RGPD: Protección y seguridad de los datos de usuario
Describe cómo puedes usar las funciones de Auth0 para proteger y resguardar los datos personales de los usuarios.
De acuerdo con el artículo 32 del RGPD, debes implementar medidas de seguridad adecuadas para garantizar un nivel de seguridad acorde con el riesgo, incluidas, entre otras, las siguientes:
El cifrado de los datos personales
La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento
La capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico
Auth0 ofrece varias funciones que pueden ayudarte a conseguirlo, como el cifrado del perfil de usuario, la , la , la autenticación reforzada y más.
El contenido de estos documentos no pretende ser asesoramiento jurídico ni debe considerarse un sustituto de la asistencia legal. La responsabilidad final de comprender y cumplir el RGPD recae en ti, aunque Auth0 te ayudará a cumplir los requisitos del RGPD siempre que sea posible.
Puede cifrar la información del usuario antes de guardarla en su perfil. Puede usar cualquier mecanismo de cifrado que prefiera antes de almacenar datos en los campos de metadatos. Cuando un usuario establezca información confidencial, llame al endpoint Update a User.
Habilitar la protección contra ataques de fuerza bruta
La protección contra ataques de fuerza bruta de Auth0 está habilitada de forma predeterminada para impedir intentos maliciosos de acceder a su aplicación.Hay dos tipos de activadores para esta protección:
10 intentos fallidos consecutivos de inicio de sesión para el mismo usuario y desde la misma dirección IP
100 intentos fallidos de inicio de sesión desde la misma dirección IP en 24 horas o 50 intentos de registro por minuto desde la misma dirección IP
Por ejemplo, si un usuario con user_id1 inicia sesión desde IP1 y falla 10 veces consecutivas, su intento de inicio de sesión desde esta IP1 se bloqueará. Otro usuario, user_id2, que inicie sesión desde IP1, no se bloqueará.Cada vez que Auth0 detecta 10 intentos fallidos de inicio de sesión en una sola cuenta desde la misma IP, hará lo siguiente:
Enviará un correo electrónico de notificación al usuario.
Bloqueará la dirección IP sospechosa para ese usuario.
Cada vez que Auth0 detecta 100 intentos fallidos de inicio de sesión en 24 horas o 50 intentos de registro desde la misma dirección IP, hará lo siguiente:
Notificará a los administradores del Dashboard.
Bloqueará las direcciones sospechosas durante 15 minutos.
Puede habilitar la protección contra ataques de fuerza bruta, configurar las acciones que desea realizar y personalizar el correo electrónico de cuenta bloqueada desde el Dashboard.
Habilitar la detección de contraseñas comprometidas
La protección de detección de contraseñas comprometidas le ayuda a identificar credenciales de usuario que podrían haberse visto comprometidas en una filtración pública de datos.Auth0 hace un seguimiento de las grandes brechas de seguridad que se producen en sitios importantes de terceros. Si las credenciales de uno de sus usuarios se incluyeron en una brecha de seguridad pública, puede tomar medidas y:
Enviar un correo electrónico al usuario afectado
Enviar un correo electrónico a los propietarios del Dashboard de inmediato y/o recibir un resumen diario, semanal o mensual
Bloquear los intentos de inicio de sesión de cuentas de usuario sospechosas que utilicen esa combinación de username y contraseña. Este bloqueo se mantiene hasta que el usuario cambie su contraseña
Puede habilitar la detección de contraseñas comprometidas y configurar qué acciones desea realizar desde el Dashboard.
Refuerza tu seguridad con autenticación multifactor
Con la (MFA), puedes añadir una capa adicional de seguridad a tus aplicaciones. Es un método para verificar la identidad de un usuario pidiéndole más de un elemento de identificación.Admitimos MFA mediante notificaciones push, SMS, servicios de autenticación con contraseñas de un solo uso y proveedores personalizados. Puedes habilitar MFA para usuarios específicos o para acciones concretas (por ejemplo, pantallas de acceso con datos confidenciales). También puedes definir las condiciones que desencadenarán desafíos de autenticación adicionales, como cambios en la ubicación geográfica o inicios de sesión desde dispositivos no reconocidos.
Puede personalizar el nivel de complejidad de las contraseñas para los nuevos registros. Por ejemplo, puede exigir una contraseña que tenga al menos 10 caracteres e incluya al menos una letra mayúscula, un número y un carácter especial.También puede impedir el uso de contraseñas anteriores con nuestra función Password History y evitar que los usuarios elijan contraseñas comunes con nuestro Password Dictionary. Las tres funciones se pueden configurar desde el Dashboard.
Con la autenticación reforzada, las aplicaciones pueden pedir a los usuarios que se autentiquen con un mecanismo de autenticación más sólido para acceder a recursos sensibles. Por ejemplo, puede tener una aplicación bancaria que no requiera autenticación multifactor (MFA) para ver la información básica de la cuenta, pero cuando los usuarios intenten transferir dinero entre cuentas, deberán autenticarse con un factor adicional (por ejemplo, un código enviado por SMS).Puede comprobar si un usuario ha iniciado sesión con MFA revisando el contenido de su o . A continuación, puede configurar su aplicación para denegar el acceso a recursos sensibles si el token indica que el usuario no inició sesión con MFA.
Auth0 está diseñado y desarrollado como un servicio en la nube escalable, de alta disponibilidad y para múltiples inquilinos. Es altamente resiliente ante fallas en cualquiera de sus componentes porque implementa componentes redundantes en todos los niveles. También detecta las fallas rápidamente y su conmutación por error es muy rápida.Para obtener más información sobre la arquitectura de Auth0, consulte Availability & Trust.
Autenticar
Administrar usuarios
Personalizar
Auth0 AI
Plataforma