On this page

Seguridad

La seguridad en Mind One protege los datos maestros en todas las capas: autenticación, autorización, transmisión y almacenamiento.

Autenticación

Métodos disponibles

Método	Descripción
Email + contraseña	Credenciales gestionadas por Mind One con JWT (access token 2h + refresh token 7d)
OAuth — Google	Autenticación delegada a Google
OAuth — Azure AD	Autenticación delegada a Microsoft Azure AD

Tokens JWT

Mind One usa tokens JWT para la autenticación:

Access token: válido por 2 horas. Se envía en cada solicitud.
Refresh token: válido por 7 días. Permite obtener un nuevo access token sin re-autenticarse.
Los tokens se renuevan automáticamente mientras el usuario está activo.

Recuperación de contraseña

El usuario solicita un restablecimiento desde la pantalla de login.
Recibe un correo con un enlace tokenizado.
Establece una nueva contraseña.

Control de acceso (RBAC)

El modelo de control de acceso se basa en roles con permisos predefinidos. Cada usuario tiene un rol por tenant que determina qué acciones puede realizar.

Principios

Mínimo privilegio: cada usuario recibe solo los permisos necesarios.
Aislamiento por tenant: los datos de un tenant son invisibles para usuarios de otros tenants.
Permisos por recurso: los permisos se evalúan por tipo de recurso (workspaces, datagrids, etc.) y acción (ver, crear, editar, eliminar).

Evaluación de permisos

Cuando un usuario intenta una acción:

Se identifica su rol en el tenant actual.
Se verifican los permisos del rol para el recurso y la acción solicitada.
Si el permiso existe, se permite la operación. Si no, se deniega.

Cifrado

En tránsito

Todas las comunicaciones se realizan sobre HTTPS/TLS. Esto incluye:

Acceso a la interfaz web.
Llamadas a la API.
Comunicación WebSocket para realtime.
Autenticación OAuth.

En reposo

Los datos sensibles se cifran en reposo:

Credenciales de conexiones a data warehouses.
Tokens de API.
Datos de integración.

La clave de cifrado se configura mediante la variable ENCRYPTION_KEY.

Aislamiento multi-tenant

Cada tenant opera de forma completamente aislada:

Los datos de un tenant no son accesibles desde otro.
Los usuarios solo ven los recursos del tenant activo.
Las consultas a la base de datos incluyen filtros de tenant automáticos.
El cambio de tenant requiere re-autenticación del contexto.

Rate limiting

La API aplica throttling global de 100 solicitudes por minuto por usuario para prevenir abuso.

Buenas prácticas

Limita los administradores: mantén el mínimo necesario de usuarios con rol Admin.
Usa OAuth cuando sea posible: centraliza la autenticación en tu proveedor de identidad corporativo.
Revisa los accesos periódicamente: desactiva usuarios que ya no necesiten acceso.
Protege las API keys: no compartas API keys en repositorios públicos. Revócalas si se comprometen.
Usa contraseñas robustas: mínimo 8 caracteres con combinación de tipos.

Relacionado

Usuarios y Roles — Gestión de roles y permisos.
Configuración — API keys y configuración del tenant.
Acceso y Login — Métodos de autenticación.

Configuración

Visión de producto

Seguridad

Autenticación link

Métodos disponibles link

Tokens JWT link

Recuperación de contraseña link

Control de acceso (RBAC) link

Principios link

Evaluación de permisos link

Cifrado link

En tránsito link

En reposo link

Aislamiento multi-tenant link

Rate limiting link

Buenas prácticas link

Relacionado link