Seguridad de datos con Odoo
Listado de características de seguridad de Odoo

Partiendo de la preocupación por los datos de los clientes y de nuestras recomendaciones para el manejo de los mismos cuidando lo principal que son sus datos, compartimos a continuación las principales características de seguridad de los servidores de Odoo, donde la mayoría de nuestros clientes que optaron por esta opción segura, pueden decir que están en buenas manos.

— La nube de Odoo (la plataforma) —

Copias de seguridad / Recuperación de desastres

  • Con Odoo SH contamos con 14 respaldos completos para cada base de datos de Odoo hasta un máximo de 3 meses: 1/día por 7 días, 1/semana por 4 semanas, 1/mes por 3 meses.
  • Las copias de seguridad se replican en al menos tres centros de datos diferentes, en al menos dos continentes distintos.
  • Las ubicaciones reales de nuestros centros de datos están especificados en nuestro Política de Privacidad.
  • También puedes descargar respaldos manuales de tus datos en tiempo real en cualquier momento utilizando el panel de control.
  • Puedes contactar a nuestro Servicio de Asistencia para restaurar cualquiera de esos respaldos de tus bases de datos en tiempo real (o las alternas).
  • Conmutación por error de hardware: para servicios alojados en hardware físico donde es posible que ocurra una falla de hardware, implementamos una replicación local en modo de espera con monitoreo y un procedimiento de conmutación manual que lleva menos de 5 minutos.
  • Recuperación en caso de daños: tenemos los siguientes objetivos a seguir en caso de un desastre total en un centro de datos cuyas funciones han sido afectadas por un periodo prolongado, para prevenir el fallo completo en el conmutador (este es solo un ejemplo extremo en una situación hipotética):
    • RPO (Objetivo del punto de recuperación) = 24 h. Esto significa que puede perder un máximo de 24 horas de trabajo si los datos no se pueden recuperar y necesitamos restaurar tu última copia de seguridad diaria.
    • RTO (Objetivo del tiempo de recuperación) = 24 h para suscripciones de pago, 48 h para pruebas gratuitas, oferta educativa, usuarios freemium, etc. Este es el momento para restaurar el servicio en un centro de datos distinto si ocurre un desastre y un centro de datos está completamente caído.
    • ¿Cómo lo logramos? Monitoreamos de manera activa nuestras copias de seguridad diarias y estas se replican en múltiples ubicaciones en diferentes continentes. Tenemos aprovisionamiento automatizado para implementar nuestros servicios en una nueva ubicación de alojamiento. La restauración de los datos basados en nuestras copias de seguridad del día anterior se puede hacer en unas pocas horas (para los conjuntos de datos más grandes), dando prioridad a las suscripciones pagadas.
      De manera rutinaria usamos tanto las copias de seguridad diarias como los scripts de aprovisionamiento para las operaciones cotidianas, por lo que ambas partes del procedimiento de recuperación de desastres se prueban todo el tiempo.

Seguridad de la base de datos

  • La información de los clientes es almacenada en una base de datos exclusiva - no utilizamos bases de datos compartidas entre clientes.
  • Las reglas de control de acceso a los datos implementan un aislamiento completo entre las bases de datos de los clientes que se ejecutan en el mismo grupo, el acceso de una base de datos a otra no es posible.

Seguridad de la contraseña

  • Las contraseñas de los usuarios están protegidas con una encriptación de industria estándar como PBKDF2+SHA512 (con adición de sal + y reforzada por miles de rondas)
  • El personal de Odoo no tiene acceso a tu contraseña y no puede recuperarla por ti, la única opción que tienes en caso de perderla es reestablecerla.
  • Las credenciales de inicio de sesión siempre se transmiten de manera segura a través de HTTPS.
  • Los administradores de la base de datos del cliente incluso tienen la opción deconfigurar el factor límite de tasa y la duración del plazo de espera después de que se hayan hecho varios intentos de inicio de sesión.
  • Políticas de contraseña: los administradores de la base de datos cuentan con una configuración integrada para fomentar que el usuario usa una contraseña con una longitud mínima. Otras políticas de contraseña como las clases requeridas de caracteres no son compatibles de manera predeterminada porque se ha demostrado que son contraproducentes. Ver ejemplo. [Shay et al. 2016]), así como NIST SP 800-63b.

Acceso del personal

  • El personal de servicio de asistencia de Odoo puede iniciar sesión en tu cuenta para acceder a los ajustes relacionados con tu problema. Para hacer esto, utilizan sus credenciales y no tu contraseña (pues no tienen manera de saberla).
  • Este acceso especial para el personal mejora la eficiencia y seguridad: pueden reproducir de manera inmediata el problema que estás viendo. ¡Nunca tendrás que compartir tu contraseña y podemos auditar y controlar las acciones del personal por separado!
  • Nuestro personal del servicio de asistencia se esfuerza por respetar tu privacidad tanto como es posible, solo accede a los archivos y ajustes necesarios para diagnosticar y resolver tu problema.

Sistema de Seguridad

  • Todos los servidores de la nube de Odoo ejecutan distribuciones mejoradas de Linux con parches de seguridad actualizados.
  • Las instalaciones son específicas y mínimas para reducir el número de servicios que podrían contener vulnerabilidades (por ejemplo, sin stack PHP/MySQL).
  • Solo pocos ingenieros de confianza de Odoo tienen autorización para administrar de forma remota los servidores. Además, el acceso es posible solo mediante un par de claves SSH personales cifradas, desde una computadora con cifrado de disco completo.

Seguridad física

Los servidores de la nube de Odoo están alojados en centros de procesamiento de datos confiables en varias regiones del mundo (por ejemplo: OVH, Google Cloud) y todos deben superar nuestros criterios de seguridad física:

  • Perímetro restringido, con acceso físico solo para los empleados autorizados del centro de datos.
  • Control de acceso físico con gafetes de seguridad o seguridad biométrica.
  • Cámaras de seguridad monitoreando las ubicaciones de los centros de datos 24/7.
  • Personal de seguridad en el sitio 24/7.

Seguridad en pagos con tarjeta de crédito

  • Nunca guardamos información de las tarjetas de crédito en nuestro sistema.
  • La información de tu tarjeta de crédito siempre se transmite de manera segura y directa entre tu y nuestroen cumplimiento con el PCI métodos de pago (vea la lista en nuestra Política de Privacidad página).

Encriptación de datos

La información de los clientes siempre es transferida y almacenada de manera encriptada (encriptación en tránsito y en reposo).
  • Todas las comunicaciones de datos a las instancias del cliente están protegidas con el cifrado SSL de 256 bits (HTTPS) más avanzado.
  • Todas las comunicaciones internas de datos entre nuestros servidores también están protegidas con cifrado de última generación (SSH).
  • Mantenemos nuestros servidores bajo una estricta observación de seguridad y siempre reciben parches contra las últimas vulnerabilidades SSL, cuenta con Grado A puntuaciones SSL en todo momento.
  • Todos nuestros certificados SSL utilizan módulos robustos de 2048 bits con cadenas completas de certificados SHA-2.
  • Todos los datos del cliente (contenido de la base de datos y archivos almacenados) se cifran en reposo, tanto en producción como en las copias de seguridad (AES-128 o AES-256).

Defensa de la red

  • Todos los proveedores de centros de datos utilizados por la nube de Odoo tienen una gran capacidad de red y su infraestructura está diseñada para hacer frente a los peores ataques de denegación de servicio (DDOS, por sus siglas en inglés). Sus sistemas de atenuación automáticos y manuales pueden detectar y desviar el tráfico de ataque en el borde de sus redes multicontinentales, antes de que tenga la oportunidad de interrumpir la disponibilidad del servicio.
  • Los firewalls y sistemas de prevención de intrusiones en los servidores de Odoo Cloud ayudan a detectar y bloquear amenazas como ataques de fuerza bruta para descrifrar contraseñas.
  • Los administradores de la base de datos del cliente incluso tienen la opción de configurar el factor límite de tasa y duración de enfriamiento por varios intentos de acceso.
Para mas información, y con la seguridad de indicar que sus datos pueden estar realemne seguros con Odoo no dude en contactarnos.


Pascual Aquino
Gerente de Ventas.

7 puntos para tener en cuenta al encarar un proyecto de nuevo ERP para tu empresa.
Puntos a tener en cuenta al implementar un ERP