> ## Documentation Index
> Fetch the complete documentation index at: https://docs.devinenterprise.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Seguridad

> Prácticas y controles de seguridad para Devin en despliegues federales.

<Info>
  Esta documentación es para los despliegues federales de Devin. [Volver a la documentación de Devin](/es/get-started/devin-intro)
</Info>

Esta guía describe cómo preparar, configurar, operar y dar de baja de forma segura las cuentas administrativas principales en Devin Desktop. Abarca las definiciones de roles administrativos, los procedimientos del ciclo de vida de las cuentas y todas las configuraciones de seguridad controladas por el administrador, junto con sus funciones asociadas, sus implicaciones de seguridad y los valores recomendados.

***

<div id="administrative-role-definitions">
  ## Definiciones de roles administrativos
</div>

Devin Desktop utiliza un sistema de control de acceso basado en roles (RBAC) para gestionar los privilegios administrativos. Los roles se gestionan a través de Admin Portal, en la sección Settings de Role Management, y pueden asignarse a usuarios individuales.

<div id="built-in-roles">
  ### Roles predefinidos
</div>

Devin Desktop ofrece dos roles predefinidos que no se pueden eliminar.

| Rol       | Descripción                                                                                                                                                                                                                 | Permisos predeterminados       |
| --------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------ |
| **Admin** | Acceso administrativo completo a la configuración de la organización, la gestión de usuarios, los análisis y los controles de seguridad. Es el nivel de privilegio más alto que un usuario puede tener dentro de un equipo. | Todos los permisos habilitados |
| **User**  | Acceso estándar para usuarios finales, sin permisos administrativos. Los usuarios pueden acceder a las funciones de programación de Devin Desktop, pero no pueden ver ni modificar la configuración de la organización.     | Sin permisos administrativos   |

<div id="custom-roles">
  ### Roles personalizados
</div>

Los administradores pueden crear roles personalizados para aplicar el principio de mínimo privilegio. Los roles personalizados se componen de permisos detallados seleccionados de las categorías que aparecen a continuación. Para crear un rol personalizado, vaya a Admin Portal y abra la sección Role Management en Settings.

<div id="permission-reference">
  ### Referencia de permisos
</div>

La siguiente tabla enumera todos los permisos disponibles para la asignación de roles en el despliegue de FedRAMP. Cada permiso controla el acceso a una función administrativa específica.

| Category              | Permission               | Description                                                         |
| --------------------- | ------------------------ | ------------------------------------------------------------------- |
| **Teams**             | Teams Read-Only          | Acceso de solo lectura a la página de gestión de equipos            |
| **Teams**             | Teams Update             | Permite actualizar los roles de usuario en la página de equipos     |
| **Teams**             | Teams Delete             | Permite eliminar usuarios desde la página de equipos                |
| **Analytics**         | Analytics Read           | Acceso de solo lectura a la página de analíticas y a los dashboards |
| **Attribution**       | Attribution Read         | Acceso de solo lectura a la página de atribución                    |
| **License**           | License Read             | Acceso de solo lectura a la página de licencias                     |
| **SSO**               | SSO Read                 | Acceso de solo lectura a la página de configuración de SSO          |
| **SSO**               | SSO Write                | Permite configurar y modificar los ajustes del proveedor de SSO     |
| **clave de servicio** | clave de servicio Read   | Acceso de solo lectura a la página de claves de servicio            |
| **clave de servicio** | clave de servicio Create | Permite crear nuevas claves de servicio para acceder a la API       |
| **clave de servicio** | clave de servicio Update | Permite modificar claves de servicio existentes                     |
| **clave de servicio** | clave de servicio Delete | Permite revocar y eliminar claves de servicio                       |
| **Role Management**   | Role Read                | Acceso de solo lectura a la pestaña de roles en Settings            |
| **Role Management**   | Role Create              | Permite crear nuevos roles                                          |
| **Role Management**   | Role Update              | Permite modificar definiciones de roles existentes                  |
| **Role Management**   | Role Delete              | Permite eliminar roles                                              |
| **External Chat**     | External Chat Management | Permite modificar configuraciones de modelos de chat externo        |
| **Indexing**          | Indexing Read            | Acceso de solo lectura a la página de configuración de indexación   |
| **Indexing**          | Indexing Create          | Permite crear nuevos índices                                        |
| **Indexing**          | Indexing Update          | Permite actualizar repositorios indexados existentes                |
| **Indexing**          | Indexing Delete          | Permite eliminar índices                                            |
| **Indexing**          | Indexing Management      | Permite gestionar y depurar la base de datos de índices             |
| **Fine-Tuning**       | Fine-Tuning Read         | Acceso de solo lectura a la página de fine-tuning                   |
| **Fine-Tuning**       | Fine-Tuning Create       | Permite crear jobs de fine-tuning                                   |
| **Fine-Tuning**       | Fine-Tuning Update       | Permite actualizar jobs de fine-tuning                              |
| **Fine-Tuning**       | Fine-Tuning Delete       | Permite eliminar jobs de fine-tuning                                |

<Note>Varios de estos permisos (como Attribution, License, SSO, Indexing y Fine-Tuning) existen en el sistema RBAC, pero sus páginas correspondientes del portal no están disponibles en el despliegue multitenant de FedRAMP. Estos permisos se incluyen en la UI de gestión de roles para mayor exhaustividad, pero no otorgan acceso a ninguna funcionalidad activa en este entorno.</Note>

***

<div id="admin-account-lifecycle-procedures">
  ## Procedimientos del ciclo de vida de la cuenta Admin
</div>

Esta sección describe el ciclo de vida completo de una cuenta administrativa de nivel superior, desde su creación inicial hasta su baja definitiva.

<div id="account-setup">
  ### Configuración de la cuenta
</div>

La **incorporación basada en SSO** es el método principal de aprovisionamiento en el despliegue FedRAMP. La plataforma admite tanto OIDC como SAML 2.0 para la integración de Single Sign-On. Los usuarios se autentican a través del proveedor de identidad configurado y, tras el primer inicio de sesión, se crea su cuenta; después, un administrador asigna el rol correspondiente desde el Admin Portal. Ten en cuenta que la integración de SSO en el entorno FedRAMP requiere coordinación con el equipo de FedRAMP de Devin Desktop y no puede configurarse en modalidad de autoservicio.

Cada nueva cuenta de administrador debe configurarse de acuerdo con el principio de mínimo privilegio. Se deben priorizar los roles personalizados con solo los permisos necesarios para las responsabilidades del administrador, en lugar de asignar el rol completo de Admin, salvo que el usuario necesite acceso completo al sistema.

<div id="authentication-and-mfa-requirements">
  ### Requisitos de autenticación y MFA
</div>

El despliegue de FedRAMP usa exclusivamente Single Sign-On y admite los protocolos OIDC y SAML 2.0. La autenticación mediante correo electrónico y contraseña no está disponible. Todos los usuarios deben autenticarse a través del proveedor de identidad configurado.

La autenticación multifactor (MFA) se exige a través del proveedor de identidad de la organización. Devin Desktop hereda las políticas de MFA configuradas en el IdP conectado, lo que significa que todos los requisitos de solidez de la autenticación (como exigir un segundo factor, autenticadores resistentes al phishing o políticas de acceso condicional) se administran a nivel del IdP. Las organizaciones deben configurar su IdP para exigir MFA a todos los usuarios que accedan a la aplicación Devin Desktop, especialmente a las cuentas con roles administrativos.

<Warning>Devin Desktop recomienda encarecidamente exigir MFA para todas las cuentas administrativas. Configura tu proveedor de identidad para aplicar MFA como condición para acceder a la aplicación Devin Desktop.</Warning>

<div id="account-setup">
  ### Configuración de la cuenta
</div>

Después de crear una cuenta administrativa, se deben completar los siguientes pasos de configuración.

La **asignación de roles** determina el ámbito del acceso administrativo de la cuenta. Asigne roles a través del Admin Portal; para ello, vaya a la pestaña Manage Team, localice al usuario, haga clic en Edit y seleccione el rol adecuado en el menú desplegable. Los cambios se aplican de inmediato.

La **gestión de claves de servicio** es obligatoria cuando el administrador necesita acceso a la API para automatización o analítica. Las claves de servicio se crean en Settings con permisos de ámbito definido que se ajusten al uso previsto de la clave. Cada clave de servicio debe tener un nombre descriptivo (por ejemplo, "Panel de analítica") y un rol con los permisos mínimos necesarios.

<div id="account-operation">
  ### Operación de la cuenta
</div>

Las prácticas operativas continuas para las cuentas administrativas incluyen las siguientes.

**Las revisiones periódicas de acceso** deben realizarse para verificar que las cuentas administrativas sigan necesitando su nivel actual de acceso. Revise periódicamente la lista de usuarios con el rol Admin en la pestaña Manage Team y ajuste los roles a medida que cambien las responsabilidades.

**El monitoreo de la actividad** está disponible a través de los paneles de análisis integrados. Los administradores con el permiso Analytics Read pueden hacer seguimiento de la actividad de los usuarios, las métricas de participación y el uso de funcionalidades. La Analytics API proporciona acceso programático a estos datos para integrarlos con sistemas de monitoreo externos.

**La rotación de claves de servicio** debe realizarse periódicamente. Para rotar una clave, cree una nueva clave de servicio con los mismos permisos, actualice el sistema que la utiliza para usar la nueva clave y, a continuación, elimine la clave anterior.

<div id="account-decommissioning">
  ### Retiro de cuentas
</div>

Cuando un administrador ya no necesite acceso, la cuenta debe retirarse de inmediato siguiendo el siguiente procedimiento.

<Steps>
  <Step title="Revocar el rol administrativo">
    Ve a Admin Portal, abre la pestaña Manage Team, localiza al usuario, haz clic en Edit y cambia su rol de Admin a User (o a un rol personalizado sin permisos administrativos).
  </Step>

  <Step title="Revocar las claves de servicio">
    Elimina cualquier clave de servicio que haya sido creada por el administrador saliente o utilizada exclusivamente por él. Ve a Settings, luego a clave de servicio, y elimina las claves correspondientes.
  </Step>

  <Step title="Eliminar o desactivar la cuenta">
    Elimina al usuario desde la pestaña Manage Team haciendo clic en Delete junto a su nombre. Esto desactivará la cuenta de Devin Desktop del usuario y liberará su licencia.
  </Step>

  <Step title="Revisar el acceso residual">
    Verifica que la cuenta retirada ya no aparezca en ningún rol administrativo revisando la lista de usuarios de Manage Team filtrada por el rol Admin. Confirma que se hayan eliminado todas las claves de servicio asociadas a la cuenta.
  </Step>
</Steps>

<Warning>Retira las cuentas administrativas de inmediato cuando un administrador cambie de rol o deje la organización. Retrasar este proceso genera un riesgo de seguridad innecesario.</Warning>

***

<div id="security-settings-reference">
  ## Referencia de configuraciones de seguridad
</div>

La siguiente tabla documenta todas las configuraciones de seguridad controladas por el administrador disponibles en el Admin Portal del despliegue FedRAMP. Cada entrada describe la función de la configuración, su impacto en la seguridad y la configuración recomendada para un despliegue con altos requisitos de seguridad.

| Setting                                      | Function                                                                                                                                                                                                                                                                                                                                                       | Security impact                                                                                                                                                                                                                                        | Recommended value                                                                                                                                                                                                                   |
| -------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Control de acceso basado en roles (RBAC)** | Controla qué acciones administrativas puede realizar cada usuario en función del rol y los permisos que tenga asignados. Se gestiona en la sección Role Management de Settings.                                                                                                                                                                                | Limita el alcance de una cuenta comprometida al restringir los permisos únicamente a lo que cada usuario necesita. Las asignaciones de roles demasiado amplias aumentan el impacto potencial de que se comprometa una sola cuenta.                     | **Configúralo según el principio de mínimo privilegio.** Crea roles personalizados con solo los permisos que necesita cada administrador. Reserva el rol Admin integrado para un número reducido de administradores.                |
| **Permisos de clave de servicio**            | Limita los tokens de acceso a la API a conjuntos de permisos específicos, controlando qué operaciones pueden realizar los sistemas automatizados. Se gestiona en la sección clave de servicio de Settings.                                                                                                                                                     | Las claves de servicio con permisos excesivos pueden aprovecharse si se filtran, lo que otorgaría acceso no autorizado a la gestión de usuarios, la analítica u otras funciones.                                                                       | **Limítalos a los permisos mínimos necesarios.** Crea claves de servicio específicas para cada integración con solo los permisos que esa integración necesite. Rota las claves con regularidad.                                     |
| **Configuración del proveedor de SSO**       | Configura el proveedor de identidad utilizado para toda la autenticación de usuarios, con compatibilidad con los protocolos OIDC y SAML 2.0. La autenticación mediante correo electrónico y contraseña no está disponible. La configuración de SSO requiere coordinación con el equipo de FedRAMP de Devin Desktop. Se gestiona en la sección SSO de Settings. | Centraliza la autenticación a través del IdP de la organización, lo que permite aplicar MFA, acceso condicional y políticas de sesión. Una configuración incorrecta podría bloquear el acceso de todos los usuarios o permitir accesos no autorizados. | **Configúrala con el proveedor de identidad aprobado por tu organización (OIDC o SAML 2.0).** Verifica la configuración probando el inicio de sesión con una cuenta no administrativa antes de implementarla de forma generalizada. |

*Última actualización: 28 de enero de 2026*
