Visión general de seguridad

1. Postura de seguridad de la plataforma

ScadaHud se construyó para entornos OT donde la disponibilidad, la integridad de datos y la responsabilidad del operador importan más que la novedad. La seguridad no es un módulo adicional; atraviesa cada capa de la plataforma.

• Local primero. Los datos operativos permanecen en su red. La conectividad a la nube es opcional, nunca requerida.
• TLS en todas partes. Todo el tráfico norte-sur y este-oeste entre los componentes de ScadaHud está cifrado por TLS por defecto.
• Bóveda cifrada de credenciales. Las contraseñas de dispositivos, claves de API y otros secretos se cifran en reposo con una clave atada a la instalación de la plataforma.
• Control de acceso basado en roles (RBAC). Cada módulo respeta un único directorio de usuarios y modelo de roles. Los operadores solo ven aquello para lo que están autorizados.
• LDAP / Active Directory. Integración nativa con sistemas de identidad corporativa para autenticación centralizada, mapeo de grupos y desvinculación.
• Registro de auditoría a prueba de manipulaciones. Cada acción del operador (reconocimientos, aparcado, ediciones de configuración, cambios de set-point, intentos de inicio de sesión) se registra en un trail de auditoría solo de adición.
• Gestión de certificados. Soporte de primera clase para certificados de cliente OPC UA y MQTT, con herramientas de renovación y rotación.

2. Air-gap y aislamiento

ScadaHud puede ejecutarse en redes totalmente aisladas. El producto no requiere conectividad saliente a internet para operar, verificar licencia o reportar telemetría. La activación de licencia puede realizarse fuera de línea.

3. Desarrollo seguro

• Revisiones de código y escaneo de vulnerabilidades de dependencias antes de cada lanzamiento
• Builds reproducibles con instaladores firmados
• Defensa en profundidad contra el OWASP Top 10 en la capa web
• Valores por defecto endurecidos: TLS activo, RBAC activo, auditoría activa

4. Alineación con estándares

Cuando es aplicable, las funciones de ScadaHud están diseñadas conforme a estándares industriales ampliamente adoptados:

• ISA-101 para convenciones de diseño de HMI de alto rendimiento
• ISA-18.2 para el ciclo de vida de gestión de alarmas y métricas de rendimiento
• ISA-95 para fronteras limpias de integración empresarial (MES / ERP)
• OPC UA y MQTT (compatible con Sparkplug B) para conectividad interoperable de dispositivos

5. Seguridad del sitio

scadahud.com se sirve sobre HTTPS con upgrade-insecure-requests al estilo HSTS. Los envíos de formulario se transmiten por TLS a un endpoint Node.js que los reenvía a nuestro buzón mediante un relay SMTP autenticado. No ejecutamos scripts de rastreo o publicidad de terceros en el sitio de marketing.

6. Reportar una vulnerabilidad

Si cree haber encontrado un problema de seguridad en la plataforma ScadaHud o en este sitio, por favor escriba a support@scadahud.com con tantos detalles como sea posible. Acusaremos recibo dentro de dos días hábiles y trabajaremos con usted de buena fe para investigar y remediar.

Por favor no divulgue públicamente el problema hasta que hayamos tenido una oportunidad razonable de abordarlo. Estaremos encantados de reconocer a los reportantes en nuestras notas de versión.

7. Responsabilidades del cliente

Los despliegues industriales son de responsabilidad compartida. ScadaHud entrega los controles de plataforma descritos arriba; usted es responsable de:

• Segmentación de red entre zonas OT e IT
• Seguridad física de estaciones de trabajo del operador y panel PCs
• Parcheo del sistema operativo de la máquina anfitriona
• Procedimientos de respaldo y recuperación ante desastres para la base de datos del historiador
• Contraseñas robustas y desvinculación oportuna de usuarios en su sistema de identidad