El acceso al panel administrativo es uno de los principales vectores de riesgo. Para excluir el inicio de sesión no autorizado, implementamos una autenticación de dos factores (2FA) que requiere no solo un nombre de usuario y contraseña, sino también un código de confirmación adicional - por correo electrónico, SMS o a través de una aplicación (por ejemplo, Google Authenticator).
Este nivel de protección es especialmente importante para los empleados con acceso a las finanzas, los datos de los usuarios y la configuración del sistema.
Qué incluye 2FA
| Método de confirmación | Detalles de aplicación |
|---|---|
| Código por correo electrónico | Se envía al correo corporativo o vinculado cuando se inicia sesión |
| Aplicaciones (TOTP) | Soporte para Google Authenticator, Authy, 1Password y otros |
| Código SMS | Una alternativa para los países donde el envío por correo electrónico es inestable |
| Activación flexible | Por roles, IP, hora del día o manualmente por usuario |
| Registro de eventos 2FA | Quién activó cuando confirmó desde qué dispositivo/IP |
Funcionalidad y configuración
2FA obligatorio para funciones sensibles (administrador, contador, etc.)
Excepciones a IP de confianza o subredes internas
Activación programada/desactivación programada
Exportación de registros de confirmación y denegación de 2FA
Notificaciones de intentos de inicio de sesión y errores de autorización
Beneficios
Reducción significativa de los riesgos de hackeo de cuentas
Transparencia de inicio de sesión e intentos de elusión de protección
Cumplimiento de GDPR, ISO, PCI DSS y seguridad interna
Tranquilidad para propietarios de negocios y administradores
Flexibilidad de inclusión: desde una política selectiva hasta una política obligatoria
Donde es especialmente importante
Casinos y plataformas de juego con dinero y datos personales
Servicios financieros y criptográficos con acceso sensible
Plataformas SaaS con bases de clientes y administración de derechos
Proyectos con un gran número de empleados y contratistas
2FA es un nivel de protección mínimo pero crítico. Implementaremos una autorización de dos factores confiable y flexible para que la entrada al back-office esté protegida contra amenazas externas e internas.