarias para corregir vulnerabilidades y mejorar el rendimiento, garantizando que la plataforma siga siendo segura y eficiente.
* **Supervisión y alertas**: Supervisión continua del estado del sistema y alertas automáticas ante cualquier problema que pueda afectar la disponibilidad del servicio.
* **Planes de recuperación**: Hemos implementado varias capas de medidas de recuperación: podemos recuperar el estado principal del sistema dentro de las últimas semanas porque nuestras bases de datos cuentan con recuperación puntual en el tiempo. Además, en el improbable caso de un fallo completo del sistema, los servicios principales de RealmJoin pueden recuperarse mediante un enfoque IaC (Terraform), lo que reduce significativamente el tiempo de recuperación.

## RGPD y residencia de los datos

### 1. ¿Los datos salen de Europa?

No.

### 2. ¿De qué proveedores de nube de terceros depende RealmJoin y por qué?

<table><thead><tr><th>Empresa</th><th>Servicios</th><th width="221.671875">Contacto</th><th>Propósito</th></tr></thead><tbody><tr><td>Microsoft Corporation</td><td>Servicios en la nube (Azure)</td><td>Building 3, Carmanhall Road Sandyford,<br>Industrial Estate 18, Dublín,<br>Irlanda</td><td>Servicios en la nube (Azure)</td></tr><tr><td>GitHub B.V.</td><td>repositorio de código git, integración, pruebas y automatización de lanzamientos</td><td>Prins Bernhardplein 200, Ámsterdam, 1097JB<br>Países Bajos</td><td>Repositorio de código, canalización CI/CD.</td></tr><tr><td>GitLab, Inc.</td><td>repositorio de código git, integración, pruebas y automatización de lanzamientos</td><td>268 Bush Street #350, San Francisco, CA 94104-3503, <br>Estados Unidos</td><td>Canalización de empaquetado</td></tr></tbody></table>

## Misceláneo

### 1. ¿RealmJoin forma parte de un programa de bug bounty?

No.

### 2. ¿Qué medidas de QA están implementadas?

* Ejecutamos binarios firmados.
* Nuestros paquetes de aplicaciones se construyen de manera coherente, aprovechando repositorios de código y una metodología CI/CD de última generación para garantizar la máxima integridad.
* Los paquetes de aplicaciones se firman durante el proceso de compilación y se verifican por el agente RJ antes de la instalación en el cliente.

### 3. ¿Realizan pruebas de penetración periódicamente?

No.

Como parte de nuestras prácticas de desarrollo seguro, utilizamos herramientas (por ejemplo, análisis estático de código) que escanean la base de código en busca de CVE y otros exploits comunes (incluidas dependencias como bibliotecas de terceros) que podrían afectar la seguridad de los puntos de conexión que expone RealmJoin. Antes de cada versión, cualquier hallazgo relevante se evalúa y se corrige, para garantizar que RealmJoin siga libre de vulnerabilidades conocidas. Nosotros no realizamos pruebas de penetración por nuestra cuenta, ni utilizamos herramientas de terceros de "Penetration Test-as-a-Service". En el primer caso, vemos un conflicto de intereses inherente. En el segundo, dado que los servicios típicos de pruebas de penetración a menudo simplemente comprueban los puntos de conexión expuestos frente a CVE y otros exploits conocidos, no vemos ningún valor añadido en las comprobaciones que ya realizamos mediante análisis estático de código. Si desea realizar sus propias pruebas de penetración, por favor [póngase en contacto con nosotros](https://www.realmjoin.com/help/) y cuéntenos sus requisitos.

### 4. ¿Existe un proceso de aplicación de parches?

Sí, se aplican tareas de mantenimiento y actualizaciones rutinarias para corregir vulnerabilidades y mejorar el rendimiento, garantizando que la plataforma siga siendo segura y eficiente.

### 5. ¿Cuáles son los SLA para los parches?

* Parches para CVE / vulnerabilidades de seguridad: una vez que la vulnerabilidad se hace de conocimiento público o tan pronto como identifiquemos una vulnerabilidad dentro de nuestro propio código, se proporcionará un hotfix a más tardar 24 horas después de haber tenido conocimiento de la vulnerabilidad.
* Otros parches: no hay SLA.

### 6. ¿Realiza RealmJoin copias de seguridad?

RealmJoin utiliza tecnología de restauración puntual en todos los datos críticos. GitLab (que aloja la canalización PACKaaS y el repositorio) se respalda regularmente.&#x20;

### 7. ¿Existen pruebas de restauración de copias de seguridad?

No. Consulte [Disponibilidad](#id-1.-how-do-you-ensure-the-availability-of-realmjoin) para más detalles.

### 8. ¿Qué hace que los paquetes de RealmJoin sean más seguros que las soluciones de la comunidad?

A diferencia de las soluciones de la comunidad, mantenemos el control total sobre cualquier paquete y cualquier binario en todo momento. Varias comprobaciones implementadas garantizan que no se ejecute ningún dato dañado en los dispositivos.&#x20;

* **Sin repositorios públicos**: Alojamientos nuestras instancias de GitLab, nuget y cdn. Aunque actualmente el agente de RealmJoin utiliza una versión modificada del motor Chocolatey, la fuente de paquetes está restringida a los servidores de paquetes de glueckkanja AG.&#x20;
* **Repositorios separados**: Los paquetes específicos de cada cliente se encuentran en una sección específica de nuestros servidores y no pueden ser accedidos por otros clientes.&#x20;
* **Versionado completo**: Todas las herramientas, así como el repositorio de paquetes de RealmJoin, proporcionan información de commit y auditoría. Siempre es transparente quién cambió qué en cualquier paquete en cualquier momento.&#x20;
* **Evitar datos específicos**: Separar el código del paquete y los binarios nos permite, en general, eliminar información sensible de los binarios, de modo que incluso los binarios interceptados no puedan usarse de forma maliciosa.&#x20;
* **Cifrado y hashes**: Los scripts del paquete se almacenan en un servidor cifrado, con acceso altamente restringido. El agente de RealmJoin descarga los scripts a través de una conexión cifrada. Para mayor seguridad, todos los binarios se verifican frente a un hash codificado previamente antes de realizar cualquier acción.
* **Pentest**: En los últimos años, el agente de RealmJoin ha formado parte de varias pruebas de penetración exitosas de clientes.
* **Pruebas**: Todos los paquetes de RealmJoin se instalan varias veces durante la QA de PACKaaS en dispositivos Windows que ejecutan Defender. Los análisis de malware forman parte de los procesos automatizados de compilación e implementación. Los paquetes mantenidos utilizan fuentes oficiales del proveedor.&#x20;