Control total sobre la seguridad de los datos

Ofrecemos una amplia gama de herramientas y servicios de seguridad, que garantizan la seguridad de tus datos en todo momento. Hospeda soluciones in situ, cifra documentos y datos, personaliza los ajustes de acceso, conecta servicios de autenticación y administra los derechos de acceso para protegerte de accesos no autorizados, fugas de datos y acciones internas.
¿Quieres conocer más a fondo en qué consisten nuestras soluciones?

Visítanos en GitHub

Cumplimiento de la normativa de protección de datos

Cumplimiento del RGDP

El Reglamento General de Protección de Datos (RGDP) se adoptó para proteger a los usuarios finales de software, regulando la forma en que las empresas gestionan tus datos al trabajar con residentes de la UE. Respetamos el derecho de nuestros usuarios a poseer y controlar sus datos personales y creamos productos que respetan totalmente las leyes europeas.

Por lo tanto, ONLYOFFICE se adhiere al minimalismo de los datos e informamos a los usuarios sobre cómo se recopilan, almacenan y procesan sus datos. ONLYOFFICE da libertad para acceder, copiar, eliminar, restringir o mover cualquier dato personal. Si tu organización actúa como responsable del tratamiento de datos y ofrece ONLYOFFICE a clientes finales, tú tienes acceso completo a los procedimientos a través de los que ellos pueden ejecutar sus derechos legales relacionados con sus datos personales.

Lee más sobre el cumplimiento del RGDP de ONLYOFFICE

Cumplimiento de la HIPAA

La Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA, por sus siglas en inglés) requiere que cualquier organización que proporcione tratamiento, pago y operaciones en atención sanitaria, así como sus socios comerciales y subcontratistas que tengan acceso a cualquiera de sus activos de datos, protejan los datos confidenciales de los pacientes de acuerdo con un conjunto de normas reconocidas. ONLYOFFICE protege el bot de datos estructurados y no estructurados en reposo y en tránsito, brinda acceso a la auditoría de datos, proporciona controles de integridad de los datos, etc., para ofrecer los atributos obligatorios definidos por la HIPAA y garantizar que la empresa del cliente cumpla plenamente con la Ley.

Lee más sobre el cumplimiento de la HIPAA en ONLYOFFICE

Self-hosting

ONLYOFFICE ha sido diseñado para empresas que realizan comunicaciones y registros confidenciales que, si se viesen comprometidos, podrían poner en peligro a los clientes y las operaciones internas. Nuestra gama de soluciones mantiene tus servicios y todos los datos asignados completamente dentro de tu perímetro físico. Ponemos la protección del hardware en tus propias manos, lo que te permite mantener manualmente la estabilidad y la conectividad según las demandas de tu negocio.

Ofrecemos soporte técnico integral para la implementación local y publicamos actualizaciones de software periódicas.

Cifrado de datos

Cifrado en reposo

La violación de datos en reposo es uno de los principales riesgos de seguridad digital a los que se enfrentan las empresas que trabajan con datos confidenciales dentro de sus infraestructuras. Para proteger los datos de tu empresa y tus usuarios, puedes realizar el tipo de cifrado Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) de todo el cuerpo de datos dentro de la instancia de ONLYOFFICE. El tipo de cifrado AES-256 con el algoritmo simétrico CipherMode.CBC se utiliza para cifrar los datos en el portal, mientras que la función hash SHA256 combinada con la detección de los códigos de autenticación de mensajes HMAC verifica la integridad y autenticidad de los datos cifrados.

Lee más sobre el cifrado de datos en reposo en ONLYOFFICE

Cifrado de extremo a extremo

ONLYOFFICE Enterprise ofrece protección adicional para archivos confidenciales con las salas privadas. Es un espacio donde puedes almacenar, editar y compartir documentos que permanecen encriptados en todo momento. Todos los documentos se encriptan automáticamente con claves AES-256 generadas aleatoriamente que se comparten con usuarios autorizados mediante encriptación asimétrica. Los archivos que se crean, almacenan y comparten dentro de una sala privada nunca salen del directorio y no se pueden copiar, redistribuir ni descifrar. El cifrado y descifrado de documentos se realiza estrictamente en el dispositivo del usuario de extremo a extremo.

Lee más sobre las Salas privadas

Protección de datos

JWT

JSON Web Token (o JWT) protege los documentos de accesos no autorizados. Esta tecnología protege el tráfico del portal y asegura que los usuarios no puedan acceder a más datos de los permitidos, lo cual es crítico si se envía una invitación a un usuario externo.

Los editores de ONLYOFFICE solicitan una firma encriptada que está incluida en el token. El token se añade en la configuración cuando se inicializa Document Editor y durante el intercambio de comandos entre servicios internos (servicio de almacenamiento, servicio de edición, servicio de comando y servicio de conversión), validando así el derecho a realizar una operación determinada con los datos.

HTTPS

ONLYOFFICE te permite encriptar tu tráfico usando el protocolo HTTPS, tanto si tienes un certificado SSL como si no. Sube las claves públicas existentes generadas en tu servidor o en su base, o emite el nuevo certificado firmado por una autoridad de certificación (CA) en letsencrypt.org.

Lee más sobre el uso de HTTPS en ONLYOFFICE

Gestión de permisos del documento

Los editores de ONLYOFFICE trabajan en el cliente y transfieren la mayor parte de la carga de datos al navegador del usuario. Este enfoque permite crear una variedad flexible de tipos de permisos de documentos que no solo incluyen permisos de acceso completo y de solo lectura, sino también permisos exclusivamente para comentar, revisar o rellenar formularios. Además, es posible restringir la descarga, la impresión y la copia de documentos para bloquear la distribución de contenidos. También puedes impedir que otros usuarios cambien la configuración de uso compartido. Además, puedes establecer límites de tiempo y contraseñas para los documentos y carpetas compartidos externamente.

Protección de hojas de cálculo

Protege el acceso a los datos de tus hojas de cálculo y restringe selectivamente la edición de sus elementos:

Cifra tus hojas de cálculo para proteger todos los datos y compartirlos de forma segura con otros usuarios.

Protege un libro de trabajo o impide que se realicen acciones seleccionadas en una hoja para mantener su contenido y estructura a salvo.

Permitie la edición de rangos específicos en un libro u hoja de trabajo protegidos.

Oculta las fórmulas para que no las vean otros usuarios.

Bloquea elementos de una hoja de cálculo: celdas, textos y formas.

Más información sobre la protección de las hojas de cálculo en ONLYOFFICE

Marcas de agua

Puedes aplicar marcas de agua que contengan información sobre el documento y el autor para proteger los derechos del contenido cuando se distribuyan los documentos.

Autenticación y control de acceso al portal

Autenticación de dos factores

En la era del fraude electrónico y la ingeniería social, todos somos vulnerables. Protege el procedimiento de inicio de sesión de tu portal con códigos de acceso dinámicos que se envían a través de un mensaje de texto a un teléfono móvil. Se puede acceder fácilmente a los datos clasificados almacenados en tu nube o en las instalaciones del servidor si tus usuarios hacen un mal uso de las contraseñas personales. No te arriesgues.

Hemos integrado los servicios Clickatell, SMSC y Twilio, que te permiten elegir el paquete SMS adecuado para cualquier equipo y presupuesto.

Además, es posible habilitar la autenticación de dos factores a través de la app de generación de códigos (Google Authenticator, Authy, etc.).

Lee más sobre cómo utilizar la autenticación de dos factores en ONLYOFFICE

Autenticación SSO (Single Sign-On)

Si optas por la autenticación SSO en lugar de la autenticación clásica, no nos permitirás almacenar tus datos de inicio de sesión, sino que se los confiarás a uno de los servicios de autenticación globales de confianza. ONLYOFFICE es el proveedor de servicios (SP) y la aplicación de terceros actúa como proveedor de identidad (IdP). Los proveedores verifican la autenticación del usuario y conservan discretamente las credenciales, lo que minimiza el riesgo de que se produzca un acceso no autorizado a estos datos.

Actualmente, tenemos tres IdP integrados con ONLYOFFICE para realizar la función de Single Sign-On (SSO): Shibboleth, OneLogin y AD FS.

Lee más sobre cómo funciona la autenticación SSO en ONLYOFFICE

Gestión de derechos de acceso

La amenaza de que tenga lugar una acción interna malintencionada aumenta con el tamaño de la empresa y la variedad de clasificación de datos, por lo que surge la necesidad de diferenciar los derechos.

Los usuarios de tu portal privado pueden agruparse y jerarquizarse fácilmente. Asigna derechos de acceso a los módulos y los datos del portal para cada usuario o grupo para proteger datos específicos de acciones internas no deseadas.

Lee más sobre la gestión de los derechos de acceso

Supervisión y filtrado de la autenticación

La configuración personalizada de los criterios de inicio de sesión permite gestionar marcos específicos para la autenticación en función de los conocimientos e intereses de cada usuario. Además, todas las actividades se pueden monitorear y denunciar manualmente para detectar comportamientos potencialmente fraudulentos o dañinos.

Dominios de correo fiables. Esta opción te permite seleccionar manualmente los servidores de correo a los que deben pertenecer los correos electrónicos de registro. También se admiten dominios de correo personalizados.

Criterios de creación de contraseñas. Aquí puedes establecer la longitud mínima y máxima de la contraseña y determinar si debe contener determinados tipos de caracteres: mayúsculas, cifras o símbolos especiales.

Duración de cookies. Si esta opción está activada, se realizará un cierre de sesión automático tras el periodo de tiempo indicado.

Restricción de IP. Esta configuración permite a los usuarios y administradores acceder al portal solo mediante las IP seleccionadas.

Configuración de inicio de sesión. Establece un límite de intentos fallidos de iniciar sesión para proteger tu portal de ataques de fuerza bruta.

Historial de inicios de sesión. Con el historial de inicios de sesión, puedes consultar el historial completo de intentos de inicio de sesión y cierres de sesión satisfactorios y con errores.

Los informes de seguimiento de auditoría controlan qué acciones ha realizado cada usuario del portal y cuándo las ha realizado.

Copia de seguridad

El servicio de backup remoto reduce los costes de mantenimiento y permite ahorrar un montón de tiempo, mediante la automatización de los procedimientos de seguridad. Puedes realizar una copia de seguridad de tus datos de forma manual y automática en el módulo Documentos de ONLYOFFICE, en un servicio de almacenamiento de tu elección (DropBox, Box, Google Drive, OneDrive, etc.) o en un servicio de terceros (AWS S3, Google Cloud Storage, Rackspace Cloud Storage o Selectel Cloud Storage). Se ofrece una unidad local propia como opción para hacer una copia de seguridad manual temporal, si fuese necesario. Lee más sobre la copia de seguridad de los datos en ONLYOFFICE

Programa de recompensas por errores de ONLYOFFICE

Queremos que nuestros productos sean tan fiables y seguros como sea posible, y aquí es donde la ayuda de talentos externos puede potenciar nuestros propios esfuerzos de pruebas internas. Todo el mundo, desde los hackers éticos profesionales hasta los aspirantes a entusiastas en el ámbito de la seguridad, puede participar en nuestro programa de recompensas por errores en HackerOne para encontrar e informar de las vulnerabilidades y recibir una compensación justa.

Más información sobre su funcionamiento en nuestro blog.

Más información sobre las medidas de seguridad de ONLYOFFICE

Papeles blancos

Los componentes y funcionamiento del cifrado de documentos de extremo a extremo en ONLYOFFICE Workspace

Más información

Blog

Qué es JWT y cómo esta tecnología protege tus documentos

Más información

Guías

Seguridad reforzada. Controla el acceso a tu portal y supervisa la actividad de todos los usuarios.

Más información

Preguntas frecuentes

¿Tiene ONLYOFFICE acceso a la información sobre las operaciones con archivos y datos?
No, tal información no se comparte con ONLYOFFICE a menos que se proporcione acceso exclusivo a nuestro equipo de servicios. Como propietario o administrador de ONLYOFFICE Workspace, puedes acceder al registro de auditoría en la configuración de seguridad y obtener información sobre las acciones del usuario.
¿Existe una característica de cifrado de datos del lado del servidor? ¿Cómo funciona?
Puedes habilitar el cifrado en reposo en la versión de servidor de ONLYOFFICE Workspace. Esta acción protege tus datos de posibles intrusos, incluso si consiguen acceder a tu máquina. El cifrado se basa en el método Encrypt-then-MAC y cifra todo el cuerpo de datos dentro de la instancia de ONLYOFFICE Workspace y cumple con el estándar internacional de cifrado de datos AES-256.
¿Qué opciones de protección de contenido ofrece ONLYOFFICE?
Puedes cifrar los documentos usando un simple cifrado con contraseña que también te permitirá gestionar el acceso a diferentes acciones en los documentos, como comentar, revisar y rellenar formularios. Es posible restringir la copia, descarga e impresión de los archivos, así como aplicar marcas de agua. También puedes cifrar las hojas de cálculo y aplicar configuraciones adicionales para proteger hojas separadas, bloquear elementos de la hoja de cálculo y ocultar fórmulas. En las Salas Privadas, puedes cifrar los documentos de texto de extremo a extremo con los métodos de cifrado más potentes y trabajar en ellos de forma colaborativa y cifrada.
¿Qué roles de usuario soporta ONLYOFFICE Workspace y qué permisos tienen?
Existen los siguientes tipos de roles de usuario: Invitado, Usuario, Administrador y Propietario. Los propietarios tienen acceso completo a todas las características y configuraciones de ONLYOFFICE Workspace. Los administradores del módulo tienen acceso a la configuración del módulo seleccionado y pueden moderar el contenido del módulo, mientras que los administradores con acceso completo también pueden gestionar la configuración general del Workspace. En el módulo Proyectos, también puedes asignar administradores de proyectos que pueden gestionar el proyecto actual y sus miembros, cambiar la configuración y moderar varios elementos en un proyecto.
¿Existen opciones de auditoría en ONLYOFFICE Workspace? ¿Qué información se incluye en el registro de acceso?
Hay una característica llamada Registro de auditoría en ONLYOFFICE Workspace. Incluye los detalles sobre IP, navegador, plataforma, fecha, usuario, página, tipo de acción, producto y módulo. Puedes buscar, ordenar y filtrar elementos en el registro de auditoría.
¿Hay copia de seguridad automática en ONLYOFFICE?
Hay opciones de copia de seguridad automática en ONLYOFFICE Workspace. Puedes elegir la ubicación de la copia, establecer su fecha y hora y definir el número de copias de seguridad que se almacenarán.
¿La instancia de ONLYOFFICE Docs almacena datos de usuarios?
ONLYOFFICE Docs procesa la edición y conversión de documentos, pero no almacena ningunos datos de documentos o usuarios.
¿Qué características de seguridad soporta la API de ONLYOFFICE?
La API de ONLYOFFICE Workspace (plataforma de colaboración) proporciona métodos para gestionar conexiones activas, datos de registro de auditoría, historial de inicio de sesión, autenticación y 2FA, restricciones de IP, LDAP, SSO y configuración de seguridad para el Workspace y sus módulos. También se puede obtener acceso parcial a la funcionalidad de las Salas Privadas a través de la API. La API de ONLYOFFICE Docs proporciona métodos para configurar JWT, utilizar marcas de agua, habilitar permisos básicos y avanzados de documentos.
¿Cómo autentica ONLYOFFICE cada solicitud? ¿Cómo se soporta la autenticación de solicitudes en la API?
ONLYOFFICE autentica las solicitudes POST usando tokens de seguridad. Puedes encontrar toda la información sobre cómo funcionan las solicitudes en la documentación de nuestra API.