Como requisito base de seguridad en el diseño y por defecto en FREEMATICA disponemos de controles internos específicos de desarrollo seguro de software con el objetivo de construir de base código seguro, tanto en el entorno de aplicación, como en el de base de datos asegurando el entorno en todo el ciclo de vida. Nuestro equipo de desarrollo, construye el software en los diversos módulos y aplicaciones web de la plataforma eSatellite(R), mobile y escritorio con las directrices que vamos construyendo y definiendo según las tecnologías, las necesidades del entorno, el compliance legal y los requerimientos de nuestros clientes. De esta manera una de las piezas fundamentales en FREEMATICA ha sido y sigue siendo construir nuestro producto seguro para minimizar cualquier incidencia.
Para ello implementamos una serie de controles basados en buenas prácticas de ISO 27002 y de OWASP sobre los que destacamos:
- Existe una producción propia interna del software en los módulos del core de la plataforma, con API propietario.
- Existe una protección del código fuente mediante funcionalidades del framework.
- Existe una separación entornos de desarrollo, testing, preproducción y producción.
- Existen procedimientos de operación para el paso hacia distintos entornos. Procedimiento definido de control de cambios.
- Se realizan copias de seguridad y política de contingencia propia del entorno de desarrollo.
- Se desarrolla un Expertise, desarrollo profesional y formación contínua a desarrolladores.
- Seguridad en formularios de entrada de datos, procesamiento interno, integridad de los mensajes y validación de datos de salida
- Existen funciones técnicas de seguridad en el front end web. SQL injection, Cross Scripting, etc.
- Existen archivos de configuración encriptados.
- Se aplica una correcta segregación de funciones entre los desarrolladores y los operadores para evitar la posibilidad que los desarrolladores puedan cargar aplicaciones al entorno de producción a través de un proceso autorizado, formalizado y controlado.
- El acceso al entorno de producción se revisa periódicamente para determinar si los derechos de acceso son los apropiados.
- El personal involucrado en el desarrollo de aplicaciones disponen de una guía específica sobre la seguridad en el proceso de desarrollo, y debe adherirse a normas de codificación segura.