Skip to main content

Políticas de seguridad

Seguridad de las funciones y a nivel de aplicación

Debe considerar la seguridad de la aplicación al principio, como durante la fase de Preparación del proyecto, antes de comenzar a construir y configurar la aplicación. Para proteger la aplicación contra hackers y evitar el uso y acceso no autorizado, debe gestionar dos tipos de seguridad: la seguridad de las funciones y a nivel de aplicación.

Seguridad a nivel de aplicación

La seguridad a nivel de aplicación se centra en proteger la aplicación contra terceros y usuarios no autorizados. Por ejemplo, con la seguridad a nivel de aplicación, puede:

  • Reducir el riesgo de que usuarios no autorizados obtengan o roben datos de su aplicación.
  • Identificar a usuarios autorizados que necesitan acceso a la aplicación.
  • Crear políticas de autenticación y contraseñas.

La seguridad a nivel de aplicación considera todas las maneras en las que puede proteger la aplicación, como usando herramientas de seguridad de terceros o configurando una autenticación de múltiples factores. El objetivo de la seguridad a nivel de aplicación es hacer que sea imposible que usuarios no autorizados ingresen, lean o accedan a su aplicación.

Seguridad de las funciones

La seguridad de las funciones se centra en la aplicación, determinando los tipos de caso, las funciones y los datos a los que los usuarios autorizados pueden o no acceder. Por ejemplo, con la seguridad de las funciones, puede realizar lo siguiente:

  • Configurar roles de seguridad para las Personas identificadas en cada tipo de caso, de manera que los usuarios autorizados puedan acceder a las funciones de aplicación que necesitan.
  • Evitar que los usuarios visualicen funciones o accedan a datos a los que no deberían acceder.
  • Diseñar un control de acceso basado en roles (RBAC), control de acceso basado en atributos (ABAC) y un control de acceso basado en los clientes (CBAC).
Nota: Para revisar la configuración de usuarios y Personas, consulte Inviting users to an application (Cómo invitar a los usuarios a una aplicación). 

Por ejemplo, en una aplicación de nómina, el propietario del negocio quiere que cada gerente pueda ver el historial de pago de sus empleados directos, pero que no puedan ver el historial de pago de sus pares u otros miembros del personal. Además, ningún gerente puede cambiar manualmente la remuneración del empleado. Sin embargo, el gerente de la nómina y el director de finanzas pueden ver el historial de pago de todos los empleados, así como actualizar la remuneración. Mientras documenta el historial del usuario del gerente, considere las funciones de la nómina a las que el gerente puede y no puede acceder.

Nota: Como práctica recomendada, los miembros de SSA y LSA deben identificar las necesidades de seguridad durante la fase de descubrimiento (Ventas) de un proyecto y documentarlas durante la fase de diseño. Para obtener más detalles sobre las fases dentro de Pega Express, consulte Entrega de Pega Express

Compruebe sus conocimientos con la siguiente actividad:

Configuración de seguridad de la aplicación en Pega Platform

Una manera de limitar el acceso no autorizado a sus aplicaciones es definir la configuración en la pestaña Security Policies (Políticas de seguridad) de la landing page Authentication en App Studio. En Dev Studio, abra el menú Configure (Configurar) y seleccione Org & Security > Authentication > Security Policies (Organización y seguridad > Autenticación > Políticas de seguridad) para ver y actualizar las políticas de seguridad para todo el servidor de Pega Platform™.

Caution: La configuración de un servicio de autenticación específico podría anular la configuración en la landing page de autenticación.

Después de actualizar una configuración, haga clic en Submit (Enviar) en la parte inferior de la página para registrar una actualización. Los cambios en las políticas de seguridad se activan inmediatamente al enviar el formulario.

Nota: La aplicación de políticas de seguridad adecuadas es solo un aspecto de cómo se asegura una aplicación. Para obtener una lista completa de las principales prácticas de seguridad, consulte la Lista de verificación de seguridad para la implementación de Pega Platform. 

La pestaña Security Policies (Políticas de seguridad) está dividida en una sección de Frequently required policies (Políticas requeridas con frecuencia) y una sección de Other policies (Otras políticas). Contraseña, CAPTCHA, Bloqueo y Auditoría son Políticas requeridas con frecuencia; y Autenticación de múltiples factores e Invalidez del operador son Otras políticas.

Nombre de política Descripción Opciones de configuración de políticas
Contraseña Rige la fuerza de las contraseñas del usuario. Utilice la sección Password policies para personalizar los requerimientos de previsibilidad, complejidad y longitud de contraseña.
CAPTCHA Prueba si una persona ingresó la contraseña.

 

 Utilice la sección CAPTCHA policies para configurar un CAPTCHA para verificar los intentos de inicio de sesión. Cuando se habilita, puede realizar lo siguiente:
  • Elija entre la implementación personalizada o la implementación predeterminada.
  • Habilite el uso de un CAPTCHA en el inicio de sesión inicial.
  • Defina la probabilidad de que los usuarios reciban un CAPTCHA después de un inicio de sesión erróneo.
Bloqueo Define el comportamiento del sistema cuando los usuarios ingresan una contraseña incorrecta.

 

 Utilice la sección Lockout policies para personalizar cuándo y cuánto deben esperar los usuarios después de un intento de inicio de sesión erróneo. Las opciones enumeradas dependen de si la política de bloqueo está habilitada o deshabilitada. Cuando se habilita una penalidad de bloqueo, puede realizar lo siguiente:
  • Definir un valor de umbral para intentos de inicio de sesión erróneos.
  • Definir el período de penalidad de bloqueo inicial en segundos. La repetición de inicios de sesión erróneos aumenta el período de penalidad automáticamente.
  • Mantenga un registro de inicios de sesión erróneos para una cantidad de minutos específica.

Cuando se deshabilita una política de bloqueo, puede realizar lo siguiente:

  • Definir la cantidad de intentos de inicio de sesión erróneos permitidos antes de bloquear una cuenta.
  • Definir el tiempo en minutos para cuando se bloquea una cuenta del usuario.
Auditoría Determina la cantidad de detalles ingresados en el registro del sistema para problemas de seguridad. Utilice la sección Audit policies para personalizar el nivel de detalle capturado para los intentos de inicio de sesión.
Autenticación de múltiples factores Define los múltiples factores, o la evidencia, que los usuarios deben proporcionar para verificar su identidad. Utilice la sección Multi-factor authentication policies (Políticas de autenticación de múltiples factores) (usando una contraseña de un solo uso) para definir la configuración de una contraseña de un solo uso que se proporciona a los usuarios por correo electrónico o mensaje de texto SMS. Para completar el proceso de inicio de sesión, los usuarios deben ingresar la contraseña de un solo uso dentro del tiempo permitido. 
Invalidez del operador Define la duración de inactividad antes de deshabilitar el acceso a un usuario. Utilice la sección Operator disablement policy (Política de invalidez del operador) para deshabilitar automáticamente el acceso a usuarios que estén inactivos durante un número específico de días. Para evitar que el sistema deshabilite el acceso a usuarios que lo requieren, agregue el registro de Id. de operador para el usuario en la Lista de exclusión de Id. de operador.
Nota: Para obtener una explicación detallada de la configuración para cada tipo de política, incluidos los valores mínimos y máximos permitidos, consulte Configuración de políticas de seguridad.

Políticas de autenticación de múltiples factores

Las contraseñas son una manera de autenticar usuarios. Para aumentar la seguridad, habilite la autenticación de múltiples factores para autenticar usuarios. Con la autenticación de múltiples factores, los usuarios obtienen acceso solo después de proporcionar múltiples factores, o evidencia, para verificar su identidad.

Nota: La autenticación de doble factor es un subconjunto de autenticación de múltiples factores, en el cual los usuarios ofrecen dos evidencias en el inicio de sesión.

En la siguiente imagen, haga clic en los íconos + para obtener más información sobre los diferentes factores en la autenticación de múltiples factores.

Compruebe sus conocimientos con la siguiente actividad:

This Topic is available in the following Module:
If you are having problems with your training, please review the Pega Academy Support FAQs.

¿Le ha resultado útil este contenido?
No

El 100% ha encontrado útil este contenido.

¿Quiere ayudarnos a mejorar este contenido?
Sugerir una edición

We'd prefer it if you saw us at our best.

Pega Academy has detected you are using a browser which may prevent you from experiencing the site as intended. To improve your experience, please update your browser.

Close Deprecation Notice