Seguridad y auditoría
Proteja y trace sus datos
KaliaOps integra funcionalidades de seguridad avanzadas: trazabilidad completa de acciones con logs de auditoría, autenticación reforzada (2FA), tokens API con scopes, protección automática de datos sensibles (FieldGuard) y aislamiento estricto entre tenants mediante Row Level Security de PostgreSQL.
Logs de auditoría
KaliaOps registra todas las acciones para una trazabilidad completa.
Información registrada
Cada acción genera una entrada de auditoría que contiene:
- Quién: Usuario que realizó la acción
- Qué: Tipo de acción (creación, modificación, eliminación)
- Cuándo: Marca de tiempo precisa
- Dónde: Dirección IP y user-agent
- Detalle: Datos antes/después de la modificación
Acciones registradas
| Categoría | Ejemplos |
|---|---|
| CMDB | Creación/modificación/eliminación de activos, aplicaciones, contratos |
| ITSM | Incidentes, problemas, cambios, resoluciones |
| Seguridad | Conexiones, cambios de contraseña, modificaciones de roles |
| Administración | Configuración SSO, creación de usuarios, exportaciones |
Consulta
- Menú Configuración → Auditoría
- Filtre por usuario, entidad, período
- Consulte el detalle de cada acción
Retención
Los logs de auditoría se conservan según su contrato (mínimo 1 año).
Autenticación 2FA
La autenticación de dos factores refuerza la seguridad de las cuentas.
Principio
Después de la contraseña, el usuario introduce un código temporal generado por una aplicación TOTP:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password
2FA obligatorio
Las cuentas administradores deben activar obligatoriamente el 2FA. El acceso se bloquea mientras el 2FA no esté configurado.
Códigos de respaldo
KaliaOps genera 10 códigos de respaldo de un solo uso:
- Utilícelos si pierde su teléfono
- Cada código solo es válido una vez
- Consérvelos en un lugar seguro (caja fuerte, gestor de contraseñas)
Recuperación
En caso de pérdida total de acceso:
- Contacte con otro administrador
- Puede desactivar su 2FA
- Reconfigure el 2FA en la siguiente conexión
Tokens API seguros
Los tokens API permiten la integración segura con sistemas externos.
Seguridad de los tokens
- Hasheo: Los tokens se almacenan hasheados en base (nunca en texto claro)
- Visualización única: El token solo es visible en la creación
- Revocación inmediata: Un token comprometido puede revocarse al instante
Scopes granulares
Limite los permisos de cada token:
| Scope | Permisos |
|---|---|
| read | Solo lectura (GET) |
| write | Creación y modificación |
| delete | Eliminación de entidades |
| admin | Acciones administrativas |
Expiración
Configure una fecha de expiración para cada token:
- 30 días para pruebas
- 1 año para integraciones estables
- Sin expiración (desaconsejado)
Buenas prácticas
- Un token por integración
- Scopes mínimos necesarios
- Rotación regular de tokens
- Auditoría de tokens no utilizados
Protección de datos sensibles
KaliaOps protege automáticamente los datos sensibles gracias al sistema FieldGuard.
Campos protegidos
| Entidad | Campos | Permiso requerido |
|---|---|---|
| Contratos | Costes (anual, mensual, total) | contracts.field.cost |
| Proveedores | Cuenta bancaria, SIRET, IVA | vendors.field.bank, vendors.field.legal |
| Usuarios | Hash contraseña, secreto 2FA | Nunca expuestos |
| API Tokens | Hash del token | Nunca expuestos |
Funcionamiento
FieldGuard filtra automáticamente:
- Las exportaciones CSV/PDF
- Las respuestas API
- Las vistas para usuarios no autorizados
Enmascaramiento
Los datos protegidos se reemplazan por *** para los usuarios sin permiso.
Extensión
El sistema puede extenderse para proteger otros campos según sus necesidades de conformidad.
Aislamiento multi-tenant
KaliaOps garantiza un aislamiento estricto entre los tenants.
Arquitectura
Cada tenant dispone de:
- Sus propios datos aislados
- Su configuración independiente
- Sus usuarios y roles propios
Row Level Security
PostgreSQL aplica automáticamente políticas RLS:
- Cada consulta se filtra por
tenant_id - Imposible acceder a los datos de otro tenant
- Protección a nivel de base de datos (no solo aplicativo)
Sesiones aisladas
- Las sesiones están ligadas a un solo tenant
- El cambio de tenant requiere una nueva autenticación
- Los tokens API están scopeados por tenant
Auditorías de seguridad
El aislamiento se verifica regularmente mediante:
- Tests automatizados
- Auditorías de seguridad externas
- Pentests periódicos
Conformidad
Esta arquitectura responde a las exigencias:
- RGPD (protección de datos)
- ISO 27001 (seguridad de la información)
- SOC 2 (controles de seguridad)
- Trazabilidad completa: quién, qué, cuándo, IP, user-agent
- 2FA obligatorio para administradores con códigos de respaldo
- Tokens API con scopes granulares y expiración
- FieldGuard: enmascaramiento automático de campos sensibles
- Aislamiento estricto entre tenants (Row Level Security PostgreSQL)