Saltar al contenido principal

Ayuda Docebo

¿Cómo podemos ayudarle?

Notas técnicas y de seguridad de la aplicación Go.Learn

Última actualización
Docebo module
  • Mobile
Tiempo de lectura
Nivel de usuario
  • Administrators

Presentación

Para gestionar la aplicación móvil Go.Learn, debe tener en cuenta algunos requisitos técnicos y de seguridad. Este artículo ofrece algunas notas y respuestas a las preguntas más frecuentes sobre la seguridad en la aplicación Go.Learn.

Notas de seguridad para la aplicación

Redes

  • La transmisión de datos está asegurada mediante el protocolo HTTPS. Al utilizar una solución ECS estándar, el certificado es emitido por Go Daddy Secure Certificate Authority (se abre en una nueva pestaña) y utiliza la criptografía RSA de 2048 bits junto con el hash SHA-256 para la firma de datos. Los usuarios pueden usar sus propios certificados en el caso de los dominios con nombres personalizados. Go.Learn no admite el protocolo HTTP para los dominios personalizados.

Almacenamiento de datos

  • La información de acceso a la aplicación se guarda en el keychain en modo seguro, y solo es accesible desde la aplicación.
  • Las contraseñas nunca se guardan localmente.
  • La función de inicio de sesión sin conexión utiliza funciones de hash para permitir el acceso.
  • Los cursos, materiales de formación y datos de los activos descargados para reproducir el contenido en modo sin conexión se almacenan de forma segura dentro del almacenamiento aislado. Estos datos no se guardan en la memoria SD. Tenga en cuenta que no puede acceder a este contenido mediante otra aplicación.

SSO

  • Los tokens de SSO nunca se guardan dentro del contexto de la aplicación GoLearn. Los tokens de SSO se convierten inmediatamente en claves de acceso HTTPS, que luego se destruyen y eliminan de la memoria del dispositivo.

Permisos de Go.Learn

Preguntas y respuestas sobre seguridad

Esta sección es una recopilación de las preguntas más frecuentes sobre seguridad en la aplicación Go.Learn. En caso de que su responsable de seguridad de la información necesite documentación más detallada, usted, como Superadministrador, puede contactar con su representante de Docebo o comunicarse con Docebo a través del Centro de ayuda de su plataforma.

Información general

¿Qué lenguaje de programación y/o framework se utilizó para crear la aplicación?

La aplicación está escrita con el lenguaje JavaScript y el framework React Native.

La aplicación depende de muchas bibliotecas externas de terceros, pero estas no están actualizadas a la versión más reciente. ¿Por qué?

En cuanto a las actualizaciones de las bibliotecas, es una operación que está parcialmente fuera del control de Docebo. En el contexto de las aplicaciones React Native, no puede controlar directamente las dependencias de una aplicación, sino tan solo elegir los paquetes que desea añadir a su aplicación a través de RNPM (React Native Package Manager). Después, el administrador de paquetes decide qué bibliotecas (y versiones) se incluirán en la aplicación según los paquetes que use, de manera que se eviten conflictos.

¿La aplicación está protegida por alguna técnica para prevenir la manipulación del código?

Sí, la aplicación Android está protegida por ProGuard, mientras que la aplicación iOS está protegida implícitamente por su entorno.

¿La aplicación implementa controles para prevenir el acceso no autorizado a recursos de pago (cartera, SMS, llamadas telefónicas, etc.)?

La aplicación no accede a ninguno de estos servicios, por lo que ni siquiera solicita los permisos necesarios para acceder a dichos recursos.

¿Cómo funcionan las prácticas de manejo de datos? ¿Qué datos pueden recopilarse a través de la aplicación y cómo pueden ser utilizados?

La aplicación móvil de Docebo es una parte integral de la solución de la plataforma Docebo, y como tal cumple con las prácticas descritas en el Anexo sobre procesos de datos de Docebo (se abre en una nueva pestaña)

La responsabilidad de proporcionar toda la información relacionada con la privacidad a los usuarios finales recae en los clientes de Docebo Learn que sean Controladores de datos en relación con los datos recopilados de los usuarios finales de la plataforma Docebo (Titulares de los datos). La Política de privacidad puede ser definida en la plataforma por los administradores, y Docebo actúa siempre como Procesador de datos.

Autenticación de usuarios

¿Se requiere la autenticación de los usuarios?

Sí, por supuesto.

¿Cómo se autentica el usuario?

Se requieren un nombre de usuario y contraseña, o como alternativa, se admite el inicio de sesión único (SSO).

¿Se almacenan contraseñas en el cliente?

No, absolutamente no. Incluso en el caso del inicio de sesión sin conexión, la aplicación guarda el SHA256 irreversible de la contraseña.

¿La clave de cifrado se deriva, aunque sea de forma segura, de las credenciales de inicio de sesión del usuario?

No, absolutamente no.

¿La aplicación almacena credenciales de usuarios? De ser así, ¿cómo se almacenan? ¿Cómo almacena la aplicación las claves de sesión, contraseñas, datos de inscripción del dispositivo, etc.?

La aplicación nunca guarda contraseñas localmente. Todos los demás datos sensibles se almacenan en el keychain del sistema.

¿Qué podría hacer un atacante si obtiene las credenciales del usuario?

Un atacante podría usar la clave de acceso para hacer llamadas a la API, iniciar sesión en la plataforma, descargar material de formación y realizar cursos.