Seguridad y trazabilidad

Esta página resume el modelo de seguridad de Mawidabp: cómo se autentican los usuarios, cómo se controlan los permisos y qué se registra automáticamente para auditar el uso del propio sistema. La configuración operativa (alta de usuarios, definición de perfiles, integraciones de identidad) vive en las páginas específicas; aquí describimos los conceptos.

Autenticación

Mawidabp admite dos modos de autenticación:

Local: usuarios y contraseñas gestionados dentro de la aplicación.
Integrada con un proveedor de identidad corporativo: Microsoft Entra ID, Google Workspace o LDAP / Active Directory.

Cuando la instancia está integrada, el flujo de login redirige al proveedor y la contraseña la administra el proveedor, no Mawidabp. El alta y la baja de usuarios también se sincronizan con los grupos del proveedor.

MFA (segundo factor)

Mawidabp soporta MFA basado en TOTP. Cuando la organización exige MFA, al iniciar sesión el usuario debe enrolar una aplicación autenticadora (Google Authenticator, Microsoft Authenticator, 1Password u otra) e ingresar el código de seis dígitos en cada login. El enrolamiento se hace la primera vez que ingresa el usuario tras habilitarlo.

Si se usa un proveedor externo con su propio MFA, el segundo factor lo aplica el proveedor.

Perfiles y privilegios

El acceso a la información se controla por perfiles. Un perfil tiene un tipo (que determina el rol funcional) y una combinación de privilegios por módulo.

Tipos de perfil

Gerente de auditoría
Supervisor
Auditor senior
Auditor
PAI (administración de usuarios y perfiles)
Auditado

Un mismo usuario puede tener distintos perfiles en distintas organizaciones.

Privilegios

Para cada módulo, un perfil puede tener cualquier combinación de:

Lectura
Modificación
Baja
Aprobación

Cuando la instancia está integrada con AD/Entra ID, cada perfil se corresponde con un grupo del directorio: al asignar un usuario al grupo en AD, automáticamente hereda el perfil de Mawidabp.

El detalle de configuración está en Usuarios y perfiles.

Trazabilidad: la bitácora

Toda acción relevante queda registrada en la bitácora del sistema: qué cambió, quién lo cambió, cuándo, y el valor anterior cuando aplica. La bitácora cubre entidades clave como:

Organizaciones, unidades y configuraciones.
Usuarios, perfiles y privilegios.
Planes, informes y programas de trabajo.
Hallazgos (cambios de estado, comentarios, adjuntos).
Papeles de trabajo.

Esta información permite reconstruir el historial completo de cualquier revisión.

Registros de ingreso

Cada intento de login queda registrado con fecha, hora, usuario, IP y resultado. Permite detectar accesos anómalos y ver el historial de presencia de cada usuario.

Logs de base de datos

Además de la bitácora de aplicación, el motor PostgreSQL puede generar logs adicionales a través de sus registros WAL. Estos logs son útiles cuando se necesita investigar en profundidad operaciones puntuales o cumplir requisitos de auditoría externa.

Reportes de seguridad

El módulo de Administración incluye Reportes de seguridad con información lista para usar por el área de seguridad informática:

Usuarios activos e inactivos.
Perfiles y privilegios asignados.
Accesos recientes por usuario.
Cambios sensibles registrados por la bitácora.

Cifrado y almacenamiento

La información se almacena cifrada en el repositorio centralizado. El acceso al sistema es siempre vía HTTPS. Cuando se configuran respaldos automáticos (ver Resguardo y restauración), los archivos pueden almacenarse en S3 u otro destino compatible.

Autenticación​

MFA (segundo factor)​

Perfiles y privilegios​

Tipos de perfil​

Privilegios​

Trazabilidad: la bitácora​

Registros de ingreso​

Logs de base de datos​

Reportes de seguridad​

Cifrado y almacenamiento​