Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Modelo de seguridad

Mantenido por: Aether365 Team Audiencia: Equipos de seguridad y administradores de TI Alcance: Aislamiento de tenants, protección de datos y modelo de permisos

Esta página describe cómo Aether365 protege tus datos, a qué tiene acceso en tu entorno de Microsoft 365 y las decisiones arquitectónicas tomadas para mantener seguros los datos de tu tenant.

Autenticación y acceso

Cómo accede Aether365 a tu tenant

Aether365 accede a tu tenant de Microsoft 365 como una aplicación multi-tenant registrada en Microsoft Entra ID. Cuando otorgas el admin consent, se crea un service principal en tu tenant. Aether365 se autentica entonces utilizando sus propias credenciales de aplicación (client ID y client secret), no con credenciales de cuentas de usuario.

Esto significa:

  • No se almacenan contraseñas de usuario
  • No se otorgan permisos delegados
  • El acceso es únicamente a nivel de aplicación, no vinculado a ningún usuario individual
  • Puedes revocar el acceso en cualquier momento eliminando el service principal de tu tenant

Permisos de solo lectura

Todos los permisos de Microsoft Graph otorgados a Aether365 son de solo lectura a nivel de aplicación. La lista completa está disponible en aether365.io/security#permissions.

Aether365 nunca solicita permisos de escritura. La pantalla de consent de Microsoft mostrará únicamente permisos de tipo lectura.

Revocar el acceso

Para revocar el acceso de Aether365 a tu tenant:

  1. Abre Settings > Connections en el dashboard de Aether365
  2. Haz clic en Disconnect junto al tenant
  3. Alternativamente, en el centro de administración de Microsoft Entra, navega a Enterprise Applications y elimina el service principal de Aether365

Al desconectar se elimina la conexión de Aether365 y se detienen los análisis futuros. Los datos de análisis recopilados anteriormente se conservan según la política de retención estándar.

Protección de datos

Cifrado

CapaMétodo
Datos en tránsitoTLS 1.2+ (HTTPS en todas las comunicaciones)
Datos en reposoCifrado AES-256 en reposo
Archivos de resultados de análisisAES-256 server-side encryption
Secretos (credenciales de la API)Almacén de secretos cifrado (cifrado de sobre)

Qué datos se almacenan

Aether365 almacena:

  • Instantáneas de configuración - Los valores leídos de Microsoft Graph durante cada análisis. Son los valores de configuración en bruto utilizados para evaluar cada comprobación.
  • Resultados de los análisis - Estado de aprobado, fallido u omitido para cada comprobación, además de los valores reales y esperados para las comprobaciones fallidas.
  • Metadatos del tenant - El ID de Microsoft Tenant de tu tenant, el correo electrónico de tu cuenta, el nivel de plan y las marcas de tiempo de conexión.
  • Configuración de notificaciones - Direcciones de correo electrónico y URLs de webhook de Teams que hayas configurado.

Aether365 no almacena:

  • Contenido de correos electrónicos, datos de calendario ni ningún contenido generado por los usuarios
  • Contraseñas ni credenciales de usuario
  • Tokens de Microsoft Graph (los tokens de acceso son efímeros y se usan solo durante el análisis)

Residencia de datos

Todos los datos se almacenan exclusivamente en nuestro centro de datos en la UE (Estocolmo, Ireland). No se replican datos fuera de esta región. Esto aplica a:

  • Base de datos (resultados de análisis, metadatos del tenant)
  • Almacenamiento de archivos (archivos de resultados de análisis)
  • Almacén de secretos (credenciales de la aplicación)

Consulta Residencia de datos y privacidad para más detalles, incluido nuestro acuerdo de tratamiento de datos.

Seguridad de la infraestructura

Arquitectura Zero-Trust

Cada solicitud a la API requiere un JWT válido emitido por el sistema de autenticación de Aether365 tras la autenticación con Microsoft Entra. El JWT se valida en cada solicitud:

  • Verificación de firma RS256 contra el endpoint JWKS de Aether365
  • Comprobación de expiración del token
  • Verificación del emisor y la audiencia

No existen endpoints de la API sin autenticar, excepto /public/config (que devuelve únicamente configuración global de la plataforma, como el modo de mantenimiento).

Aislamiento de tenants

Cada consulta a la base de datos incluye un filtro de ID de tenant derivado del JWT autenticado, no de los parámetros de la solicitud. Es arquitecturalmente imposible consultar los datos de otro tenant a través de la API.

Las cargas de trabajo de los análisis se ejecutan en entornos de computación aislados y efímeros. Cada tarea de análisis tiene:

  • Sin almacenamiento persistente
  • Sin acceso de red entre tenants
  • Un rol de serviciu dedicado con los permisos mínimos necesarios
  • Terminación automática tras la finalización

Gestión de secretos

Las credenciales de la aplicación (client ID y client secret de Microsoft Entra) se almacenan en un almacén de secretos cifrado. Estas credenciales:

  • Nunca se almacenan en variables de entorno
  • Nunca se escriben en los logs
  • Se obtienen en tiempo de ejecución y se mantienen en memoria únicamente durante la duración del análisis
  • Se rotan de forma programada

Seguridad de la cuenta

Autenticación

Aether365 utiliza Microsoft como proveedor de identidad. Inicias sesión con tu cuenta de Microsoft mediante OpenID Connect. No existe una contraseña independiente de Aether365.

Autenticación multifactor

La MFA se aplica según las políticas de acceso condicional de tu cuenta de Microsoft. Aether365 hereda los requisitos de MFA que tu tenant de Microsoft imponga.

Gestión de sesiones

Los tokens de acceso son JWT de corta duración. Los tokens de actualización se almacenan en el almacenamiento local del navegador y se rotan con cada uso. Al cerrar sesión se invalida la sesión de inmediato.

Registro de auditoría

Cada acción realizada en el dashboard o la API de Aether365 se registra en un registro de auditoría: quién realizó la acción, cuándo y desde qué dirección IP. Consulta Registro de auditoría.

Divulgación responsable

Si descubres un problema de seguridad en Aether365, infórmanos en security@aether365.io. Confirmaremos la recepción en un plazo de 24 horas y nos proponemos resolver los problemas críticos en 72 horas. Actualmente no contamos con un programa público de recompensas por errores, pero acreditaremos a los informantes en las notas de la versión con su permiso.

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.