Mucho se ha hablado de seguridad informática estos días y es un tema que causa interés en nuestros clientes (y posibles clientes también).
La seguridad de los datos es tan importante para un banco como para una Pyme. El problema es que la Pyme no necesariamente tiene los recursos o la preparación necesaria para asegurarlos.
De la experiencia de hablar con cientos de emprendedores, es que todas respaldan sus datos de facturación y cartolas de banco. La herramienta preferida normalmente es Excel. Luego se envían por correo o se guardan en una carpeta compartida. La seguridad en este caso queda del lado del dueño del computador. Los casos más extremos de [in]seguridad que hemos visto son los siguientes:
La claves se guardan en un Excel (quien se puede acordar de tantas claves!)
Cuando se va una persona de la empresa, no le quitan el permiso a entrar al banco, al facturador o a previred.
Sólo se factura en un computador porque ahí está instalado el certificado digital (nadie sabe cómo sacarlo o moverlo). Y probablemente el certificado sea de una persona que ya no está en la empresa.
El contador es el dueño de la cuenta en Previred. Cuando se va el contador ya no podemos pagar las cotizaciones.
Los computadores personales no tienen clave (se lo roban y el ladrón tiene acceso a todo)
Uno de los servicios que ofrece Clay es la importación automática de información desde diferentes fuentes. Como por ejemplo la carga automática de cartolas bancarias de distintos bancos, carga automática de facturas electrónicas desde facturadores, carga automática de boletas de honorarios del SII o la carga de datos en Previred.
Cada uno de estos servicios no necesariamente tiene una API, y en estos casos debemos hacer una integración que llamamos “por arriba”. Es decir, construimos un robot, al que cariñosamente llamamos Cassius, y literalmente hace lo que una persona haría, pero automáticamente. Abrir un navegador, ir a la página del banco/facturador/previred/SII, ingresar las credenciales del usuario (o claves), navega hasta la información, extraerla y cargarla.
Aquí expondré algunas preguntas que normalmente nos hacen nuestros clientes sobre el proceso productivo de obtener y mantener la información.
¿Cómo viajan los datos?
Todos nuestros servicios cuentan con un certificado que cifra las conexiones de extremo a extremo. Desde el navegador al servidor, desde la base de datos a la aplicación, desde el robot a la base de datos, etc. En la aplicación puedes verlo en el candado que aparece al lado de la barra de direcciones. Y comprobar siempre que las direcciones comiencen con https://.
¿Cómo se guardan las claves del banco/SII/previred?
Las credenciales/claves/contraseñas en nuestra base de datos se guardan encriptados. Esto significa que si alguien accediera a los datos, no podría saber el contenido de éstos sin tener la “clave maestra” o semilla que los desencripta. Esta semilla se guarda en un lugar separado de los datos. Cabe destacar que parte del equipo de Clay sí puede desencriptar esas claves para poder ingresar manualmente a cada servicio.
¿Dónde se guardan los datos?
Nuestro equipo tecnológico ha dividido Clay en varios servicios para mejorar la escala y la experiencia de nuestros usuarios. Por un lado tenemos la aplicación que usan nuestros clientes. Y por otro, el servicio de automatización al cual sólo accede nuestro equipo. Ambos servicios trabajan de manera independiente. Los datos se guardan AWS via Mongodb Atlas, un servicio de bases de datos en la nube, especializado, que nos provee con la confiabilidad y redundancia que necesitamos. La base de datos que guarda las contraseñas encriptadas no está conectada a la aplicación que usan nuestros usuarios.
¿Clay entrega/permuta/vende/regala mis datos?
No. Los datos son de cada empresa y no de Clay. Es cada empresa la que es libre de compartir o no sus datos.
¿Quién tiene acceso a mis datos en Clay?
Clay se separa en tres áreas: servicio, comercial y tecnología. A datos como cartolas, contabilidad, remuneraciones de nuestros clientes tienen acceso nuestros equipos de servicio y tecnología. A las credenciales, sólo los equipos de tecnología y algunas personas dentro del equipo de servicio.
Todos los que trabajan en Clay tienen contrato y, dentro de él, cláusulas de confidencialidad.
¿Pueden robarme plata del banco?
No. Toda transferencia se debe hacer con una segunda clave que proporciona el banco (tokens o tarjetas de coordenadas) y nosotros no pedimos ni guardamos segundas claves.
¿Quedan cosas por hacer para seguir protegiendo los datos en Clay?
Sí. Si bien, nadie está exento a un robo, un hacker o el simple descuido de los usuarios, siempre se puede avanzar en protocolos de seguridad. Clay es un servicio que se va mejorando día a día e incorporando nuevas tendencias, protocolos y prácticas para mejorar el manejo de la seguridad de los datos de las Pymes del mundo.
Te invitamos a comentar, a hacer más preguntas y por supuesto a levantar todo tipo de prácticas que creas que podríamos mejorar a dev@clay.cl.