Proteger su cuenta de Zenovay es crucial para salvaguardar sus datos de analíticas y mantener la confianza de sus usuarios. Siga estas mejores prácticas para mantener su cuenta segura.
Lista de verificación de seguridad esencial
Complete estos pasos para asegurar su cuenta:
- Use una contraseña segura y única
- Habilite la autenticación multifactor
- Guarde los códigos de respaldo de forma segura
- Verifique su dirección de correo electrónico
- Revise las sesiones activas regularmente
- Revise su actividad de inicio de sesión periódicamente
- Mantenga actualizadas las opciones de recuperación
Seguridad de contraseñas
Creación de contraseñas seguras
| Práctica | Por qué importa |
|---|---|
| Al menos 12 caracteres | Más larga = más difícil de descifrar |
| Combinación de tipos de caracteres | Más combinaciones para adivinar |
| Sin información personal | No puede ser investigada |
| Única para Zenovay | Una filtración en otro servicio no le afectará |
| Use un gestor de contraseñas | Recuerda contraseñas complejas |
Lo que no debe hacer con contraseñas
- No reutilice contraseñas en diferentes sitios
- No comparta su contraseña con nadie
- No almacene contraseñas en texto plano
- No use palabras o patrones comunes
- No incluya información personal
Gestores de contraseñas
Use un gestor de contraseñas de confianza como 1Password, Bitwarden o Dashlane para generar y almacenar contraseñas seguras y únicas.
Autenticación multifactor
Prioridad de MFA
Habilite los métodos de MFA en este orden de preferencia:
- Llaves de seguridad (WebAuthn) - Más seguras, resistentes al phishing
- Aplicaciones de autenticación (TOTP) - Muy seguras, ampliamente compatibles
Mejores prácticas de MFA
- Habilite al menos un método MFA
- Considere múltiples métodos para redundancia
- Mantenga los códigos de respaldo en un lugar seguro
- Pruebe su configuración de MFA regularmente
- Nunca comparta los códigos de MFA con nadie
Zenovay nunca le pedirá sus códigos de MFA por correo electrónico, teléfono o chat. Tales solicitudes son siempre intentos de phishing.
Gestión de códigos de respaldo
Almacenamiento de códigos de respaldo
Recomendado:
- Gestor de contraseñas (cifrado)
- Archivo cifrado en almacenamiento seguro
- Caja fuerte física o caja de seguridad bancaria
No recomendado:
- Archivos de texto plano en su computadora
- Correos electrónicos a sí mismo
- Almacenamiento en la nube sin cifrar
- Notas adhesivas
Mantenimiento de códigos de respaldo
- Mantenga al menos 5 códigos sin usar
- Regenere cuando le queden pocos
- Actualice el almacenamiento después de regenerar
- Pruebe los códigos periódicamente
Seguridad de sesión
Tiempo de espera automático por inactividad
Su sesión se cerrará automáticamente después de 30 minutos de inactividad para proteger su cuenta si se aleja de su computadora. Así es como funciona:
| Detalle | Descripción |
|---|---|
| Período de tiempo de espera | 30 minutos sin actividad |
| Advertencia | Aparece una notificación 5 minutos antes del tiempo de espera |
| Actividad que restablece el temporizador | Hacer clic, desplazarse, escribir o mover el mouse |
| Después del tiempo de espera | Se le redirige a la página de inicio de sesión |
Qué sucede cuando su sesión expira
Notificación de advertencia
Aparece una notificación informándole que su sesión expirará en 5 minutos. Haga clic en cualquier parte de la página para permanecer conectado.
Redirección al inicio de sesión
Si no se detecta actividad, se le redirige automáticamente a la página de inicio de sesión.
Volver a iniciar sesión
Ingrese sus credenciales (y MFA si está habilitado) para iniciar una nueva sesión.
Regresar a su página
Después de iniciar sesión, se le lleva de vuelta a la página en la que estaba antes del tiempo de espera.
Permanecer conectado
Para evitar que su sesión expire, simplemente haga clic en cualquier parte de la página, desplácese, escriba o mueva el mouse. Cualquiera de estas acciones restablece el temporizador de 30 minutos.
Cierre de sesión
Cuando cierra sesión en Zenovay, el proceso de cierre de sesión se ejecuta en todos los servicios de Zenovay (app, auth, docs, help, etc.) para asegurarse de que haya cerrado sesión en todos lados. Siempre use el botón Cerrar sesión en lugar de simplemente cerrar su navegador.
Gestión de sesiones activas
- Revise las sesiones semanalmente
- Cierre las sesiones que no reconoce
- Cierre sesión en todas las sesiones periódicamente
- Nunca permanezca conectado en computadoras compartidas
Seguridad de inicio de sesión
- Solo inicie sesión en redes de confianza
- Use la navegación privada en computadoras públicas
- Siempre cierre sesión en dispositivos compartidos
- Revise su actividad de inicio de sesión periódicamente
Protección contra el bloqueo de cuenta
Zenovay protege automáticamente su cuenta contra intentos de inicio de sesión no autorizados. Si alguien intenta adivinar su contraseña, el sistema bloqueará temporalmente su cuenta.
Cómo funciona el bloqueo
Después de 10 intentos consecutivos fallidos de inicio de sesión, su cuenta se bloquea temporalmente. Verá una advertencia cuando le queden 3 o menos intentos para que pueda verificar sus credenciales.
Duraciones progresivas de bloqueo
Los bloqueos repetidos resultan en tiempos de espera progresivamente más largos:
| Bloqueo | Duración |
|---|---|
| 1er bloqueo | 5 minutos |
| 2do bloqueo | 15 minutos |
| 3er bloqueo | 30 minutos |
| 4to en adelante | 60 minutos |
El bloqueo de cuenta se aplica en el lado del servidor. Borrar las cookies del navegador o cambiar de navegador no evitará el bloqueo. Esto garantiza que su cuenta permanezca protegida incluso contra ataques automatizados.
Limitación de velocidad a nivel de red
Además del bloqueo de cuenta, Zenovay usa limitación de velocidad a nivel de red para bloquear ataques automatizados. Los intentos de inicio de sesión rápidos desde la misma red se ralentizan o bloquean antes de que puedan llegar a su cuenta.
Desbloqueo de su cuenta
Si su cuenta está bloqueada, tiene tres opciones:
- Esperar a que expire el período de bloqueo e intentarlo de nuevo
- Restablecer su contraseña usando el enlace "¿Olvidó su contraseña?", que desbloquea su cuenta de inmediato
- Contactar con soporte en [email protected] si no puede recuperar el acceso
Evitar bloqueos
Si tiene dificultades para recordar su contraseña, use la opción de restablecimiento de contraseña antes de quedarse sin intentos. Considere usar un gestor de contraseñas para evitar esta situación en el futuro.
Reconocimiento de amenazas
Ataques de phishing
Señales de alerta a vigilar:
- Correos que solicitan contraseñas o códigos de MFA
- Mensajes urgentes que crean pánico
- Enlaces a páginas de inicio de sesión falsas
- Solicitudes de "soporte de Zenovay" a través de canales inusuales
Verificación de legitimidad
- Revise cuidadosamente las direcciones de correo del remitente
- Pase el cursor sobre los enlaces antes de hacer clic
- Vaya directamente a app.zenovay.com (no haga clic en enlaces)
- Contacte con soporte a través de canales oficiales si tiene dudas
Lo que Zenovay nunca hará
- Pedirle su contraseña
- Solicitar códigos de MFA por correo o teléfono
- Amenazar con la eliminación inmediata de la cuenta
- Pedirle que instale software de acceso remoto
Seguridad del equipo
Para propietarios de equipos
- Audite los miembros del equipo regularmente
- Elimine a los miembros inactivos rápidamente
- Use el control de acceso basado en roles
- Requiera MFA para todos los miembros del equipo (Empresas)
- Monitoree los registros de actividad del equipo
Para miembros del equipo
- Use su propia cuenta (no la comparta)
- Reporte la actividad sospechosa a su administrador
- Siga las políticas de seguridad de su organización
- Mantenga sus credenciales confidenciales
Seguridad de la API
Mejores prácticas para claves API
- No incruste claves API en código del lado del cliente
- Rote las claves API periódicamente
- Use claves separadas para diferentes integraciones
- Revoque las claves no utilizadas de inmediato
- Monitoree el uso de la API en busca de anomalías
Uso seguro de la API
- Siempre use HTTPS
- Nunca registre las claves API
- Almacene las claves en variables de entorno
- Use servicios de gestión de claves cuando sea posible
Seguridad de dispositivos
Asegure sus dispositivos
- Mantenga los sistemas operativos actualizados
- Use software antivirus/antimalware
- Habilite el cifrado del dispositivo
- Use bloqueos de pantalla (PIN, biometría)
- Habilite las funciones "Encontrar mi dispositivo"
Seguridad del navegador
- Mantenga los navegadores actualizados
- Use navegadores de confianza
- Sea cauteloso con las extensiones
- Borre las cookies en computadoras compartidas
- Use la navegación privada cuando sea apropiado
Seguridad de red
Navegación segura
- Evite el WiFi público para accesos sensibles
- Use VPN en redes no confiables
- Asegúrese de HTTPS (busque el icono de candado)
- No ignore las advertencias de seguridad del navegador
Redes corporativas
- Siga las políticas de su departamento de TI
- Use la VPN aprobada por la empresa
- Reporte los incidentes de seguridad de inmediato
Monitoreo de su cuenta
Verificaciones de seguridad regulares
| Verificación | Frecuencia |
|---|---|
| Sesiones activas | Semanalmente |
| Historial de inicio de sesión | Semanalmente |
| Configuración de MFA | Mensualmente |
| Recuento de códigos de respaldo | Mensualmente |
| Miembros del equipo (si es propietario) | Mensualmente |
| Claves API | Trimestralmente |
Vigilar actividad sospechosa
Revise su actividad de inicio de sesión y sesiones activas regularmente, y actúe sobre cualquier cosa que no reconozca:
- Inicios de sesión desde un dispositivo o ubicación nueva
- Intentos de inicio de sesión fallidos inesperados
- Cambios de contraseña o MFA que no realizó
Si algo se ve mal, cambie su contraseña inmediatamente y cierre otras sesiones. Vea Seguridad de inicio de sesión y protección de intentos fallidos para saber cómo Zenovay protege su cuenta.
Respuesta a incidentes de seguridad
Si sospecha un compromiso
Cambiar la contraseña
Restablezca su contraseña de inmediato.
Cerrar sesión en todos los dispositivos
Termine todas las sesiones activas.
Restablecer MFA
Deshabilite y vuelva a habilitar MFA con una configuración nueva.
Regenerar los códigos de respaldo
Cree nuevos códigos de respaldo.
Revisar la actividad de la cuenta
Busque cambios no autorizados.
Revocar las claves API
Regenere todas las claves API.
Contactar con soporte
Reporte el incidente para su investigación.
Funciones de seguridad Enterprise y Scale
Enterprise PlanCapacidades de seguridad adicionales en planes superiores:
- Integración SSO/SAML: Inicio de sesión único centralizado para su equipo (Scale y Enterprise)
- Registro de auditoría: Un registro de actividades detallado de los cambios realizados en su espacio de trabajo (registro de auditoría avanzado en Scale y Enterprise)
Certificaciones de infraestructura
Zenovay no está certificado en SOC 2 ni ISO 27001. Construimos sobre proveedores de infraestructura que lo están: Cloudflare (SOC 2 Type II, ISO 27001, ISO 27018) y Supabase (SOC 2 Type II). Los pagos se manejan a través de Stripe (PCI DSS Level 1), por lo que Zenovay nunca toca datos de tarjetas sin procesar.
Reporte de problemas de seguridad
¿Encontró una vulnerabilidad de seguridad? Contáctenos:
- Correo electrónico: [email protected]
- Asunto: "Reporte de seguridad - [Breve descripción]"
- Respondemos a los reportes dentro de 48 horas
- Se agradece la divulgación responsable
Resumen
| Categoría | Acciones clave |
|---|---|
| Contraseña | Única, segura, use gestor |
| MFA | Habilitar, preferir llaves de seguridad/TOTP |
| Respaldo | Almacenar códigos de forma segura |
| Sesiones | Tiempo de espera de 30 min por inactividad, revisar semanalmente, cerrar las no usadas |
| Bloqueo | 10 intentos fallidos activan el bloqueo, duraciones progresivas |
| Actividad | Revisar el historial de inicio de sesión y las sesiones activas regularmente |
| Vigilancia | Conocer las señales de phishing, verificar solicitudes |
Próximos pasos
- Configurar MFA si aún no está habilitado
- Revisar sus sesiones
- Revisar su seguridad de inicio de sesión
- Proteger sus códigos de respaldo