Frequently Asked Question
A continuación se explican los aspectos de seguridad que se han considerado en el diseño y funcionamiento de la aplicación web de LibreDTE. Esto es válido sólo para la Versión Oficial en www.libredte.cl, ya que otras instancias de LibreDTE podrían no considerar estos puntos.
¿Quieres conocer el estado actual y uptime de nuestros servicios? Revisa nuestro monitor.
HTTPS
Cualquier aplicación que transfiera datos sensibles por una red debe funcionar sobre HTTPS. Es el nivel mínimo de seguridad que se debe proveer. Contamos con seguridad desde nuestros usuarios hasta nuestros servidores.
Encriptación datos sensibles en base de datos
Sabemos que existen datos más sensibles que otros, es por esto que la siguiente información se guarda encriptada en nuestra base de datos:
- Contraseña de firma electrónica
- XML de archivos de folios para timbraje (aka: CAF)
- Contraseña correo de contacto con SII
- Contraseña correo de intercambio entre contribuyentes
- Credenciales de API de la empresa
De esta forma, si alguien tuviese acceso la base de datos, no podría acceder a estos datos sin la correspondiente contraseña de encriptación. Dicha contraseña no está en la base de datos, sino fuera de ella en el sistema de archivos de la máquina. Con esto se dificulta el trabajo a un atacante, ya que para acceder a los datos debería poder acceder a la base de datos y al sistema de archivos, lo cual es menos probable.
Autenticación secundaria
¿Qué pasa si alguien descubre tu contraseña? En principio, podría acceder a tu cuenta de usuario. Disponemos de mecanismos de autenticación secundaria con los que podrás evitar que alguien acceda a tu cuenta a pesar de tener tu contraseña.
Tenemos 2 mecanismos, ambos funcionan de manera súper simple con una aplicación en tu equipo móvil. Si tienes cualquiera de estos mecanismos activos en LibreDTE, aunque tengan la contraseña de tu cuenta, no podrán acceder.
Para habilitar alguno de estos mecanismos descargar la aplicación correspondiente y configurar en el perfil del usuario.
Adicionalmente, los contribuyentes pueden forzar a que los usuarios usen algún mecanismo de autenticación secundaria para poder seleccionar la empresa para operar. De esta forma, se aseguran que a pesar de que el usuario pueda tener una contraseña débil sea difícil acceder.
2FA
2FA (Two-factor authentication) funciona con un token de acceso. Este token es generado aleatoriamente cada cierto tiempo y debe ser ingresado, además de la contraseña, para poder acceder a la cuenta.
Para poder usar 2FA se requiere una aplicación compatible, por ejemplo Authy.
Latch
Latch funciona como un "candado". Debes desbloquear la aplicación en Latch antes de poder ingresar a LibreDTE.
Respaldos
En LibreDTE hay 2 cosas muy importantes nuestra aplicación y nuestra base de datos. Ambas deben contar con mecanismos de respaldo.
- Aplicación web: se respalda una vez al día guardando una copia del sistema de archivos.
- Base de datos:
- Replicada en una zona secundaria, geográficamente diferente a la principal.
- Respaldo diario de la base de datos. Se guardan últimos 7 días.
Importante: recomendamos a los usuarios que realicen sus propios respaldos. Frente al SII ellos son los responsables finales de contar con dichos datos. Para esto proveemos dos modalidades de respaldos:
- Bajo demanda: utilizando el exportador de datos.
- Automáticos en la nube: pudiendo exportar a diario y de forma automática sus datos al servicio.
Es muy importante que el contribuyente realice éstos respaldos.
Infraestructura
Versión Oficial
La Versión Oficial en www.libredte.cl se encuentra en Amazon Web Services (AWS), en una región de Estados Unidos.
Es una configuración de Amazon Elastic Compute Cloud (AWS EC2) con instancias exclusivas para la Aplicación Web que ofrece LibreDTE.
No compartimos hosting, ni tampoco la instancia con otros usuarios o aplicaciones. Esto nos permite reducir los riegos que otros puedan introducir.
La configuración cuenta con un balanceador de carga en 2 zonas de la región. El cual provee una protección extra a la aplicación web, al no estar directamente expuesta a Internet.
LibreDTE API
Para la plataforma api.libredte.cl usamos AWS Elastic Beanstalk la cual provee una solución "llegar y usar" que cuenta con:
- Múltiples instancias para la aplicación.
- Autoescalamiento.
- Balanceador de carga.
- Base de datos replicada.
Cloudflare
Los DNS de LibreDTE utilizan Cloudflare. En el caso de los servicios hospedados en AWS sólo se usa como DNS, ya que usamos los balanceados de carga de AWS para no exponer las máquinas reales.
En otros dominios de LibreDTE se utiliza Cloudflare para, principalmente, dos funciones:
- Caché: nos permite mejorar los tiempos de respuestas con un servidor en Valparaíso.
- DDOS: protección y mitigación frente a ataques de denegación de servicio.
Adicionalmente, el servicio permite proteger la identidad real de nuestros servidores expuestos a Internet con nuestro proveedor secundario de Infraestructura.