Saltar al contenido

¡Transforma tus conexiones en dinero para el final del año con nuestro nuevo Programa de Indicación de Clientes! Descubre más

Prácticas recomendadas de seguridad para administradores, desarrolladores de proyectos y especialistas en integración que utilizan Jitterbit Harmony

Introducción

Este documento está dirigido a administradores, desarrolladores de proyectos y especialistas en integración que integran Jitterbit con otros productos, como Salesforce, NetSuite y otros extremos. Al trabajar con sus proyectos, priorice la seguridad.

Nota

Metodología del proyecto de integración contiene información útil para el administrador de proyectos de integración.

Antes de desplegar proyectos, debería haber realizado una auditoría reciente de la infraestructura y los procedimientos de seguridad de su empresa. Una auditoría de seguridad es una evaluación estructurada y validada de la seguridad de los sistemas de información de su empresa. Esta auditoría mide cómo la seguridad de su empresa se ajusta a un conjunto de criterios establecidos por la industria, que incluyen políticas, procedimientos y requisitos.

Nota

Información sobre auditoría de seguridad y cumplimiento:

Esta no es una lista completa. Puede que haya otros recursos disponibles a través del especialista en seguridad y cumplimiento de su organización.

Si opera bajo algún requisito regulatorio, como los de la FAA o la FDA de EE. UU., asegúrese de que su configuración de seguridad cumpla con estos requisitos.

Normativa de seguridad y protección de datos

Existen importantes regulaciones gubernamentales a las que podría estar sujeto, dependiendo de dónde opere su negocio o de dónde vivan y trabajen sus clientes. Estas regulaciones abordan la privacidad de datos, de la cual usted, junto con Jitterbit, es responsable.

Nota

Las siguientes regulaciones exigen que Jitterbit, sus socios tecnológicos y usted implementen y mantengan medidas de seguridad administrativas, físicas y técnicas razonables o adecuadas. Estas leyes y regulaciones le otorgan derechos de privacidad específicos que debe respetar. Además, cada una tiene plazos y requisitos específicos para la presentación de informes.

Regulaciones estatales y federales de los Estados Unidos de América:

Reglamento de la Unión Europea y de la Zona Europea de Actividad Económica:

  • RGPD (Reglamento General de Protección de Datos) otorga control a las personas en la UE (Unión Europea) y el EEE (Espacio Económico Europeo). Exige a las empresas garantizar que sus procesos de gestión de datos personales se diseñen e implementen con medidas de seguridad para protegerlos. Estas empresas también deben divulgar sus políticas de recopilación, uso y conservación de datos.

Agentes de la nube y agentes privados

Al ejecutar una integración, Jitterbit conecta sus datos a través de los agentes que configuró. Los agentes pueden ser agentes en la nube o agentes privados y los agentes existen en grupos. Los grupos son conjuntos de agentes en el mismo ambiente, lo que proporciona alta disponibilidad. Esto significa que si un grupo falla y no está disponible, otro puede reemplazarlo y continuar con su trabajo. El grupo de agentes en la nube es un conjunto de agentes mantenidos y administrados por Jitterbit en la nube. Los grupos de agentes privados son mantenidos y administrados por usted, utilizando sus propios servidores o instancias dentro de su firewall o alojados virtualmente en nubes privadas. Al ejecutar agentes privados, sus datos empresariales confidenciales permanecerán dentro de sus redes administradas.

Nota

¿Qué tipo de agente usar?

  • Usa grupos de agentes en la nube cuando quieras ejecutar tu integración en la nube y necesites la escalabilidad que ofrecen.
  • Usa grupos de agentes privados cuando quieras, o necesites, ejecutar integraciones en tus instalaciones.

Grupos de agentes de la nube

Jitterbit mantiene y gestiona los agentes de nube. Los agentes de nube de Jitterbit son multiusuario y están bloqueados. Los datos que fluyen son transitorios y solo permanecen en el agente para completar su procesamiento. No puede controlar ni configurar el grupo de agentes de nube de Jitterbit ni sus agentes como sí puede hacerlo con sus grupos de agentes privados.

Cuando el grupo de agentes de la nube Jitterbit realiza una integración, se conecta directamente con la aplicación que requiere la integración de datos. A continuación, lee y envía datos a estas aplicaciones. Si utiliza almacenamiento persistente en su proyecto, este permanecerá en el agente durante 24 horas. Los datos que persisten en el grupo de agentes de la nube Jitterbit se almacenan en buckets cifrados de Amazon S3, a los que no se puede acceder directamente. Cada integración almacena los datos en el bucket de su ambiente. Para obtener información detallada sobre la seguridad de la red de Amazon S3 y las prácticas recomendadas, consulte Seguridad de Amazon S3.

Si tiene un requisito regulatorio que restringe que los datos residan en la nube o fuera de los límites geográficos, utilice un grupo de agentes privados.

Grupos de agentes privados

Al gestionar y controlar los agentes privados, controlas su seguridad. Al usar agentes privados, los datos no salen de tus servidores. Si usas una nube privada, eliges dónde opera tu ambiente de tiempo de ejecución de integración y controlas en qué red se almacenan y se transfieren los datos de tu empresa.

Los agentes privados se autentican y se comunican con Harmony mediante HTTPS. Los agentes privados implementados tras firewalls corporativos pueden configurarse para comunicarse mediante un servidor proxy corporativo. No hay requisitos de red adicionales, como la apertura de puertos dentro de los firewalls corporativos. La seguridad es su responsabilidad al usar agentes privados.

Jitterbit ofrece asesoramiento y recomendaciones de mejores prácticas para alojar código de agente privado en Requisitos del sistema para agentes privados.

Nota

Si utiliza grupos de agentes privados, revise la información en Normativa de seguridad y protección de datos.

Extremos seguros con agentes privados

Hay muchos métodos que puede utilizar para proteger los extremos, incluidos:

  • Utilice una VPN (red privada virtual) junto con cifrado. Las listas de permitidos de red permiten controlar quién tiene acceso a su red. Para usar las listas de permitidos con agentes privados, consulte Información sobre listas de permitidos.
  • Asegúrate de que todos los controladores y complementos que uses estén actualizados y probados.

Organizaciones y ambientes

Cada usuario y grupo necesitará distintos niveles de acceso para acceder a sus Organizaciones y [Ambientes](/es/management-console/environments`Un usuario no necesita el mismo nivel de acceso que un desarrollador o un administrador. Por ejemplo, un desarrollador de su organización podría necesitar permisos de ejecución y escritura en API Manager para crear y editar perfiles de seguridad, crear y editar APIs y acceder a ciertas funciones de la Management Console. El usuario habitual no necesita estos permisos elevados. Considere a los usuarios y grupos y sus funciones. Limite el acceso para que los usuarios solo puedan usar lo necesario para realizar sus tareas.

Aplique parches de hardware y software. En el caso de los grupos de agentes en la nube, Jitterbit se encarga de los cambios de código. Si utiliza grupos de agentes privados, supervise las actualizaciones y los parches de su sistema operativo, software de aplicación, controladores y complementos, y aplíquelos cuando corresponda.

Proporcionar autenticación segura mediante OAuth y la autenticación multifactor, como la 2FA (autenticación de dos factores), es fundamental. OAuth se analiza en perfiles de seguridad en el API Manager. La 2FA se analiza en [Controles de contraseñas de Jitterbit](/es/getting-started/jitterbit-security/jitterbit-password-controls`Mantenga las cuentas de desarrollo y pruebas separadas de las de producción. Esto incluye identificadores y contraseñas independientes. Elimine estos identificadores y contraseñas de desarrollo y pruebas antes de migrar el código a producción. En su lugar, utilice variables del proyecto para almacenar información como identificadores y contraseñas. Como práctica recomendada, mantenga ambientes de desarrollo, pruebas y producción separados. También debe asegurarse de que la información de identificación personal (PII) no se utilice en las pruebas.

Nota

Si trabaja en un sector regulado, como el de la salud, o si está sujeto a regulaciones gubernamentales sobre datos y su transferencia, revise dichos requisitos como parte de su planificación de seguridad.

Seguridad de la API

Nota

Para obtener una discusión en profundidad sobre la seguridad de la API, consulte Seguridad de API Manager.

El API Manager de Jitterbit admite OAuth 2.0 autenticación con Google, Okta y Salesforce como proveedores de identidad. NetSuite implementó la autenticación basada en tokens (TBA) para administradores, acceso total y otros roles con privilegios elevados desde la versión 2018.2. Las claves y secretos de API API pueden usar para autenticar usuarios con la API de API Manager.

Certificados

Jitterbit puede autenticarse con recursos externos mediante cliente SSL certificados al conectarse a HTTP o SOAP extremos en Integration Studio y con extremos HTTP o servicios web en Design Studio. Se puede acceder a la configuración de los certificados de cliente en el portal de Harmony en la página Management Console > Personalizaciones > Certificados de cliente.

Agregar certificados a un almacén de claves

Las aplicaciones Jitterbit instaladas localmente incluyen un almacén de claves de confianza que contiene los certificados necesarios para la comunicación segura mediante HTTPS. Por ejemplo, si utiliza un servidor proxy y necesita permitir que el cliente local de Jitterbit se comunique de forma segura a través de él, añadiría un nuevo certificado al almacén de claves de Java de Jitterbit. Puede añadir nuevos certificados según sea necesario. También deberá reemplazar o renovar los certificados si se modifican. Encontrará información e instrucciones sobre cómo añadir certificados a un almacén de claves en estas páginas:

Seguridad del conector

Al migrar su proyecto a otro ambiente, conviene evitar compartir información privada. Comience con estas funciones de seguridad del conector:

  • Variables del proyecto: Al trabajar con conectores, variables del proyecto puede proporcionar seguridad adicional. Si crea secuencias de comandos o transformaciones, utilice variables de proyecto para información privada, como identificadores de inicio de sesión o de usuario, contraseñas, claves de acceso y otra información que deba mantenerse segura. Consulte Uso de variables de proyecto en secuencias de comandos o transformaciones para obtener información y procedimientos.

  • Configuración: Se requieren nombres de usuario y contraseñas sin cifrar durante la tiempo de ejecución. Utilice almacenes de claves y extraiga esta información de una base de datos almacenada fuera del agente y que no se llama hasta la tiempo de ejecución.

  • Bóvedas de terceros: Las bóvedas digitales seguras en línea están diseñadas para proteger la privacidad de sus datos. Mediante cifrado de datos, autenticación robusta de usuarios y almacenamiento redundante, estas bóvedas permiten el almacenamiento en la nube con seguridad de datos. Las características, precios e instrucciones específicos dependen del proveedor que elija.

  • Listas de direcciones IP permitidas: En la mayoría de los casos, no es necesario realizar cambios especiales en la red ni en el firewall cuando los agentes privados o Design Studio se comunican con Harmony. ¿Qué ocurre si su red está protegida por un firewall? En ese caso, configure su red para que se comunique con Harmony y utilice una lista de direcciones IP lista de permisos para permitir esta comunicación. Jitterbit proporciona direcciones IP permitidas para cada región. Consulte Información sobre la lista de direcciones IP permitidas para más información.

Seguridad del registro

Al considerar el registro y la seguridad, examine las necesidades de su negocio. Determine el nivel de registro necesario y los riesgos aceptables según sus requisitos de seguridad. Jitterbit genera registros para diferentes funciones, como los registros de operaciones, Registros de eventos de Windows o Linux y registros de API la mayoría de los clientes utilizan el registro en la nube de Jitterbit. Los datos de registro están cifrados por seguridad. Puede desactivar el registro en la nube si lo desea.

Nota

Si desactivas el registro en la nube, no se crearán registros de la aplicación.

Agentes de la nube

Cuando un grupo de agentes de la nube ejecuta una operación de integración, crea un registro de actividad que se almacena en la nube. Los registros se pueden consultar desde Operaciones en tiempo de ejecución página de la [Management Console](/es/management-consoleEstos registros y sus detalles se conservan durante 30 días. Jitterbit proporciona [funciones de registro y error](/es/integration-studio/design/functions/logging-and-error-functions) para ayudarle a crear y depurar scripts.WriteToOperationLog()` se puede usar para escribir datos confidenciales en los registros, pero lo desaconsejamos encarecidamente, ya que puede generar un problema de seguridad.

Nota

Aunque Jitterbit no ofrece compatibilidad nativa para compartir registros de operación con herramientas como ELK, Splunk o Loggly, muchas herramientas de monitoreo de registros cuentan con agentes que pueden desplegarse en la misma máquina que el agente privado. Estos agentes recopilan datos según reglas definidas y los transfieren a la herramienta de monitoreo de registros.

Agentes privados

El uso de un grupo de agentes privados mantiene toda su información dentro de su organización y en sus propios servidores. Desactive el registro en la nube para evitar enviar registros a Harmony. Al final de cada operación, puede usar un secuencia de comandos para enviar los datos de registro localmente. Los registros de depuración, transformación, errores, errores de llamadas de extremo, etc., están disponibles y se pueden configurar en el... jitterbit.confarchivo. Consulte Edición del archivo de configuración - jitterbit.conf para configuraciones y valores.