IntroducciónLast updated: 2024.07.19

En el entorno dinámico y altamente competitivo de hoy en día, las organizaciones requieren herramientas eficientes y seguras para gestionar sus operaciones y transacciones empresariales. GreyPhillips se ha desarrollado como una solución integral que permite a las organizaciones gestionar flujos de trabajo, documentación, cadena de suministro y transacciones de manera efectiva y segura. Este manual está diseñado para proporcionar a los usuarios una guía completa sobre las funcionalidades, configuraciones y mejores prácticas de seguridad dentro de la plataforma GreyPhillips.

La seguridad de los datos es una prioridad fundamental en GreyPhillips. Por ello, nuestra plataforma incorpora avanzadas medidas de protección, incluyendo la Autenticación Única (SSO) y la Autenticación de Doble Factor (2FA), entre otras. Estos mecanismos garantizan que la información sensible de las organizaciones esté siempre resguardada contra accesos no autorizados. Este manual no solo ofrece una descripción detallada de estos métodos de seguridad, sino que también proporciona directrices claras para la configuración y el uso óptimo de la plataforma, asegurando que los usuarios puedan aprovechar al máximo las capacidades de GreyPhillips mientras mantienen un entorno seguro y eficiente.

Seguridad y Accesos

La seguridad es un componente fundamental en la gestión de información sensible dentro de cualquier plataforma empresarial. En GreyPhillips, nos comprometemos a proporcionar los más altos estándares de protección para asegurar que los datos de nuestros clientes estén siempre resguardados contra accesos no autorizados. Dentro de esta sección, se detallarán los métodos avanzados de seguridad que implementamos, específicamente la Autenticación Única (SSO) y la Autenticación de Doble Factor (2FA), así como otros mecanismos y prácticas esenciales de seguridad.

Autenticación Única (SSO)

La Autenticación Única (SSO, por sus siglas en inglés) permite a los usuarios acceder a múltiples aplicaciones con un solo conjunto de credenciales. Esto simplifica el proceso de inicio de sesión y mejora la experiencia del usuario al reducir la necesidad de recordar múltiples contraseñas. SSO no solo mejora la eficiencia, sino que también incrementa la seguridad al centralizar la autenticación en un solo punto controlado y monitoreado.

Autenticación de Doble Factor (2FA)

La Autenticación de Doble Factor (2FA) añade una capa adicional de seguridad al requerir dos formas de verificación antes de conceder acceso a los usuarios. En GreyPhillips, hemos implementado 2FA para proporcionar una protección robusta contra accesos no autorizados. Los métodos de 2FA incluyen la utilización de nuestra aplicación Passport para la autenticación mediante mensajes push, así como opciones de autenticación mediante SMS y correo electrónico. Esta funcionalidad asegura que solo los usuarios autorizados puedan acceder a la plataforma, cumpliendo con los más modernos estándares de seguridad.

Gestión de Identidades y Accesos (IAM)

La Gestión de Identidades y Accesos (IAM, por sus siglas en inglés) es un marco integral para gestionar las identidades digitales y controlar el acceso a recursos tecnológicos. Incluye políticas, procesos y tecnologías que aseguran que las personas adecuadas tengan acceso a los recursos correctos en el momento adecuado, mejorando la seguridad y simplificando la administración de accesos.

Control de Acceso Basado en Roles (RBAC)

El Control de Acceso Basado en Roles (RBAC, por sus siglas en inglés) es una metodología de seguridad que restringe el acceso a los sistemas en función de los roles asignados a los usuarios. Esta práctica permite administrar privilegios de manera más eficiente y reduce el riesgo de accesos no autorizados al asegurarse de que los usuarios solo tengan los permisos necesarios para desempeñar sus funciones.

Autenticación Biométrica

La autenticación biométrica utiliza características físicas únicas, como huellas dactilares, reconocimiento facial o escaneo de retina, para verificar la identidad del usuario. Este método proporciona una seguridad adicional al ser difícil de falsificar y cómodo para los usuarios.

Autenticación Basada en Certificados

La autenticación basada en certificados digitales verifica la identidad de los usuarios mediante certificados emitidos por autoridades certificadoras (CA). Este método es altamente seguro y es ampliamente utilizado en entornos corporativos para garantizar la autenticación segura.

Autenticación Multifactor (MFA)

La Autenticación Multifactor (MFA, por sus siglas en inglés) es una extensión de 2FA que puede incluir más de dos factores de autenticación, como algo que el usuario sabe (contraseña), algo que tiene (token de hardware) y algo que es (biometría). Proporciona una seguridad adicional al requerir múltiples formas de verificación.

Protección contra Phishing

Implementamos técnicas y tecnologías para proteger a los usuarios contra ataques de phishing, donde los atacantes intentan obtener información confidencial haciéndose pasar por entidades de confianza. Estas medidas reducen el riesgo de robo de credenciales y accesos no autorizados.

Gestión de Políticas de Contraseñas

Establecemos políticas para la creación, actualización y almacenamiento seguro de contraseñas. Esto incluye requisitos de complejidad, caducidad y recuperación segura de contraseñas, mejorando la seguridad de las cuentas de usuario y reduciendo el riesgo de accesos no autorizados.

Seguridad en la Nube

La seguridad en la nube incluye prácticas y tecnologías diseñadas para proteger datos y aplicaciones en entornos de computación en la nube. Estas medidas garantizan la confidencialidad, integridad y disponibilidad de los recursos en la nube.

Nota General sobre Costos

El envío de SMS y correos electrónicos está relacionado a costos adicionales, los cuales dependen de los convenios de cantidades de mensajes contratados por cada cliente.

Conclusión

El sistema de seguridad y gestión de accesos avanzado en GreyPhillips proporciona una capa adicional de protección crucial para la información sensible en entornos de alto riesgo. Estos métodos no solo fortalecen la seguridad contra accesos no autorizados, sino que también ayudan a las organizaciones a cumplir con los más modernos estándares de seguridad. La implementación de tecnologías como SSO, 2FA, IAM, y otras, asegura que solo los usuarios autenticados tengan acceso a los datos críticos, ofreciendo tranquilidad y confianza en la protección de los activos digitales.

Single Sign-On (SSO) con Active Directory

Nuestra plataforma es compatible con el sistema de Single Sign-On (SSO) utilizando Active Directory, lo que permite a los usuarios autenticarse una sola vez y acceder a múltiples aplicaciones sin necesidad de iniciar sesión repetidamente. Esta integración no solo mejora la experiencia del usuario al reducir la cantidad de credenciales que deben recordar, sino que también incrementa la seguridad y facilita la administración de acceso a nivel organizacional.

Beneficios de la Integración con Active Directory
  1. Seguridad Mejorada: El uso de Active Directory para SSO centraliza la autenticación, permitiendo aplicar políticas de seguridad uniformes y robustas.
  2. Conveniencia para el Usuario: Los usuarios pueden acceder a todos los servicios de nuestra plataforma con una única autenticación, eliminando la necesidad de múltiples contraseñas.
  3. Gestión Simplificada: Los administradores pueden gestionar el acceso a través de Active Directory, facilitando el alta y baja de usuarios, así como la asignación de permisos.
  4. Cumplimiento Normativo: Ayuda a cumplir con normativas de seguridad y auditoría al mantener registros detallados de accesos y autenticaciones.
Requisitos Previos
  1. Servidor Active Directory Configurado: La organización debe tener un servidor de Active Directory correctamente configurado y en funcionamiento.
  2. Permisos de Administrador: Los administradores de IT deben tener los permisos necesarios para configurar la integración en el servidor de Active Directory.
  3. Conectividad de Red: Asegúrese de que exista conectividad de red entre nuestra plataforma y el servidor de Active Directory.
Configuración para Usuarios Finales
  1. Inicio de Sesión:
    • Los usuarios deben utilizar su nombre de usuario y contraseña de Active Directory para iniciar sesión en nuestra plataforma.
    • Una vez autenticados, tendrán acceso a todas las aplicaciones y servicios integrados sin necesidad de volver a introducir sus credenciales.
  2. Resolución de Problemas Comunes:
    • Si un usuario no puede iniciar sesión, verifique que las credenciales de Active Directory sean correctas.
    • Asegúrese de que el usuario tenga los permisos adecuados en Active Directory para acceder a nuestra plataforma.
Configuración Técnica para Administradores
  1. Integración con Active Directory:
    • Acceda al Panel de Control de nuestra plataforma.
    • Vaya a Configuración > General
    • Seleccione la sección Active Directory.
    • Introduzca la información requerida, incluyendo la dirección del servidor de Active Directory y las credenciales administrativas.
      • ClientId: Es un identificador único proporcionado por Azure Active Directory (AAD) cuando se registra una aplicación. Este identificador permite que nuestra plataforma sea reconocida por el servicio de Active Directory.
      • ClientSecret: Es una cadena de caracteres generada por Azure Active Directory que actúa como una contraseña para la aplicación registrada. Este secreto debe ser mantenido confidencial y seguro, ya que permite que nuestra plataforma se autentique de manera segura con el servidor de Active Directory.
      • Tenant: Identifica el directorio de Active Directory al que pertenece la organización. Es un dominio único asociado con su cuenta de Azure Active Directory.

    Nota

    En ambientes de seguridad extrema, el procedimiento de configuración se hace por medio del departamento de soporte técnico, en ese caso, los datos son registrados directamente en los servidores, evitando que sean visibles para cualquier persona desde la configuración en la plataforma.

  2. Sincronización de Usuarios:
    • Configure la sincronización automática de usuarios entre Active Directory y nuestra plataforma.
    • Establezca los intervalos de sincronización y los grupos de usuarios que se deben sincronizar.
  3. Manejo de Permisos y Roles:
    • Asigne roles y permisos a los usuarios importados desde Active Directory según las necesidades de la organización.
    • Asegúrese de revisar y actualizar estos permisos regularmente para mantener la seguridad y el acceso adecuado.
  4. Configurar ClientId, ClientSecret y Tenant:
    • Registrar la Aplicación en Azure Active Directory:
      • Acceda al portal de Azure y navegue a la sección de Azure Active Directory.
      • Registre una nueva aplicación y anote el ClientId generado.
      • Genere y guarde el ClientSecret en un lugar seguro.
    • Obtener Información del Tenant:
      • El Tenant se puede encontrar en la sección de propiedades de Azure Active Directory.
      • Anote el valor del Tenant.
    • Seguridad y Buenas Prácticas:
      • Protección del ClientSecret: Trate el ClientSecret como una contraseña. No lo comparta y asegúrese de que solo el personal autorizado tenga acceso a esta información.
      • Revisión Regular: Revise y actualice regularmente las credenciales de ClientId y ClientSecret para mantener la seguridad.
      • Monitoreo de Accesos: Utilice las herramientas de monitoreo de Azure para supervisar los accesos y detectar cualquier actividad inusual.

    Importante:

    Esta información es para proporcionar entendimiento general y puede no estar actualizada respecto al sitio de Microsoft y se recomienda que sea verificada de la fuente directamente.

Soporte y Asistencia

Para cualquier problema o duda durante la configuración o uso del SSO con Active Directory, por favor contacte al soporte técnico a través de [correo electrónico/portal de soporte], donde nuestro equipo estará disponible para asistirle.

Doble factor de autenticación (2FA)

GreyPhillips implementa un mecanismo de doble factor de autenticación (2FA) para garantizar la seguridad de la información sensible gestionada en la plataforma. Este sistema de seguridad añade una capa adicional de protección, verificando la identidad del usuario mediante dos métodos diferentes antes de conceder acceso.

Métodos de Doble Factor de Autenticación
  1. Aplicación Passport:
    • Función: Passport es una aplicación de identificación personal que actúa como un gafete electrónico y gestiona la autenticación mediante mensajes push.
    • Proceso:
      1. El usuario ingresa sus credenciales en la plataforma GreyPhillips.
      2. La plataforma envía un mensaje push a la aplicación Passport del usuario.
      3. El usuario confirma la autenticación seleccionando "Soy yo" o "No soy yo" en la aplicación.
    • Licenciamiento y Costos: La aplicación Passport no requiere de licenciamiento ni tiene costos asociados a su utilización para el usuario final, sin embargo, la organización si debe de contar con el servicio de SMS y Correo según como sea requerido. Además de servir para la autenticación, Passport se utiliza como un gafete electrónico para el registro de tiempo y asistencia en aplicaciones como Kronos y para el acceso a los sistemas locales y en línea.
    • Identificación en Ambientes de Alto Tránsito: Passport también funciona para identificarse como cliente, especialmente en ambientes de alto tránsito como los comedores institucionales.
  2. Con bolsa de SMS contratada
    • Función: Autenticación mediante el envío de un código de seis dígitos numéricos.
    • Proceso:
      1. El usuario selecciona la opción de autenticación por SMS en la ventana de interfaz.
      2. La plataforma envía un SMS con un código de seis dígitos al número registrado del usuario.
      3. El usuario ingresa el código recibido en la plataforma para completar la autenticación.
  3. Con bolsa de Correo Electrónico contratada
    • Función: Autenticación mediante un enlace de uso único enviado por correo electrónico.
    • Proceso:
      1. El usuario selecciona la opción de autenticación por correo electrónico en la ventana de interfaz.
      2. La plataforma envía un correo electrónico con un enlace de uso único al correo registrado del usuario.
      3. El usuario hace clic en el enlace recibido para validar su identidad y completar la autenticación.
Configuración Personalizada

Cada cliente de la plataforma GreyPhillips puede configurar la obligatoriedad del método de doble autenticación (2FA) para el 100% de sus usuarios, según sus políticas de seguridad.

Nota General

El envío de SMS y correos electrónicos está relacionado a costos adicionales, los cuales dependen de los convenios de cantidades de mensajes contratados por cada cliente.

Conclusión

El sistema de doble factor de autenticación en GreyPhillips proporciona una capa adicional de seguridad crucial para la protección de información sensible en entornos de alto riesgo. Este método no solo fortalece la seguridad contra accesos no autorizados, sino que también ayuda a las organizaciones a cumplir con los más modernos estándares de seguridad. La implementación de 2FA a través de la aplicación Passport, SMS y correo electrónico garantiza que solo usuarios autenticados tengan acceso a los datos críticos, ofreciendo tranquilidad y confianza en la protección de los activos digitales.

Usuarios

Nuestra plataforma es compatible con el sistema de Single Sign-On (SSO) utilizando Active Directory, lo que permite a los usuarios autenticarse una sola vez y acceder a múltiples aplicaciones sin necesidad de iniciar sesión repetidamente. Esta integración no solo mejora la experiencia del usuario al reducir la cantidad de credenciales que deben recordar, sino que también incrementa la seguridad y facilita la administración de acceso a nivel organizacional.

Panel de Control

Para ingresar a la función de "Panel de Control", existen dos métodos diferentes:
  1. Desde la página principal de Cloud, seleccionando el cuadro de "Panel de Control"
  2. Desde cualquier parte de la plataforma, desplegando el menú del lado derecho de la página y presionando las tres barras horizontales.

Consultar Usuarios

  • Ingreso al Panel de Control:
    1. Ingresar al Panel de Control.
    2. Seleccionar el módulo de Usuarios en la parte superior de la pantalla.
  • Sección de Usuarios:
    1. Visualización de Usuarios Existentes:
      • Todos los usuarios existentes se encuentran en esta sección.
      • También es posible crear nuevos usuarios desde cero, con el botón "Nuevo Usuario"
    2. Visualización Predeterminada:
      • El sistema muestra por defecto los 25 usuarios más recientes.
      • Para visualizar todos los usuarios, presionar la palabra “TODO”.
  • Búsqueda de Usuarios:
    • El sistema permite buscar usuarios introduciendo una parte del nombre o login.

Nuevo Usuario

  1. Iniciar el Proceso de Creación:
    1. Ingresar al Panel de Control.
    2. Seleccionar el módulo de Usuarios en la parte superior de la pantalla.
    3. Para crear un usuario desde cero, presione el botón “Nuevo Usuario”.
  2. Completar Información del Usuario:
    1. Persona Asociada:
      • Contacto Preexistente: Seleccione un contacto previamente creado.
      • Creación Rápida de Contacto:
        • Presione el botón ADD/Agregar para crear un nuevo contacto.
        • Complete los campos básicos del nuevo contacto y presione Guardar.
        • El nuevo contacto quedará automáticamente asociado al campo de persona asociada.
    2. Perfil Asociado: Seleccione el perfil que tendrá el usuario.
    3. Cuenta de Correo Asociada: Ingrese la cuenta de correo electrónico para el proceso de notificaciones.
    4. Login: Ingrese el login de usuario que desea para iniciar sesión.
    5. Lenguaje por Defecto: Seleccione el idioma en el cual se mostrará el sistema para el usuario.
    6. Otros Campos Adicionales: Complete cualquier otro campo adicional requerido.
  3. Guardar y Generar PIN:
    • Una vez que haya completado todos los campos requeridos, presione el botón Guardar. El sistema generará un PIN, el cual el usuario deberá usar para ingresar por primera vez, y después del cual se le solicitará que asigne una contraseña segura.
  4. Opciones de Mantenimiento:
    • En el margen derecho de la pantalla, se habilitarán botones de mantenimiento para realizar acciones adicionales sobre el usuario creado.

Importador

El importador de usuarios permite agregar o actualizar la información de los usuarios masivamente.

Para hacer uso del importador deberá seguir los siguientes pasos:
  1. Iniciar el Proceso de Creación:
    1. Ingresar al Panel de Control.
    2. Seleccionar el módulo de Usuarios en la parte superior de la pantalla.
  2. Una vez dentro de la interfaz de proveedores, seleccione el botón de Importar Usuarios ubicado en la barra lateral derecha de su pantalla.
    1. El sistema permite archivos con las extensiones del tipo XLS y XLSX.

      Nota

      Puede descargar una plantilla de Excel básica con las columnas requeridas, con el botón de descarga que está arriba a la derecha, sin embargo, se puede usar plantillas de Excel con las columnas ordenadas de otras maneras, ya que al hacer el proceso se puede seleccionar en que columna se encuentra cada valor requerido.

    2. Con el botón SUBIR deberá de seleccionar el archivo que quiera utilizar.
    3. Es importante seleccionar la hoja del Excel que quiera utilizar con la opción de Worksheet.
  3. Antes de vincular la información del sistema es importante tomar lo siguiente en consideración:
    Opción Descripción
    Id Identificación de la persona relacionada.
    Login Login del usuario.
    PIN PIN de acceso del usuario.
    Código de Perfil Código del Perfil asignado al usuario.
  4. Al terminar de vincular la información del Excel, seleccione el botón Import ubicado en la esquina inferior derecha de la ventana de importación, al completar el proceso, se mostrará un mensaje confirmando la importación y la cantidad de usuarios importados.

Plantilla para Cambio de Clave

Cada uno de nuestros clientes tiene su propio ecosistema, políticas e indicaciones que debe de hacer a sus usuarios, ya sean estos internos o externos. En múltiples ocasiones estos usuarios deben de seguir ciertos lineamientos que van más allá del cambio de clave, para lo cual el sistema proporciona una plantilla de uso general, la cual administra la información variable relacionada al reset de contraseñas de los usuarios y permite construir un mensaje completamente personalizado.

El usuario administrador puede hacer este cambio en las configuraciones generales de la plataforma siguiendo estos pasos:
  1. Ingrese a Control Panel > Configuraciones (Engranaje):
  2. Seleccione la pestaña: Control Panel > Defaults > General Change of Password Notification 

En este punto usted podrá administrar la notificación, y usar la opción Merge Tags para integrar la información variable. 

Impersonalización

Es un mecanismo seguro y controlado la impersonalización de usuarios en GreyPhillips, garantizando la protección de la seguridad de la información y asegurando que los servicios de apoyo técnico externos no tengan acceso a datos sensibles sin la autorización explícita del usuario.

Cuando el usuario requiera asistencia técnica donde sea necesario que el agente de servicio técnico ingrese al sistema como si se tratara del propio usuario, este último, deberá generar una autorización de Impersonalización.

Procedimiento:
  1. Generar una autorización de Impersonalización:
    • Se muestran los agentes de servicio técnico disponibles.
    • Leer el Aviso de Responsabilidad.
      • Al proporcionarla autorización, el usuario acepta los términos para llevar a cabo la sesión de soporte remoto.
      • El aviso subraya que la sesión de soporte se realiza bajo la responsabilidad del usuario, quien sigue siendo responsable de todas las actividades registradas bajo su cuenta durante y después de la sesión.
    • Seleccione al técnico que corresponde a la atención del caso específico.
    • El sistema generara un código de un solo uso (OTP) internamente.
  2. Validez y Seguridad del Código OTP:
    • El código OTP será válido únicamente para un solo uso y se generará uno nuevo para cada autorización hecha por el usuario.
    • El código se almacenará de manera encriptada en la base de datos y se eliminará automáticamente una vez utilizado.
  3. Cumplimiento y Auditoría:
    • Todas las actividades de impersonalización serán registradas y auditadas para asegurar el cumplimiento de las políticas de seguridad.