Protección y seguridad de datos
» Respetar la legislación local sobre protección y uso de datos y la normativa vigente en el país.
» El objetivo de la legislación en materia de protección de datos es evitar la vulneración de los derechos individuales a la
privacidad mediante el uso indebido de los datos personales.
Tratamiento de datos personales
» Este sistema utiliza y procesa datos personales como contraseñas, registros detallados de llamadas, direcciones de red y
registros de datos de clientes, por ejemplo.
» LGPD - Ley General de Protección de Datos Personales: Intelbras no accede, transfiere, capta o realiza cualquier otro tipo
de tratamiento de datos personales provenientes de este producto.
Directrices de control del tratamiento de datos
» Asegurarse de que sólo las personas autorizadas tengan acceso a los datos de los clientes.
» Utilizar las prestaciones de asignación de contraseñas, sin permitir ninguna excepción. No dar nunca las contraseñas
a personas no autorizadas.
» Asegurarse de que ninguna persona no autorizada tenga la capacidad de procesar (almacenar, alterar, transmitir,
deshabilitar o borrar) o usar los datos de los clientes.
» Evitar que personas no autorizadas accedan a los soportes de datos, por ejemplo, discos de backup o impresiones de
protocolos.
» Asegurarse de que los soportes de datos que ya no son necesarios se destruyan por completo y de que los documentos
no se almacenen ni se dejen en lugares generalmente accesibles.
» El trabajo conjunto con el cliente genera confianza.
Uso indebido e invasión de hackers
La central IAD 100 es un equipo que permite la interconexión y el control total de las llamadas internas y externas. Por
tener un sistema expuesto al mundo exterior (al igual que cualquier PABX IP), es importante cuidar la seguridad, para
evitar posibles invasiones al sistema por parte de hackers y perjuicios a la empresa. La invasión puede producirse cuando
personas malintencionadas invaden el sistema debido a fallas en la protección y configuración de los recursos.
El acceso mediante una IP válida en internet puede ser fácilmente rastreado e invadido. Los accesos con mayor volumen
de invasión son: el puerto de mantenimiento remoto (IP válida) del IAD 100, el trunking VoIP vía internet, utilizado para
la comunicación entre sucursales, los terminales con prestaciones que utilizan internet e IP válida, entre otros servicios
asociados. Los hackers y los operadores ilegales utilizan programas que generan llamadas repetidas a todas las extensiones
de las centrales PABX IP susceptibles a ser invadidas. En cuanto descubren una extensión desprotegida que puede hacer
llamadas de larga distancia (IDD), o una IP válida en Internet, se produce el ataque. Aprenda a prevenir las invasiones y a
proteger el IAD 100 de su empresa:
» Cree una política de seguridad y transmítala a todos los usuarios, resaltando su importancia.
» Restrinja el acceso remoto para las operaciones y el mantenimiento técnico únicamente a las personas autorizadas.
Comparta con ellos la responsabilidad de mantener la confidencialidad de las contraseñas del sistema.
» Consulte periódicamente al mantenedor y/o al fabricante sobre las actualizaciones del software y los paquetes de
seguridad.
» Instruya a los telefonistas/asistentes telefónicos de la empresa para que no completen las llamadas recibidas externamente
a números externos.
» Mantenga un backup de los datos de la central IAD 100, actualizado con el menor intervalo de tiempo posible y/o cada
vez que haya un cambio en algún parámetro del equipo.
» Determine las restricciones de destino por extensión.
» Controle los destinos de las llamadas nacionales e internacionales, el tiempo medio de estas llamadas y los casos de
llamadas a cobro revertido, comparando con el perfil histórico de estas llamadas.
» Restrinja la facilidad de desvío externo a las extensiones que realmente lo necesitan.
» Utilice redes privadas sin acceso a Internet para el registro de extensiones remotas o conexión con VoIP.
» Garantice la distancia entre la red de telefonía y la red de acceso a Internet. Sepárelos físicamente o a través de VLAN
(redes de área local virtual) debidamente configuradas. Observe el tema del VLAN Hopping (método de ataque a los
recursos de la red en una VLAN) y también el VoIP Hopper (framework que también realiza pruebas para evaluar la
inseguridad de las VLAN).
» Utilizar firewalls, NAT, IPS y restricción de puertos en la autenticación de extensiones, así como la restricción de acceso a
configuraciones de terminales IP, softphones y ATAs.
» Cuidado con el redireccionamiento de puertos, como la liberación del acceso a Internet del IAD 100.