Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Página 1 / 8
-
N.º de teléfono
+49 451 882-0
Correo electrónico
malte.berndt@draeger.com
Ciberseguridad
Dräger GDC Gas Detection Connect
03/03/2021
Estimadas señoras, estimados señores:
En Dräger desarrollamos tecnología para la vida. Independientemente del sector en el que operen,
nuestros clientes confían en dicha tecnología y esperan que los productos de Dräger estén
protegidos contra aquellas vulnerabilidades que puedan afectar a la funcionalidad de los productos
y la seguridad, integridad y confidencialidad de la información y los datos electrónicos utilizados
por dichos productos. Por este motivo, la seguridad, integridad y protección de esos datos
delicados de nuestros clientes y de los usuarios de nuestros sistemas están profundamente
arraigadas en nuestros procesos de desarrollo.
La seguridad no es una función o propiedad de un dispositivo individual, ni tampoco es
responsabilidad exclusiva del fabricante del equipo o de la entidad operadora. Se trata de un
empeño conjunto necesario para asegurar que un equipo se pueda integrar de forma segura en su
entorno de destino.
Este documento describe las características de seguridad de Dräger Gas Detection Connect
(GDC).
Dräger Safety AG & Co. KGaA Datos bancarios: Sede social: Lübeck Presidente del consejo de
Revalstraße 1 Commerzbank AG, Lübeck Registro mercantil: supervisión de Dräger Safety AG &
23560 Lübeck, Alemania IBAN DE29 2304 0022 0014 6803 00 Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
Tel. +49 451 882-0 BIC COBADEFF230 4097 HL Verwaltungs AG:
Fax +49 451 882-2080 Deutsche Bank AG, Lübeck Stefan Lauer
info@draeger.com IBAN DE75 2307 0710 0030 2109 00 Socio colectivo:
www.draeger.com BIC DEUTDEHH222 Dräger Safety Verwaltungs AG Junta directiva:
N.º de IVA DE812128834 Sede social: Lübeck Stefan Dräger (presidente)
N.º reg. RAEE DE13636930 Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 2 / 8
La ciberseguridad tiene una gran importancia en cada una de las fases del ciclo de desarrollo.
En Dräger trabajamos con un sistema de gestión de la seguridad de la información (SGSI) para
controlar, conservar y mejorar continuamente la seguridad de la información.
Dräger Gas Detection Connect es una potente solución de software que ofrece la posibilidad de
combinar dispositivos de comprobación y detectores de gases portátiles y estáticos con un sistema
backend alojado en la nube. Algunos equipos se pueden conectar directamente, otros pueden
requerir una pasarela adicional, por ejemplo, un teléfono móvil o una pasarela diseñada
específicamente para tal fin.
Dräger Safety AG & Co. KGaA Datos bancarios: Sede social: Lübeck Presidente del consejo de
Revalstraße 1 Commerzbank AG, Lübeck Registro mercantil: supervisión de Dräger Safety AG &
23560 Lübeck, Alemania IBAN DE29 2304 0022 0014 6803 00 Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
Tel. +49 451 882-0 BIC COBADEFF230 4097 HL Verwaltungs AG:
Fax +49 451 882-2080 Deutsche Bank AG, Lübeck Stefan Lauer
info@draeger.com IBAN DE75 2307 0710 0030 2109 00 Socio colectivo:
www.draeger.com BIC DEUTDEHH222 Dräger Safety Verwaltungs AG Junta directiva:
N.º de IVA DE812128834 Sede social: Lübeck Stefan Dräger (presidente)
N.º reg. RAEE DE13636930 Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 3 / 8
Los datos recopilados se muestran en un sistema frontend basado en la red. Esta aplicación web
permite supervisar los valores de medición «en directo» (datos de las mediciones individuales
actuales), así como los datos de progreso. Los datos de progreso se generan automáticamente al
guardar los datos en directo. También se pueden transferir los datos de progreso con registros de
datos a Gas Detection Connect.
Además de los datos en directo y los de progreso también está disponible información de estado.
La información de estado muestra la configuración actual y el estado de los equipos (p. ej., modelo
de sensor o umbral de alarma configurado).
Dräger Safety AG & Co. KGaA Datos bancarios: Sede social: Lübeck Presidente del consejo de
Revalstraße 1 Commerzbank AG, Lübeck Registro mercantil: supervisión de Dräger Safety AG &
23560 Lübeck, Alemania IBAN DE29 2304 0022 0014 6803 00 Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
Tel. +49 451 882-0 BIC COBADEFF230 4097 HL Verwaltungs AG:
Fax +49 451 882-2080 Deutsche Bank AG, Lübeck Stefan Lauer
info@draeger.com IBAN DE75 2307 0710 0030 2109 00 Socio colectivo:
www.draeger.com BIC DEUTDEHH222 Dräger Safety Verwaltungs AG Junta directiva:
N.º de IVA DE812128834 Sede social: Lübeck Stefan Dräger (presidente)
N.º reg. RAEE DE13636930 Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 4 / 8
3 Seguridad de funcionamiento
Dräger GDC emplea el servicio «Platform as a Service» (plataforma como servicio) de la nube
Microsoft® Azure, para poner a disposición del usuario final el software como servicio. Este servicio
está dividido en sistemas backend y frontend, que forman una aplicación coherente. De esta
manera se garantiza que cada aplicación solo pueda acceder a los datos para los que está
autorizada. La comunicación entre las aplicaciones se lleva a cabo exclusivamente a través de
interfaces definidas y seguras (API), de tal manera que el acceso autorizado de los componentes
de la aplicación está siendo controlado en todo momento.
Además, todas las conexiones entre los componentes en la nube y la red de Dräger (servidor bajo
licencia WiBu/LC) están protegidas mediante encriptación TLS-1.2. La autenticación y la
encriptación se basan en certificados X.509 y una administración de usuarios asegurada por
Microsoft®.
El componente de Azure «B2C» se emplea para almacenar los datos de registro correspondientes
y ejecutar la autenticación para aplicaciones en las que se haya llevado a cabo el registro mediante
una combinación de dirección de correo electrónico y contraseña (interfaz en Internet, aplicación
en teléfono móvil). Una vez realizada la autenticación, el componente B2C proporciona al cliente
un JSON-Web-Token que se almacena localmente y permite acceder a las aplicaciones GDC hasta
que se cierre la sesión en el sistema o durante un máximo de 24 horas. La función del identificador
(token) se emplea para asegurar la asignación al cliente y los derechos de acceso.
Para Dräger, la seguridad es muy importante. Durante la transferencia, sus datos se encriptan
automáticamente. Nuestras medidas de protección de datos siempre aplican la tecnología más
avanzada.
Dräger se sirve, en parte, de proveedores externos para procesar sus datos. Contamos con
acuerdos contractuales con proveedores y empresas de servicios que garantizan el cumplimiento
de las disposiciones de protección de datos vigentes.
Dräger Safety AG & Co. KGaA Datos bancarios: Sede social: Lübeck Presidente del consejo de
Revalstraße 1 Commerzbank AG, Lübeck Registro mercantil: supervisión de Dräger Safety AG &
23560 Lübeck, Alemania IBAN DE29 2304 0022 0014 6803 00 Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
Tel. +49 451 882-0 BIC COBADEFF230 4097 HL Verwaltungs AG:
Fax +49 451 882-2080 Deutsche Bank AG, Lübeck Stefan Lauer
info@draeger.com IBAN DE75 2307 0710 0030 2109 00 Socio colectivo:
www.draeger.com BIC DEUTDEHH222 Dräger Safety Verwaltungs AG Junta directiva:
N.º de IVA DE812128834 Sede social: Lübeck Stefan Dräger (presidente)
N.º reg. RAEE DE13636930 Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 5 / 8
El detector de gas transmite los datos de medición al teléfono móvil mediante Bluetooth®.
La interfaz corresponde (como mínimo) a la versión 4 del estándar Bluetooth® Low Energy (BLE).
La conexión por Bluetooth® está encriptada y asegurada mediante una comparación numérica.
Dräger Safety AG & Co. KGaA Datos bancarios: Sede social: Lübeck Presidente del consejo de
Revalstraße 1 Commerzbank AG, Lübeck Registro mercantil: supervisión de Dräger Safety AG &
23560 Lübeck, Alemania IBAN DE29 2304 0022 0014 6803 00 Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
Tel. +49 451 882-0 BIC COBADEFF230 4097 HL Verwaltungs AG:
Fax +49 451 882-2080 Deutsche Bank AG, Lübeck Stefan Lauer
info@draeger.com IBAN DE75 2307 0710 0030 2109 00 Socio colectivo:
www.draeger.com BIC DEUTDEHH222 Dräger Safety Verwaltungs AG Junta directiva:
N.º de IVA DE812128834 Sede social: Lübeck Stefan Dräger (presidente)
N.º reg. RAEE DE13636930 Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 6 / 8
4 Pasarela / nube
5 Aplicación web
El acceso a la interfaz web se lleva a cabo mediante un navegador a través de una conexión
HTTPS segura. La conexión debe cumplir, como mínimo, el estándar TLS 1.2. Las solicitudes de
conexión con una versión inferior siempre serán rechazadas. A continuación, el usuario lleva a
cabo la autenticación respecto al sistema de backend con una combinación de nombre de usuario
y contraseña. La contraseña inicial para usuarios nuevos se envía por correo electrónico mediante
Sendgrid, un componente de Azure. La cuenta de servicio GDC de Sendgrid no está autorizada
para enviar mensajes por correo electrónico; todas las funciones para recoger información de
seguimiento y con fines de análisis están desactivadas.
Después del primer inicio de sesión, el sistema requiere al usuario que cambie la contraseña
porque, de lo contrario, no se puede usar la aplicación. El periodo de validez de la contraseña
inicial no está limitado; el cliente es responsable de las direcciones de los destinatarios y el
control del primer inicio de sesión para modificar la contraseña.
6 Test de penetración
Se ha llevado a cabo un test de penetración. Todos los resultados se han valorado y, en los
casos correspondientes, corregido.
Dräger Safety AG & Co. KGaA Datos bancarios: Sede social: Lübeck Presidente del consejo de
Revalstraße 1 Commerzbank AG, Lübeck Registro mercantil: supervisión de Dräger Safety AG &
23560 Lübeck, Alemania IBAN DE29 2304 0022 0014 6803 00 Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
Tel. +49 451 882-0 BIC COBADEFF230 4097 HL Verwaltungs AG:
Fax +49 451 882-2080 Deutsche Bank AG, Lübeck Stefan Lauer
info@draeger.com IBAN DE75 2307 0710 0030 2109 00 Socio colectivo:
www.draeger.com BIC DEUTDEHH222 Dräger Safety Verwaltungs AG Junta directiva:
N.º de IVA DE812128834 Sede social: Lübeck Stefan Dräger (presidente)
N.º reg. RAEE DE13636930 Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 7 / 8
7 Administración de parches
Partimos de la base de que se aportan actualizaciones a intervalos regulares, por ejemplo, cada
3 meses. La implementación de GDC se ha centrado en la puesta a disposición sencilla de nuevas
versiones. Así es posible poner a disposición rápidamente una nueva versión si fuera necesario.
Dräger facilita actualizaciones para la aplicación GDC a través de las correspondientes tiendas
oficiales de aplicaciones. El usuario debe instalarlas si el sistema operativo no realiza una
actualización automática. El cliente no tiene que realizar ninguna acción para las actualizaciones
de la aplicación en la nube.
8 Control de vulnerabilidades
En Dräger sabemos que es decisivo comprobar las posibles vulnerabilidades de la información de
acceso público. Nuestro equipo de seguridad de los productos supervisa numerosas fuentes de
información para detectar las vulnerabilidades publicadas en componentes de terceros y las asigna
a los posibles productos de Dräger pertinentes. Estas fuentes incluyen la National Vulnerability
Database (NVD), la lista CVE de MITRE, VulnDB y distintos canales RSS, listas de correos y sitios
web específicos de los fabricantes. Asimismo, Dräger es miembro de la Alianza Alemana por la
Ciberseguridad, que informa rápidamente sobre las amenazas y vulnerabilidades actuales.
Dräger Safety AG & Co. KGaA Datos bancarios: Sede social: Lübeck Presidente del consejo de
Revalstraße 1 Commerzbank AG, Lübeck Registro mercantil: supervisión de Dräger Safety AG &
23560 Lübeck, Alemania IBAN DE29 2304 0022 0014 6803 00 Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
Tel. +49 451 882-0 BIC COBADEFF230 4097 HL Verwaltungs AG:
Fax +49 451 882-2080 Deutsche Bank AG, Lübeck Stefan Lauer
info@draeger.com IBAN DE75 2307 0710 0030 2109 00 Socio colectivo:
www.draeger.com BIC DEUTDEHH222 Dräger Safety Verwaltungs AG Junta directiva:
N.º de IVA DE812128834 Sede social: Lübeck Stefan Dräger (presidente)
N.º reg. RAEE DE13636930 Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner
Página 8 / 8
Dräger Safety AG & Co. KGaA Datos bancarios: Sede social: Lübeck Presidente del consejo de
Revalstraße 1 Commerzbank AG, Lübeck Registro mercantil: supervisión de Dräger Safety AG &
23560 Lübeck, Alemania IBAN DE29 2304 0022 0014 6803 00 Juzgado de primera instancia de Lübeck HRB Co. KGaA y de Dräger Safety
Tel. +49 451 882-0 BIC COBADEFF230 4097 HL Verwaltungs AG:
Fax +49 451 882-2080 Deutsche Bank AG, Lübeck Stefan Lauer
info@draeger.com IBAN DE75 2307 0710 0030 2109 00 Socio colectivo:
www.draeger.com BIC DEUTDEHH222 Dräger Safety Verwaltungs AG Junta directiva:
N.º de IVA DE812128834 Sede social: Lübeck Stefan Dräger (presidente)
N.º reg. RAEE DE13636930 Registro mercantil: Rainer Klug
Juzgado de primera instancia de Lübeck HRB Gert-Hartwig Lescow
5036 HL Dr. Reiner Piske
Anton Schrofner