Seguridad
Usted registra en nuestra plataforma sus procesos, sus riesgos y sus controles. Entonces tiene derecho a saber cómo tratamos nosotros mismos la seguridad. La mayoría de los proveedores enseña un logotipo. Nosotros enseñamos nuestros deberes — incluido lo que sigue abierto.
Evaluado frente a OWASP ASVS 5.0 Level 2
ASVS es el estándar de seguridad de aplicaciones de OWASP. Level 2 es el nivel destinado a las aplicaciones que tratan datos sensibles. Hemos revisado uno por uno los 253 requisitos de Level 1 y 2 y hemos registrado por requisito cuál es la situación — y por qué.
Esto es una autoevaluación, no una certificación
Ningún auditor externo lo ha revisado. Por eso no nos llamamos conformes a ASVS, certificados en ASVS ni «ASVS ready»: eso daría a entender que otra persona lo ha evaluado. Lo que ve aquí es nuestra propia valoración, justificada línea por línea, con los puntos abiertos incluidos sin más.
La situación
222 de 253 están cerrados o son no aplicables, con justificación. Los 31 restantes figuran con nombre y apellidos en nuestro registro — incluido el motivo.
Estas cifras se derivan del registro y se verifican en cada release. Por tanto, no pueden quedarse obsoletas en silencio mientras el registro cambia.
Qué significa esto en concreto
Un estándar es abstracto. Esto es lo que contiene en la práctica:
Separación entre organizaciones
Toda consulta de procesos, riesgos y datos maestros pasa por un límite de tenant que impone la organización y se cierra si falta el contexto — un límite olvidado produce un error, nunca datos ajenos en silencio. Un usuario de una organización no puede consultar los datos de otra — tampoco con un id adivinado.
Roles y permisos en el servidor
Quién puede hacer qué se decide en el servidor, no en el navegador. Un lector no puede modificar ningún contenido, tampoco haciendo reaparecer un botón.
Verificación en dos pasos
Disponible mediante una app de autenticación, con códigos de respaldo. La ofrecemos y no la imponemos; esa decisión está justificada en el registro.
Las contraseñas filtradas se rechazan
Al establecer una contraseña, la comprobamos contra la base de datos de Have I Been Pwned. Si aparece en ella, no se admite.
Rutas de inicio de sesión limitadas
Las rutas por las que pasan credenciales tienen un límite, y ese límite reside en la base de datos — no en la memoria de un único proceso, de modo que un reinicio o un segundo contenedor no lo restablece.
Content-Security-Policy estricta
Con un nonce por página, de modo que un script inyectado no llega a ejecutarse.
Sesiones
La cookie de sesión es HttpOnly, Secure y SameSite. Rige una duración máxima absoluta, y las acciones sensibles vuelven a pedirle su contraseña.
Registro de auditoría y registro de seguridad
Los cambios en sus procesos, roles, riesgos y controles se registran con quién, qué y cuándo. Una autorización denegada se registra aparte — un inicio de sesión fallido es ruido, pero alguien que con una sesión válida intenta algo que no le está permitido es una señal.
Cadena de suministro
Mantenemos un SBOM de las dependencias que ejecutamos en producción, y la pipeline analiza automáticamente cada cambio en busca de secretos subidos por accidente.
Por capítulo
Los 17 capítulos del estándar, con la situación de cada uno. Los títulos de los capítulos son los nombres del propio estándar y los dejamos sin traducir — así se pueden localizar.
| Capítulo | Requisitos | Cumplidos | N/A | Parciales | Abiertos |
|---|---|---|---|---|---|
| V1 Encoding and Sanitization | 27 | 12 | 15 | 0 | 0 |
| V2 Validation and Business Logic | 11 | 7 | 1 | 3 | 0 |
| V3 Web Frontend Security | 19 | 18 | 0 | 0 | 1 |
| V4 API and Web Service | 10 | 2 | 6 | 2 | 0 |
| V5 File Handling | 9 | 4 | 4 | 1 | 0 |
| V6 Authentication | 35 | 26 | 6 | 2 | 1 |
| V7 Session Management | 18 | 15 | 3 | 0 | 0 |
| V8 Authorization | 7 | 7 | 0 | 0 | 0 |
| V9 Self-contained Tokens | 7 | 0 | 7 | 0 | 0 |
| V10 OAuth and OIDC | 29 | 0 | 29 | 0 | 0 |
| V11 Cryptography | 14 | 12 | 1 | 1 | 0 |
| V12 Secure Communication | 9 | 3 | 1 | 2 | 3 |
| V13 Configuration | 13 | 6 | 0 | 4 | 3 |
| V14 Data Protection | 9 | 7 | 0 | 2 | 0 |
| V15 Secure Coding and Architecture | 13 | 10 | 0 | 3 | 0 |
| V16 Security Logging and Error Handling | 16 | 13 | 0 | 1 | 2 |
| V17 WebRTC | 7 | 0 | 7 | 0 | 0 |
Lo que sigue abierto
También publicamos lo que no está terminado — de lo contrario, la transparencia es una palabra de marketing. En este momento hay 10 requisitos abiertos y 21 parciales. El grueso son requisitos de infraestructura que hemos aceptado conscientemente sobre la base de nuestro modelo de amenazas, a lo que se suman unas cuantas decisiones de política que aún están pendientes de resolver, una desviación que reside en una biblioteca externa, y un resto de hardening que todavía estamos terminando nosotros mismos. Cada punto figura con su motivo en el registro — incluidos los puntos que queremos cerrar primero.
¿Por qué no marcarlo todo sin más?
Porque no todos los requisitos pesan igual en esta aplicación. Hemos hecho una valoración consciente por requisito y la hemos dejado por escrito — incluidos los requisitos que (todavía) no cumplimos y por qué consideramos aceptable ese riesgo. Eso no nos hace conformes a ASVS en esos puntos; hace que la decisión sea trazable. Una laguna silenciada no lo sería.
¿Y NIS2?
Si su organización está sujeta a NIS2, debe poder demostrar que tiene bajo control sus procesos, sus riesgos y su cadena. Registrar precisamente eso es aquello para lo que se construyó Proceshuis: procesos, roles mediante RASCI, riesgos y controles en un único sistema, con historial de versiones y un registro de auditoría sobre ese contenido que muestra quién cambió qué y cuándo.
Lo que aquí no afirmamos
Proceshuis no hace que su organización sea conforme a NIS2, y nosotros no nos llamamos conformes a NIS2. NIS2 es una directiva organizativa: gestión de riesgos, notificación de incidentes, responsabilidad sobre la cadena, responsabilidad de los administradores. El software cubre una parte de eso. Apoyamos sus obligaciones; no las asumimos en su lugar.
El registro completo
Los 253 requisitos con la justificación línea por línea, incluidos los puntos abiertos y por qué siguen abiertos. Lo compartimos previa solicitud: contiene detalles de implementación que no deben figurar en una página pública.
Solicite el registro