Seguridad: Visión 360º
Desde febrero de 2011, METAPOSTA viene ofreciendo un servicio gratuito al ciudadano de buzón y caja fuerte con unas características singulares en cuanto a accesibilidad, seguridad en la transmisión de datos y protección de la información almacenada por los usuarios.
Seguridad en la transmisión de datos
- En METAPOSTA todo mensaje o documento tiene un origen cierto: todo se emite desde una fuente autorizada y tendrá necesariamente un remitente emisor conocido, dado que no es posible la distribución de mensajes o documentos anónimos, evitando el phishing o la manipulación fraudulenta de las comunicaciones.
- Los documentos se envían desde los emisores por canales encriptados (EDITran, SFTP, HTTPS).
- Las comunicaciones usuario-emisor se realizan a través de servicios web securizados. El protocolo mínimo exigido para las comunicaciones con terceros es TLS 1.2.
Seguridad de identidades
- Los usuarios en METAPOSTA deben darse de alta de manera fehaciente, mediante varios mecanismos que garanticen su identificación: certificado de autenticación y firma electrónica reconocida, servicios web seguros de banca online y alta presencial en centros concertados KZgunea.
- Los canales de acceso de los usuarios a los servicios de METAPOSTA se apoya sobre protocolos estándar seguros (HTTPS y TLS 1.2 en servidor) y en medidas de seguridad y control adicionales en las aplicaciones cliente.
- Las comunicaciones establecidas en nuestros servicios con emisores y usuarios se rigen con respeto al marco legal europeo actual -eIDAS-, respetando las directrices referentes a firmas electrónicas, sellos electrónicos, sellos de tiempo, certificados cualificados para la autenticación web, estándares de preservación para documentos electrónicos y servicios de entrega certificada.
- La autenticación de usuario respeta los 3 niveles de seguridad establecidos en el reglamento eIDAS: bajo (usuario/clave), sustancial basado en sistemas de doble factor (token seguridad con PIN-SMS y certificado BAKQ de IZENPE), y alto (el nivel más alto de identificación basado en certificados cualificados y reconocidos).
- La validación de identidades y firmas reconocidas son realizadas online por un proveedor de servicios de certificación cualificado, IZENPE, que garantiza las validaciones, firmas y sellos de tiempo conforme al marco regulatorio europeo.
- La autenticación del usuario mediante uso de Usuario/Clave es protegida de accesos incontrolados o ataques de fuerza bruta mediante Captcha y bloqueo temporal de cuenta. El usuario dispone de medios propios para la regeneración de su contraseña, pero siempre en base a 1 o 2 datos (email/móvil) previamente aportados con seguridad en el proceso de alta.
- Las aplicaciones internas de administración y mantenimiento son accesibles solo mediante usuarios restringidos con niveles diferenciados de permisos y siempre usando certificado cualificado o BAKQ.
- Los entornos de desarrollo están separados en CPD distinto a producción, pero manteniendo idénticas medidas de restricción y seguridad.
Seguridad en el almacenamiento y backup
CPD ubicado en el búnker del Gobierno Vasco y en la Sede de EJIE en modo extendido activo-activo.
- Se dispone de equipos de detección y prevención de intrusiones (IDS/IPS) que permanentemente monitorizan las redes con el objetivo de detectar y evitar accesos no legítimos a los sistemas o amenazas de DDoS.
- VLAN distribuida para segmentar la red en 4 niveles y aumentar la seguridad de acceso mediante diferentes firewalls y puertos: servicio, almacenamiento, gestión y backup.
- Periódicamente se realizan auditorías internas de seguridad de caja blanca y caja negra con el objeto de detectar y corregir las posibles vías de ataques a los sistemas.
- EJIE dispone de un Centro de Proceso de Datos replicado, lo que permite proporcionar un servicio de alta disponibilidad general. Además, existe alta disponibilidad en los servicios generales como potencia eléctrica (sistema de alimentación ininterrumpida y doble grupo electrógeno) y accesos a Internet.
- EJIE dispone de un Plan de Contingencia que permite gestionar las situaciones de degradación o potencial pérdida de servicio. Igualmente dispone de servicios dedicados a gestionar la disponibilidad y la capacidad de los sistemas.
Los datos se gestionan con la máxima confidencialidad: las copias de seguridad se realizan a través de redes específicas, dedicadas a tal efecto y de acceso restringido. Las copias de seguridad se realizan en ambos CPD’s, en ubicaciones físicas diferentes, vía red, sin que los soportes se trasladen fuera del CPD. Los soportes de las salvaguardias de seguridad se guardan en ubicaciones específicas con control de acceso exclusivo al personal autorizado. Se hace una prueba de recuperación del sistema cada 2 años.
Certificaciones ISO
EJIE dispone de un Sistema de Gestión de Seguridad de la Información certificado por BSI (Bristish Standards Institution).
- EJIE proporciona sus servicios utilizando ITIL (Information Technology Infrastructure Library), conjunto de procedimientos de gestión cuyo objeto es ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI, lo que proporciona una óptima gestión de los servicios proporcionados.
- Gestión del servicio 24×7 /365d, a nivel Operaciones y Servicio Técnico.
- Disponibilidad anual del servicio garantizada: 99.97%.
- Certificaciones: https://www.ejie.euskadi.eus/transparency-portal/-/transparency-general-interest/
- Arriba
Servicios de atención directa al usuario
- METAPOSTA garantiza que la utilización del conjunto de las funcionalidades del sistema pueda efectuarse en el idioma seleccionado: castellano, euskera, inglés, catalán, gallego, francés y alemán.
- El servicio de Centro de Atención al Usuario (CAU) proporciona una relación directa con el usuario o con el emisor para resolverle de forma eficaz las dudas o problemas.
- Amplia experiencia, tratamiento personal y con capacidad para resolver los principales problemas y dudas de los usuarios (por ejemplo, recuperación de claves).
- CAU de segundo nivel coordinado y especializado: METAPOSTA-EJIE-IZENPE. Los emisores pueden resolver cualquier problema de forma especializada y con atención inmediata.
Protección de datos personales
- Todo el tratamiento se realiza conforme a las medidas que recomienda la ley orgánica de protección de datos y garantía de derechos digitales LOPDGDD, así como la normativa general europea RGPD. La supervisión en el cumplimiento y la gestión en las políticas de protección de datos son desarrolladas por el DPO: dpo@metaposta.com
- METAPOSTA ha adoptado todas las medidas de índole jurídica, técnica y organizativa necesarias que garanticen la seguridad de los datos. Se actúa bajo el principio de privacidad en el diseño, minimizando los datos personales necesarios para la operativa de las aplicaciones. El único dato indispensable para generar una cuenta de usuario es su Identificador personal (NIF) proporcionado de forma fehaciente.
- De forma anual se realiza una Auditoría externa sobre protección de datos con el fin de asegurar y mejorar cualquier aspecto técnico u organizativo.
- Los documentos almacenados en METAPOSTA son tratados con el nivel máximo de seguridad, manteniendo trazabilidad y registro de acceso a los mismos.
- Se mantiene un control periódico de Copias de Seguridad y recuperación de datos en coordinación con EJIE como encargado del tratamiento.
- Todos los emisores disponen de un Contrato de servicio y un Contrato específico de tratamiento de datos donde se determinan las condiciones y responsabilidades del responsable de tratamiento (cliente) y del Encargado de tratamiento (METAPOSTA).
- Los datos personales de los usuarios son almacenados para propósitos básicos de funcionamiento, no se ceden a terceros y el usuario puede hacer ejercicio de sus derechos de acceso, rectificación, cancelación y oposición mediante solicitud a: lopd@metaposta.com
Auditoría seguridad externa
- Al menos con periodicidad anual, se realiza una auditoria completa de los servicios y aplicaciones de METAPOSTA en los entornos de Producción y Desarrollo.
- Todos los puntos de mejora pasan un exhaustivo análisis de impacto y test en entorno de pruebas antes de autorizar su paso a producción.