Seguridad en Shifton | Protección y cifrado

Última actualización: 10 de abril de 2025

Nos tomamos la seguridad en serio. Y no es solo una declaración, sino la forma en que planificamos, desarrollamos y entregamos nuestro producto.

Seguridad de la infraestructura

Los servicios y datos de Shifton están alojados en la región de la EU

Red

Todos nuestros servidores están dentro de nuestra propia nube privada virtual (VPC) con listas de control de acceso de red (ACLs) que impiden que las solicitudes no autorizadas lleguen a nuestra red interna.

Permisos y autenticación

El acceso a los datos de los clientes está limitado a los empleados autorizados que lo necesitan para su trabajo.

Cifrado

Todos los datos se cifran durante la transferencia con cifrado de alto nivel. Todos los endpoints, ya sean interfaces o APIs, están limitados al acceso HTTPS. Aplicamos las mejores prácticas como el uso de TLS 1.3, HSTS y CAA, obteniendo siempre el mejor resultado en
la prueba de Qualys SSL labs

Respuesta ante incidentes

Implementamos un protocolo para gestionar eventos de seguridad que incluye procedimientos de escalado, mitigación rápida y análisis posterior.

Recuperación ante desastres, copias de seguridad y monitorización

Contamos con una implementación de recuperación y conmutación por error multirregión, que garantiza la seguridad de los datos de los clientes y una alta disponibilidad. Monitorizamos todos los componentes del sistema y respondemos de forma eficaz a los problemas que surgen.

Funciones de seguridad del producto

SSO

Shifton admite SSO basado en OpenID para los dos proveedores más populares

Microsoft Entra ID (antes, Azure AD) – compatible con cuentas personales y empresariales. Shifton es un partner verificado de Microsoft y nuestra solución cumple con todas las mejores prácticas y está disponible para una fácil instalación por parte de los equipos de IT en
Azure Marketplace
Cuentas de Google workspace, tanto personales como empresariales

Permisos

Shifton implementa un sofisticado sistema RBAC y dispone de múltiples roles integrados disponibles para todos los clientes. Combinado con una jerarquía multinivel, permite configurar distintos niveles de acceso detallados en la aplicación.

Contraseñas

Todas las contraseñas pasan por un hash unidireccional con la biblioteca bcrypt y nunca se almacenan en texto plano.

Funciones para empresas

Los clientes empresariales pueden tener acceso a funciones de seguridad adicionales, entre ellas

Roles personalizados adicionales
Capacidad de controlar la fortaleza de las contraseñas
Capacidad de controlar las opciones de inicio de sesión (login/contraseña, Microsoft SSO, Google SSO)
Capacidad de limitar las invitaciones a dominios específicos

Compromiso de seguridad de los empleados

Políticas

Tenemos políticas estrictas y claras relacionadas con la seguridad y la privacidad. Todos los empleados reciben formación para estar familiarizados y al día con todos los cambios.

Confidencialidad

Todos los contratos de los empleados incluyen un acuerdo de confidencialidad.

Subprocesadores

Como cualquier producto SaaS moderno, utilizamos otras plataformas para implementar algunas funciones. Ninguno de esos productos y servicios tiene acceso a los datos de los clientes, más allá de la cantidad mínima necesaria para la funcionalidad

Stripe

Utilizamos Stripe como nuestro procesador de pagos. Puede encontrar detalles sobre su seguridad y cumplimiento de PCI en la
página de seguridad de Stripe.

Microsoft

Se utiliza para SSO (Entra ID) y analítica del sitio web

Google

Se utiliza para analítica del sitio web, SSO, entrega de notificaciones push, plataforma de Maps y otras funciones

Integración con Crisp

Para garantizar una comunicación segura y cómoda con nuestros clientes, utilizamos Crisp.chat – una moderna plataforma de chat en vivo y soporte que cumple altos estándares de seguridad.

Puede consultar las prácticas de seguridad de Crisp.chat.