Lapachos Lending : Weekly producto - tech 2024-05-16

Created by Maite Anaya on may 16, 2024

(estrella azul) Fecha

(estrella azul) Participantes

(estrella azul) Agenda

  • Seguridad

  • Incidente leak

  • Integración con ABL

  • Producto

  • Actualizaciones de negocio

(estrella azul) Temas de debate

Hora

Elemento

Presentador

Notas

11 hs

Seguridad

Juan Robles

Se establece este roadmap: 

  1. Diagnóstico actual de seguridad.

  2. Establecer objetivos de seguridad.

  3. Implementación de remediaciones inmediatas. Implementación de procesos de seguridad en desarrollo.

  4. Diseño de pruebas periódicas.

  5. Implementación de pruebas.

  6. Recomendaciones de estructuración de equipo de seguridad.

  7. Creación de comité de seguridad.

  8. Distribución de responsabilidades en el equipo.

  9. Manual de procedimientos.

  10. Revisión de documentación faltante.

Accionables de la weekly con cisco: 

  • Se compartieron las urls de QA para que Cisco pueda generar el primer diagnóstico

  • Juan establece como objetivo urgente el proteger el acceso a la base de datos: 

    • Necesidad de acceso a la base de datos para auditorías etc. Genera la necesidad de hacer cambios en la arquitectura y por ende en la seguridad. 

  • Cisco va a generar una Guía de mejores prácticas de seguridad de primera instancia. 

  • Crear usuarios en la base de datos para cada uno con cada rol y persona.


Incidente leak


Juan Robles

Fecha y hora: Lunes 13 de Mayo de 2024

Resumen del incidente:

  • Se produjo una fuga de contraseñas que permitió a un atacante acceder a una subcuenta de AWS.

  • El atacante intentó realizar diversas acciones en la cuenta, pero fuimos alertados por el sistema de notificaciones.

  • Se tomó control de la cuenta, se eliminaron las claves de acceso y los servicios creados por el atacante, y se eliminó la instancia afectada.

  • La instancia afectada no contenía datos ni servicios activos, por lo que no se produjeron daños mayores.

Recuperación: Se siguió el instructivo indicado por AWS. Posteriormente para mayor seguridad se eliminó la cuenta en su totalidad.  

Acciones preventivas:

  • Se están revisando las medidas de seguridad para evitar futuras fugas de contraseñas.

  • Se está implementando un sistema de autenticación de dos factores para las cuentas de AWS.

  • Se está capacitando a los empleados sobre las prácticas de seguridad informática.

Integración con ABL

Juan Robles Valeria Melchior

  • Avanza bien, se van encontrando bugs lógicos del avance del producto desde lend2B en un flujo que contempla en primera instancia una integración más simple. 

    • Ejemplo: El estado de activación de un buyer en primera instancia con ABL no pasa por el proceso de análisis y aprobación de la carpeta crediticia. 

  • Próximos pasos de la integración con ABL: Se solicita reunión para empezar a abarcar: (24 de mayo sería esta reunión)

    • Salto entre sitios. 

    • Notificaciones. 

Producto

Valeria Melchior

  • Finalizó el sprint 16: 

    • Hitos

  • Evolutivos de features en Consolas Lender, Comprador y Proveedor

  • Reglas de notificación asociadas a los procesos de alta de compradores y proveedores.

  • Comenzo el sprint 17. En el cual se trabajó muy profundo en las máquinas de estados y depuración  de los flujos para ver la congruencia de la información. 

    • Dev: comenzó la semana con un workshop de AWS para profundizar en la lógica de las máquinas de estados.

  • Definiciones pendientes: 

    • Equipo limitado. 

  • Reglas impositivas, reglas de facturación. 

Actualizaciones de negocio

Santiago Gaviglio Hanna Schiuma (Unlicensed)

  • Esperando la devolución de Amex. 

  • Negociación abierta con un posible partner. Siguen sucediendo esta semana 

  • La próxima semana FN Y FP van a negociar que Lapachos lending pueda empezar a operar con Amex. 

(estrella azul) Elementos de acción

  • Maite Anaya Solicitar a Pablo la obligatoriedad de la autenticación en dos factores de los mails GEC-782