Hoja de datos HPE Security Fortify on Demand Seguridad de las aplicaciones como servicio Los 3 motivos más importantes por los que los clientes eligen FoD en lugar de otros productos similares en el mercado: • Flexibilidad de implementación • Facilidad de uso • Calidad y precisión de los resultados de análisis 1 Iniciación El cliente carga el software o proporciona la URL de la aplicación. HPE Security Fortify on Demand (FoD) ofrece seguridad de las aplicaciones como servicio, lo que proporciona a los clientes pruebas de seguridad, gestión de vulnerabilidades, experiencia y soporte necesarios para crear, complementar y ampliar un programa Software Security Assurance con facilidad. 3 2 Prueba HPE Security Fortify on Demand realiza una prueba de seguridad completa (dinámica o estática) de la Web o la aplicación móvil. Gestión de riesgo de las aplicaciones empresariales Un portal centralizado en línea permite que los clientes de Fortify on Demand puedan comenzar con rapidez y crear un programa Software Security Assurance completo a largo plazo. Los paneles de mando ofrecen visibilidad de toda la cartera de seguridad de las aplicaciones de una organización, gracias a lo cual pueden verse los riesgos del programa, abordar los problemas críticos de seguridad con antelación y dar prioridad a los esfuerzos de corrección en muchos equipos y aplicaciones. Entender el riesgo es un primer paso importante en cualquier iniciativa de seguridad de las aplicaciones. Las organizaciones deben tomar medidas para desarrollar la seguridad en distintos puntos a lo largo del ciclo de vida de la implementación del software. Fortify on Demand puede ayudar a desarrollar un programa que incluya una implementación Corrección El cliente revisa los resultados y corrige las vulnerabilidades con paneles de mando interactivos, informes detallados y un ecosistema de integraciones sólido. segura, pruebas de preproducción y supervisión de producción. Los programas maduros emplean “defensa a fondo” completa en todas estas áreas, pero los equipos de seguridad pueden comenzar en cualquier punto y crecer. Implementación segura Encontrar y resolver los problemas de seguridad durante el desarrollo resulta mucho más económico que después de implementar la aplicación. La integración del análisis estático durante la fase de desarrollo puede identificar rápidamente los errores de código y las omisiones, de modo que el desarrollador reciba inmediatamente la información correspondiente. Se puede añadir análisis de componentes de código abierto con solo un clic para evitar la inclusión de componentes vulnerables. Los resultados de análisis auditados que incluyen detalles sobre la línea de código y consejos de corrección permiten impulsar las mejores prácticas de codificación segura disponibles. Hoja de datos Página 2 Pruebas de preproducción Un análisis dinámico de la aplicación en ejecución en un control de calidad, prueba o entorno de preparación simula los ataques reales que utilizan los piratas informáticos. Fortify on Demand ofrece tres niveles de análisis dinámico rápido y completo, con el respaldo de un gran equipo formado por una élite de evaluadores de penetración de aplicaciones del sector. Creemos que para contar con un programa de seguridad de aplicaciones verdaderamente de auténtico éxito, debe haber componentes automatizados y manuales. Las soluciones de prueba de seguridad de las aplicaciones con automatización estricta pueden obviar problemas críticos, entre ellos la autenticación, el control de acceso, la validación de entrada, la gestión de sesiones, los servicios web y las vulnerabilidades de lógica empresarial, así como producir un número excesivo de falsos positivos. Para aquellos clientes que adquieren código de terceros, HPE Security Fortify on Demand ofrece un servicio de gestión de seguridad de proveedores fácil de usar que no requiere códigos fuente, permite que el proveedor pruebe las aplicaciones, resuelva problemas y publique un informe para el facilitador. Características y ventajas del servicio • Comience en un día • Los resultados de análisis más precisos y completos del mercado • Plataforma de gestión fácil de usar • Prestación flexible, in situ o bajo pedido • Interfaz de programación de aplicaciones (API) sólida • Soporte personalizado 24x7 • Ecosistema de integraciones listas para usar Supervisión de producción No se pueden corregir todas las vulnerabilidades para todas las aplicaciones antes de su lanzamiento. Los errores de configuración en los entornos de producción pueden introducir problemas que no aparecían en la etapa de preproducción. Surgen nuevas vulnerabilidades de día cero entre los ciclos de lanzamiento. Un régimen de producción y supervisión sólido incluye un análisis dinámico constante de las vulnerabilidades y cambios de perfil de riesgo, el descubrimiento de aplicaciones corruptas y la detección de eventos de seguridad en la aplicación durante el tiempo de ejecución. Fortify on Demand ofrece todas las actividades de supervisión de las aplicaciones en la producción desde un solo lugar integrado. Descripciones del servicio Evaluaciones estáticas de seguridad de las aplicaciones Las evaluaciones estáticas permiten que los desarrolladores identifiquen y eliminen las vulnerabilidades en los códigos fuente, binario o bytecode para desarrollar un software más seguro. Impulsada por HPE Security Fortify Static Code Analyzer (SCA), cada evaluación estática de Fortify on Demand también incluye una revisión por nuestros expertos en seguridad que elimina los falsos positivos y garantiza la calidad general a fin de que los equipos de desarrollo puedan maximizar los esfuerzos de corrección al principio del ciclo de vida del software. Fortify on Demand se adapta sin interrupciones en los procesos ágiles o DevOps existentes de los clientes, con IDE listo para usar, un servidor de desarrollo, integración continua e integraciones de seguimiento de errores. Características •Admite más de 23 lenguajes, que abarcan aplicaciones web y móviles •Análisis binario, de byte y fuente •Eliminación de falsos positivos •Tamaño de archivo ilimitado sin cargo adicional o cambio de plazo de entrega objetivo •Incluye análisis de componentes de código abierto (impulsado por Sonatype) •Plazo de entrega objetivo inferior a dos días Los lenguajes admitidos para las evaluaciones estáticas básicas son los siguientes: ABAP/BSP, ActionScript/ MXML (Flex), ASP.NET, VB.NET, C# (.NET), C/C++, Classic ASP (con VBScript), Java (con Android), COBOL, ColdFusion CFML, Microsoft® T-SQL, Swift, Objective C/C++, PL/SQL, JavaScript/AJAX, Classic ASP, JSP, PHP, Python, Ruby, VBScript, Visual Basic, XML y HTML. Evaluaciones dinámicas de seguridad de las aplicaciones web Las evaluaciones dinámicas simulan las técnicas de piratería informática reales y los ataques tanto con técnicas automatizadas como manuales para realizar un análisis integral de las aplicaciones y los servicios web complejos. Fortify on Demand, que cuenta con HPE Security Fortify WebInspect para el análisis dinámico automatizado, ofrece una experiencia de servicio completo dado que todos los análisis incluyen creación de macro para autenticación y una auditoría completa de los resultados realizada por nuestros expertos para eliminar los falsos positivos y garantizar la calidad general; un nivel de servicio que no recibirá de otros proveedores. Nuestras pruebas manuales se centran en los tipos de vulnerabilidades que explotan los piratas informáticos hábiles, por ejemplo, autenticación, control de acceso, validación de entrada, gestión de sesión y prueba de lógica empresarial. Basta con que proporcione una URL y nuestro equipo se encargará del resto. Hoja de datos Página 3 Tabla 1. Niveles de servicio de evaluación dinámica Tipo de evaluación Dinámica básica Dinámica estándar Dinámica premium Análisis WebInspect Sí Sí Sí Eliminación de falsos positivos Sí Sí Sí Análisis continuo de vulnerabilidades* Sí Sí Sí Análisis continuo de perfiles de riesgo* Sí Sí Sí Prueba manual - Sí Sí Prueba de lógica empresarial - - Sí Análisis estático de código - - Sí Defensa de aplicaciones* - - Sí Servicios web** - - 10 puntos finales Plazo de entrega objetivo < 3 días < 5 días < 7 días * Solo se incluye con suscripciones dinámicas. ** Se ofrecen evaluaciones de servicios web complementarias en depósitos de 30 puntos finales que pueden agregarse a cualquier nivel de prueba dinámica por un coste adicional. Supervisión continua de las aplicaciones La supervisión de las aplicaciones en la etapa de producción es un desafío cada vez más común para los equipos de seguridad. La supervisión continua de las aplicaciones combina descubrimiento de aplicaciones con análisis dinámico y continuo de vulnerabilidades, así como elaboración de perfiles de riesgo, en un servicio de suscripción que entrega visibilidad y conocimiento de los riesgos a los que se enfrenta toda la cartera de aplicaciones de los clientes. Los análisis de descubrimiento automatizados realizan una identificación mensual de nuevas aplicaciones orientadas al exterior y los resultados se presentan en una lista de calificación de riesgos con puntuaciones de confianza (hasta doce por año). Las aplicaciones confirmadas se inscriben a continuación en un análisis continuo de perfiles de riesgo y vulnerabilidades seguro para la producción (hasta cuatro análisis por mes). La supervisión continua de las aplicaciones sirve como un primer paso ideal en el lanzamiento de un programa Software Security Assurance y como complemento de las pruebas dinámicas y estáticas de las aplicaciones tras su implementación. Evaluaciones de seguridad de aplicaciones móviles Fortify on Demand ofrece una seguridad móvil extremo a extremo completa con pruebas de seguridad de aplicaciones móviles reales en los tres niveles del ecosistema móvil: el dispositivo del cliente, la red y los servicios web. De forma similar a la prueba dinámica de las aplicaciones web, las evaluaciones móviles de FoD emplean el binario compilado de la aplicación y las mismas técnicas que usan los piratas informáticos para explotar las vulnerabilidades de las aplicaciones móviles, con independencia de se hayan desarrollado internamente, se hayan subcontratado o sean adquiridas. Las evaluaciones de FoD ofrecen más que un simple análisis de reputación o comportamiento; ofrecen una auténtica prueba de seguridad para las empresas que se toman en serio la seguridad de sus aplicaciones móviles. Hoja de datos Página 4 Tabla 2. Niveles de servicio de evaluación móvil Tipo de evaluación Móvil estándar Móvil premium Plataforma iOS, Android iOS, Android, Windows® Análisis binario móvil Sí Sí Análisis de reputación y comportamiento Sí Sí Análisis WebInspect Sí Sí Eliminación de falsos positivos Sí Sí Prueba manual - Sí Prueba de lógica empresarial - Sí Análisis estático móvil - Sí Plazo de entrega objetivo < 2 días < 7 días Unidades de evaluación Los servicios de prueba de seguridad de las aplicaciones móviles, dinámicas y estáticas de HPE Security Fortify on Demand están disponibles al comprar unidades de evaluación. Las unidades de evaluación de HPE Security Fortify on Demand son créditos prepago que se canjean por evaluaciones simples o suscripciones a aplicaciones, lo que ofrece flexibilidad para asignar los recursos de su inversión durante todo el año. Las unidades de evaluación tienen una validez de 12 meses a partir de la fecha de vigencia de la orden de compra (OC) y se pueden canjear de forma individual. Tabla 3. Canje de las unidades de evaluación de HPE Security Fortify on Demand Tipo de evaluación Evaluación individual Suscripción a la aplicación Análisis dinámico básico o estático 2 unidades de evaluación 6 unidades de evaluación Dinámico o móvil estándar 4 unidades de evaluación 12 unidades de evaluación Dinámico o móvil premium 8 unidades de evaluación 25 unidades de evaluación Servicios web dinámicos 4 unidades de evaluación - Hoja de datos Página 5 Por cada solicitud de suscripción o evaluación individual, el cliente elige una combinación de un tipo de evaluación (dinámica, estática o móvil) y un nivel de servicio de evaluación. Los clientes que realizan una evaluación individual pueden solicitar un análisis de validación de corrección en el plazo de un mes desde la evaluación. Una suscripción de aplicación permite que se evalúe una aplicación una cantidad ilimitada de veces en un período de 12 meses a partir de la fecha de vigencia de la OC (independientemente de cuándo se canjeen las unidades de evaluación de HPE Security Fortify on Demand). Los clientes también pueden adquirir unidades de evaluación para varios años en una misma OC (dos o tres años). En el caso de compromisos para varios años, se adquiere una asignación anual fija y las asignaciones de cada año se emiten al cumplirse un nuevo año de la fecha de vigencia de la OC. La cobertura anual de las unidades de evaluación debe usarse en un plazo de 12 meses y no se transfieren a los años siguientes. Servicios operativos Hewlett Packard Enterprise ofrece servicios continuos de soporte e infraestructura que incluyen lo siguiente: Gestión de cuenta Todas las cuentas incluyen acceso a un equipo técnico de gestión de cuenta que ayuda a impulsar el éxito del programa de seguridad de las aplicaciones del cliente. El equipo se conecta con el cliente a través del Centro de ayuda y gestiona los problemas de contrato, las renovaciones, y las solicitudes de soporte técnico, al tiempo que coordina los recursos de HPE, que incluyen expertos en sistemas y procesos según sean necesarios para impulsar la adopción y el éxito del cliente. Atención al cliente Hewlett Packard Enterprise cuenta con un equipo de atención al cliente, que es el punto único de contacto para todos los problemas relacionados con la infraestructura y el soporte técnico de HPE FoD. Los clientes pueden ponerse en contacto con Hewlett Packard Enterprise mediante diversos métodos, como chat en el portal, incidencias de soporte técnico, teléfono o correo electrónico. La gravedad de la solicitud determina el tiempo de respuesta y de resolución. Para obtener información adicional, los clientes pueden visitar el Centro de ayuda en el portal HPE Security Fortify on Demand. Gestión de capacidad y rendimiento Se supervisan de forma proactiva la capacidad y el rendimiento de todos los niveles de la infraestructura SaaS. La arquitectura permite añadir capacidad a las aplicaciones, las bases de datos y el almacenamiento. Gestión del cambio HPE Security Fortify on Demand sigue un conjunto de metodologías y procedimientos estandarizados para el manejo eficiente y oportuno de los cambios en la infraestructura SaaS y las aplicaciones, lo que permite realizar cambios beneficiosos con una mínima interrupción del servicio. Actualizaciones y mantenimiento programados Hewlett Packard Enterprise lleva a cabo las actualizaciones y las revisiones binarias como parte del servicio cuando una versión actualizada está lista y se ha validado en el entorno del centro de datos. Estas pueden o no incluir características nuevas o mejoras. HPE determina cuándo y si es necesario desarrollar, lanzar y aplicar cualquier SaaS. Los clientes que requieren una actualización reciben una notificación mediante el servicio de mensajería del portal y los correos electrónicos de actualización de productos. Hoja de datos Página 6 Objetivo de nivel de servicio de disponibilidad HPE Security Fortify on Demand está diseñada para un objetivo de nivel de servicio de disponibilidad del 99,5 %, que comienza en la Fecha de puesta en funcionamiento (Go Live Date). La Fecha de puesta en funcionamiento es aquella en la que los usuarios finales del cliente pueden acceder al entorno de producción con los datos de producción. El objetivo de nivel de servicio de disponibilidad no se aplicará a los problemas de rendimiento ni a las siguientes excepciones: •Congestión general de Internet, reducción de velocidad o falta de disponibilidad •Falta de disponibilidad de servicios genéricos de Internet (p. ej., servidores DNS) debido a virus o ataques de piratas informáticos •Acontecimiento de fuerza mayor, como se describen en los términos de HPE SaaS •Acciones u omisiones del cliente (a menos que se realicen bajo expresa indicación de Hewlett Packard Enterprise) o de terceros más allá del control de HPE •Falta de disponibilidad provocada por el equipo del cliente o el hardware, software o infraestructura de red de terceros, que no se encuentran bajo el control exclusivo de HPE •Actualizaciones o mantenimiento programados Supuestos •El cliente debe contar con conectividad a Internet para acceder al portal de Fortify on Demand. •HPE FoD se ejecuta de forma remota y solo se presta en idioma inglés. •La fecha de inicio del servicio es aquella en la que se registra la OC del cliente en el sistema de gestión de pedidos de HPE. •La importación de datos del cliente a HPE FoD durante la implementación requiere que la información esté disponible para Hewlett Packard Enterprise en el paso adecuado de implementación de la solución y en el formato designado por HPE. •Una suscripción es válida para una aplicación y no se puede modificar durante el plazo de suscripción adquirido. Además, la prestación de HPE FoD se basa en el supuesto de que el cliente implementará y mantendrá los siguientes controles en el uso de HPE FoD: •Configuración del navegador del cliente y otros clientes para interactuar con HPE FoD •Configuración de los dispositivos de red del cliente para acceder a HPE FoD •Designación de usuarios autorizados •Configuración de una cuenta HPE FoD en la que las contraseñas de usuario final sean seguras y se gestionen correctamente •Realización de actividades de validación relacionadas con la implementación y la configuración de aplicaciones externas durante las fases de iniciación del servicio y continuas •Ejecución de procedimientos que permitan la aprobación, modificación y finalización del acceso Términos adicionales •Si bien Hewlett Packard Enterprise realiza una revisión de toda la información previa a la evaluación con la intención de determinar la posibilidad de ocurrencia de un impacto negativo en la red y las aplicaciones, el cliente reconoce que algunos de los servicios están diseñados para probar la seguridad del software del equipo y que el software o los servicios de prueba utilizados pueden revelar o causar problemas en el funcionamiento de los sistemas en evaluación. Las pruebas pueden ocasionar perturbaciones o daños a la información y a los sistemas de información del cliente o de su proveedor de servicios externo, que incluyen, entre otros, la denegación de acceso a un usuario legítimo del sistema, el cierre automático de los sistemas de información provocado por software o hardware de detección de intrusiones o errores del sistema de información. HPE hace todos los esfuerzos necesarios para ayudar a reducir al mínimo las perturbaciones en las aplicaciones o redes mientras lleva a cabo análisis automatizados, validaciones manuales o pruebas de penetración. El cliente acepta los riesgos de tal posibilidad y renuncia a todos los derechos, correcciones y acciones en contra de HPE. Asimismo, libera a HPE de toda responsabilidad que pudiera surgir de tales problemas. Hoja de datos Página 7 •El cliente es responsable de la limpieza de todos los datos y de la precisión de estos como parte de toda solicitud de evaluación. Hewlett Packard Enterprise no se responsabiliza por la precisión de los datos proporcionados por el cliente. •En el caso de las evaluaciones estáticas, una aplicación se define como una unidad de código que se puede implementar y que consta de un conjunto de archivos de instrucción de código fuente o bytecode que: ––puede prestar algunas o todas las funcionalidades de una aplicación empresarial; ––está escrita en la misma familia de tecnología ––está integrada en una sola plataforma ––no incluye ningún componente sin conexión directa ––puede configurarse para que se ejecute en un servidor de aplicación (p. ej., un archivo de Web Application Archive [WAR] o Enterprise Archive [EAR] para una aplicación de Java o una solución en Team Foundation Server para una aplicación .NET). •En el caso de las evaluaciones dinámicas, una aplicación se define como un nombre de dominio completo (FQDN) y tiene un solo sistema de gestión de autenticación. El cliente debe confirmar que la aplicación web y las credenciales de usuario operan correctamente antes de realizar la evaluación de seguridad. Además, todas las pruebas funcionales y de rendimiento deben haber finalizado en ese momento y el código de la aplicación se debe congelar por el tiempo que dure la prueba de seguridad acordada. Todas las cancelaciones o retrasos que superen las dos horas deben notificarse con 24 horas de antelación a la evaluación programada. Podrá pedirse al cliente que confirme la autorización para realizar una evaluación de seguridad de la aplicación. Hewlett Packard Enterprise no se responsabiliza por los daños económicos o técnicos que pudieran ocasionarse como resultado de la evaluación a la URL solicitada. Los clientes proporcionarán acceso al puerto 80/443 a todas las aplicaciones que los evaluadores remotos deben analizar. Si las aplicaciones son internas, se proporcionará acceso VPN al equipo de prueba de HPE FoD. ––Los inicios de sesión de usuarios no pueden estar conectados en cadena dentro de la aplicación ––Hasta un (1) inicio de sesión de usuario ––Debe ser el mismo nombre de dominio: ààHPE.com es un nombre de dominio. ààhpe.com/news es el mismo dominio que HPE.com. ààcommunity.hpe.com es un nombre de dominio diferente y se considera una aplicación diferente. ààhpe.it es un nombre de dominio diferente y se considera una aplicación diferente. àà En el caso de las evaluaciones de servicios web, se admiten la Transferencia de estado representacional (REST), el Protocolo simple de acceso a objetos (SOAP) y los servicios web independientes. ––Para REST, un punto final es una combinación de un identificador uniforme de recursos (URI) y un método HTTP. Todos los puntos finales en el depósito deben ser para el mismo FQDN. Por ejemplo, los siguientes son todos puntos finales para un único depósito: ààGET https: //api.hpe.com/api/v1/Accounts ààGET https: //api.hpe.com/api/v1/Accounts/ {AccountId} ààPUT https: //api.hpe.com/api/v1/Accounts/ {AccountId} ààGET https: //api.hpe.com//api/v2/orders/ {orderId}/items/{itemId} ààPOST https: //api.hpe.com//api/v2/orders/ {orderId}/items/{itemId} ––Para SOAP, un punto final es un método individual provisto por un servicio web. Todos los puntos finales en el depósito deben definirse en un único archivo de lenguaje de descripción de servicios web (WSDL) de SOAP. En el WSDL, el servicio se indica con la etiqueta <service> y el método con la etiqueta <operation>. ––Para los servicios web independientes, un punto final es la combinación de un URI con un WSDL asociado y un método. Todas las URI en el depósito deben ser para el mismo FQDN. En el WSDL, el método se indica con la etiqueta <operation>. àà Para las evaluaciones móviles, una aplicación es una aplicación individual instalable para una sola plataforma de hardware. Las aplicaciones móviles que se someten a prueba deben tener el formato de IPA compilado (iOS), un kit de Android Package (APK) (Android) o el código fuente, que debe poder compilarse correctamente antes de enviar la aplicación. Hoja de datos •Para el análisis móvil y estático, una aplicación debe cumplir con los requisitos mínimos de SCA de HPE Security Fortify para los lenguajes que se admiten actualmente. El cliente reconoce que tiene el derecho de adquirir servicios y productos de HPE por separado. Hewlett Packard Enterprise se reserva el derecho a cancelar esta hoja de datos en función de la fecha de caducidad del presupuesto que la acompaña o, de no especificarse, a los 45 días del envío de la presente hoja de datos. Esta hoja de datos se rige por los términos actuales de HPE para SaaS. Se puede solicitar una copia de los términos. Acerca de HPE Security Fortify HPE Security Fortify ofrece las tecnologías de prueba estática y dinámica de seguridad de aplicaciones más completas, junto con servicios de protección y supervisión de tiempo de ejecución, todo ello basado en la investigación en seguridad líder en el sector. Las soluciones se pueden implementar con recursos internos o como servicio para desarrollar un programa Software Security Assurance escalable y ágil que responda a las necesidades crecientes de las organizaciones de TI actuales. Obtenga más información en hpe.com/software/fod Regístrese y reciba las actualizaciones © Copyright 2012-2016 Hewlett Packard Enterprise Development LP. La información aquí contenida está sujeta a cambios sin previo aviso. Las únicas garantías de los productos y servicios de Hewlett Packard Enterprise figuran en las declaraciones expresas de garantía que se incluyen con los mismos. Nada de lo aquí expresado debe considerarse una garantía adicional. Hewlett Packard Enterprise no se hará responsable de los errores u omisiones que pudiera contener este documento. Microsoft y Windows son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Java es una marca registrada de Oracle y/o sus afiliadas. Las demás marcas comerciales de terceros son propiedad de sus respectivas empresas. 4AA4-0664ESE, septiembre de 2016, Rev. 4