Algunos de los contenidos técnicos de este sitio web solo están disponibles en inglés.

Requisitos y consideraciones para la instalación de Space

Introducción

Esta sección contiene información técnica sobre aspectos de instalación del software "ProAccess Space" ("Space" en adelante), como requisitos del sistema, consideraciones de conectividad, etc. Está destinado a usuarios avanzados (como los distribuidores de Salto que trabajan en conjunto con los equipos de IT) que tienen que gestionar el proceso de instalación del software.

Debe leer esta sección de la guía del usuario antes de intentar instalar Space.

De un vistazo

La siguiente tabla resume los requisitos esenciales para las instalaciones estándar de Space. Para obtener todos los detalles, consulta las secciones relevantes de esta página.

Componente	Requisito
Sistema operativo	Windows 11, Server 2016 o superior (32 bits o 64 bits)
CPU / RAM (menos de 300 dispositivos IP)	2 vCPU a 2.5 GHz o superior, 8 GB de RAM
CPU / RAM (300 o más dispositivos IP)	4 vCPU a 2.5 GHz o superior, 16 GB de RAM
Disco duro	5 GB mínimo
.NET Framework	4.8.0 o posterior (incluido en el instalador de Space)
Base de datos	SQL Server 2016 o superior - Express, Standard o Enterprise
Puerto de la aplicación web	8100 TCP (configurable; se recomienda encarecidamente HTTPS)
Puerto de clientes Space / Local IO Bridge	8102 TCP (configurable)
Puerto de SQL Server	1433 TCP (configurable)
Puertos de dispositivo IP Salto	1100 UDP y 4433 UDP (fijo)
Navegador cliente	Cualquier navegador HTML5 moderno (Chrome, Firefox, Edge, Safari)

Entornos avanzados: máquinas virtuales, múltiples NIC, integraciones de terceros (PMS de hotel, sistemas de ascensores, LDAP, etc.) y aprovisionamiento de certificados HTTPS personalizados requieren consideraciones adicionales. Consulta las secciones relevantes a continuación.

Vista general

Space es un software de control de acceso diseñado y producido por Salto para gestionar los puntos de acceso electrónicos fabricados por Salto, como escudos electrónicos autónomos, cilindros y cerraduras online IP y RF.

En el siguiente diagrama, se muestra un esquema básico del sistema de control de acceso Space, en el que se pueden apreciar los siguientes componentes principales: el servidor Space, el cliente y los periféricos de Salto y dispositivos de punto de acceso.

Descripción general del sistema

Diagrama de componentes de Salto Esquema simplificado del sistema de control de acceso Space.

Iconos de componentes de red

Icono	Descripción
Servidor de Space	Contiene el servicio Space y la base de datos SQL (SQL DB). Gestiona y controla, en tiempo real, todos los dispositivos online de Salto, por ejemplo, las puertas online que se operan mediante tecnología de radiofrecuencia (RF). También procesa las solicitudes de los clientes de Space.
Cliente de Space	Accede a aplicaciones cliente, como Space y Local IO Bridge.
Editor de tarjetas	Un codificador es un dispositivo externo que lee y actualiza las llaves con información de acceso, escribe permisos de acceso en las tarjetas (llaves). Los editores de tarjetas pueden conectarse a través de USB o Ethernet.
Cerradura electrónica	Permite o deniega el acceso, en función de los permisos de la llave presentada. Estos dispositivos pueden estar online u offline y funcionan con pilas. Las cerraduras BLUEnet que funcionan con pilas están equipadas con tecnología que permite la conexión online. Sin embargo, si estas cerraduras no están conectadas a un dispositivo de red, deben actualizarse mediante un PPD. Estas cerraduras se conocen como "autónomas" en el sistema Space.
Dispositivo portátil de programación (PPD)	Comunica información a la cerradura, como la identificación de la puerta y los detalles de configuración. Este dispositivo, que se comunica con las cerraduras mediante NFC, también se puede conectar físicamente a las cerraduras. Se utiliza para inicializar y actualizar dispositivos fuera de línea. Consulte PPD para obtener más información.
Controlador	Proporciona un control de acceso en tiempo real. Gestionado por el servidor de Space, el controlador funciona como una puerta IP online y como un actualizador de tarjetas. Los controladores se pueden conectar a lectores utilizando un bus RS485.
Gateway	Dispositivo destinado a un uso conjunto con puntos de acceso donde se necesite conexiones online. Una puerta de enlace actúa como un puente que transfiere información mediante cifrado de extremo a extremo hacia y desde los dispositivos detrás de ella al software. Gateways connect to electronic locks through the nodes, enabling offline locks to become connected.
Nodos y repetidores	También conocidos como extensores, los repetidores y nodos permiten aumentar la distancia entre una puerta de enlace y las cerraduras electrónicas. Un nodo debe estar conectado físicamente a un gateway mediante un cable RS485, mientras que los repetidores Salto BLUEnet permiten la comunicación inalámbrica.
JustIN Cloud	Actúa como un puente entre el backend de Space y la aplicación móvil JustIN.
Aplicación JustIN	La aplicación Salto JustIN Mobile permite a los usuarios utilizar sus teléfonos como llave. Garantiza que los usuarios puedan recibir su llave en línea, en cualquier momento y en cualquier lugar.

Nota importante: todos los dispositivos IP (es decir, unidades de control y codificadores) abren un puerto UDP en 1100 para comunicarse con el servidor de Space (consulte también Consideraciones de puertos de comunicación y conectividad).

En las siguientes secciones se explican con más detalle los requisitos de hardware y los aspectos de seguridad que hay que tener en cuenta al instalar Space tanto en el servidor de Space como en las máquinas cliente.

Servidor de Space

El servidor Space representa el corazón del sistema, ya que aloja tanto la base de datos de Salto como el servicio Space.

La base de datos de Space contiene datos relacionados con el sistema de control de acceso de la instalación, como los permisos de los titulares de tarjetas, el registro de auditoría de las cerraduras, el plan de cierre, etc.

El único sistema de base de datos backend compatible es MS-SQL Server (consulta también requisitos de hardware y sistema).

El servicio de Space, por otro lado, es un servicio de Windows NT desarrollado para la plataforma .NET. Proporciona las dos siguientes funcionalidades:

Realiza el control de acceso en tiempo real mediante la gestión y monitorización de los dispositivos online de Salto (tanto los puntos de acceso como los actualizadores SVN).
Atiende y procesa las solicitudes de los clientes de Space y los integradores.

El servicio de Space se configura mediante una herramienta de configuración llamada "ProAccess Space Configurator".

Requisitos de hardware y sistema

Aviso importante sobre el soporte de SQL Server: Microsoft SQL Server 2012 y 2014 ya no son compatibles en Space debido al fin del soporte oficial de Microsoft para estas versiones. Además, el soporte de LocalDB se interrumpirá en favor de SQL Server Express.

A partir de Space 6.13, solo se admiten motores SQL Server completos (incluyendo las ediciones Express, Standard y Enterprise) a partir de SQL Server 2016.

Para instalaciones existentes: Si actualmente utilizas SQL Server 2012/2014 o LocalDB, migra a SQL Server 2016 o superior.

Para instalaciones nuevas: No utilices SQL Server 2012/2014 o LocalDB. Utiliza SQL Server 2016 o superior desde el principio.

Consulta la guía sobre cómo migrar tu base de datos de Space de LocalDB a SQL Server para obtener más información sobre cómo realizar la migración, si fuera necesario.

Los requisitos de hardware y sistema para el servidor de Space son los siguientes:

Sistemas operativos compatibles: Microsoft Windows 11, Server 2016 o superior. Versiones de 32 y 64 bits.
Base de datos¹: Microsoft SQL Server 2016 o superior. Todas las ediciones admitidas, incluida "Express".

También se ajusta a los requisitos del sistema de la base de datos que se esté utilizando. Los requisitos actuales del sistema para Microsoft SQL Server Express se pueden encontrar en el siguiente enlace: https://technet.microsoft.com/en-en/library/ms143506.aspx

Microsoft SQL Native Client 11.0 (instalado de forma predeterminada por el programa de instalación de Space).
Hardware mínimo: depende principalmente de la cantidad de dispositivos IP (como codificadores Ethernet, gateways y CU42E0) que gestionará el software Space. Como regla general:
- Instalaciones con menos de 300 dispositivos IP: se requiere una máquina dedicada con al menos 2 vCPU/núcleos físicos a 2,5 GHz o superior y 8 GB de RAM.
- Instalaciones con 300 o más dispositivos IP: se requiere una máquina dedicada con al menos 4 vCPU/núcleos físicos a 2,5 GHz o superior y 16 GB de RAM.

En entornos de nube y virtualización, la capacidad de la CPU se expresa en vCPU (CPU virtuales). Una vCPU a menudo corresponde a un hilo de procesador, mientras que un núcleo físico puede proporcionar una o dos vCPU dependiendo del hardware subyacente y de si se utilizan tecnologías como Hyper-Threading.

Además, se recomienda una pantalla de alta resolución de 1024×768 y 32 bits (para trabajar con la aplicación web GUI a través de navegadores).

.NET framework 4.8.0 o posterior (incluido en el instalador).
El espacio necesario en el disco duro depende del tamaño del plan de cierre y de la política de limpieza de datos. Se recomienda un mínimo de 5 GB.
Resolver de nombres de máquina (DNS): Space usa nombres de máquina (en lugar de direcciones IP fijas) para las comunicaciones entre máquinas. A este respecto, se necesita un resolver de nombres de máquina (como un sistema de nombres de dominio o DNS) para resolver correctamente los nombres de máquina en la dirección IP correspondiente.
La fecha y la hora de la máquina del servidor deben estar correctamente configuradas antes de iniciar el software de Space. De lo contrario, el rendimiento de los dispositivos online (como las cerraduras RF) podría verse afectado negativamente.
Controles/extensiones LDAP requeridos:
- If cardholders or software operators are to be imported from your directory service (DS) to the Space DB via LDAP protocol, make sure that the following LDAP control/extension is supported by your DS or LDAP server: "1.2.840.113556.1.4.319". Por ejemplo, se sabe que Active Directory de Microsoft admite el control LDAP especificado, mientras que Oracle Directory Server Enterprise Edition (ODSEE) parece no admitirlo.

Consideraciones sobre la máquina virtual

En principio, el servicio Space (y su BD) se puede instalar y ejecutar en máquinas virtuales. A continuación, se enumeran consideraciones importantes que se deben tener en cuenta:

Asegúrese de que se dediquen suficientes recursos de CPU y RAM. Cualquier latencia debida a recursos insuficientes afectará negativamente a las interacciones entre el servicio Space y los dispositivos de control de acceso en línea y los usuarios finales.
En caso de que tu host esté equipado con más de una NIC física (controladora de interfaz de red), asegúrate de que todo el tráfico IP desde/hacia el software Space fluya a través de la misma NIC física (de lo contrario, puedes tener problemas de comunicación con los dispositivos online, como los CU50xx).
Si tu sistema es Windows Server 2012 R2 y tienes problemas de comunicación entre el servidor Space y los dispositivos IP de Salto, considera la posibilidad de desactivar la función VMQ (Virtual Machine Queue) en las NIC. Consulte el siguiente enlace para obtener más detalles: https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/poor-network-performance-hyper-v-host-vm

Puertos de comunicación y consideraciones de conectividad

El servicio Space no es un software aislado. Por el contrario, el servicio Space abre varios puertos de escucha para aquellos sistemas de terceros interesados en solicitar recursos y servicios de control de acceso (por ejemplo, PMS del hotel). También se aplica al revés, es decir, el servicio Space puede establecer conexiones con sistemas de terceros para obtener ciertos datos o servicios de ellos (por ejemplo, MS-SQL Server o la nube de Salto).

El siguiente diagrama muestra todos los puertos de comunicación gestionados por el servicio Space. Para los puertos TCP/IP, el símbolo de flecha indica el puerto de escucha al que se establece la conexión.

Importante: tenga en cuenta que todos los números de puerto para los puertos TCP/IP especificados en el siguiente diagrama no son valores fijos, sino valores predeterminados y se pueden cambiar a cualquier otro valor como se desee. Por el contrario, el puerto UDP 1100 abierto por los periféricos de Salto es fijo y no se puede modificar.

La siguiente tabla enumera todos los posibles puertos de comunicación (y su valor predeterminado) que puede usar el servicio Space según el tipo de integración.

Esquema de conectividad para Space

Esquema de conectividad para el servicio Space: todos los valores proporcionados para los puertos TCP/IP son configurables por software.

Puertos y conexiones desde y hacia el servicio Space

Tipo de sistema con el que comunicarse	Tipo de puerto, protocolo y configuración	Descripción
Sistema de gestión de bases de datos (MS-SQLServer)	- TCP/IP. - Configurable desde el software MS-SQLServer. - Valor predeterminado de 1433 por Microsoft.	MS-SQL Server® permite diferentes tipos de conexión: TCP/IP, canalizaciones con nombre o a través de memoria. TCP/IP es el recomendado. Como regla general, su número de puerto predeterminado es 1433. Además, el software SQLServer (más específicamente, el "SQLServer Browser") puede abrir un puerto UDP para permitir el descubrimiento de instancias de SQL Server (como regla general, tiene un valor predeterminado de 1434).
Dispositivos IP de Salto (codificadores de tarjetas, unidades de control, gateways, etc.)	- Puerto UDP. - Protocolo propietario. - Configurable desde el software. - Valor predeterminado de un valor aleatorio entre 5000-10000.	El software Space abre un único puerto UDP para comunicarse con todos los dispositivos IP de Salto. Por otro lado, los dispositivos IP de Salto abren un puerto UDP fijo en el 1100 (gateways, unidades de control y codificadores de tarjetas v1) o en el 4433 (codificadores v2).
Frontend de Salto (navegadores que utilizan la aplicación web Space)	- Puerto TCP/IP en modo de escucha. - Protocolo HTTP(S). - Configurable desde el software. - Valor predeterminado de 8100.	Este es el punto final del servidor web integrado. Los navegadores deben conectarse a este puerto para acceder a las páginas web de Space. La URL predeterminada es: `http://(nombre_máquina):8100` (nota: HTTPS muy recomendable).
Clientes Space	- Puerto TCP/IP en modo de escucha. - Protocolo HTTP(S). - Configurable desde el software. - Valor predeterminado de 8102.	Ciertos clientes de Space, como la aplicación web Space o la utilidad LocalIOBridge, se conectan a este puerto para recibir notificaciones en tiempo real.
Clientes frontend de Salto (mapeo gráfico)	- Puerto TCP/IP en modo de escucha. - Protocolo SOAP. - Configurable desde el software. - Valor predeterminado de 8099.	Este puerto solo lo utiliza el software de mapeo gráfico.
PMS de hotel: protocolo Oracle Hospitality PMS (FIAS)	- TCP/IP. - Protocolo Oracle Hospitality. - Configurable desde el software.	El servicio Space puede establecer una conexión TCP/IP con el PMS del hotel.
Hotel PMS: Protocolo estándar de la industria	- Puerto TCP/IP en modo de escucha. - Protocolo estándar de la industria (propietario). - Configurable desde el software.	El servicio Space puede abrir un puerto TCP/IP de escucha al que está conectado el PMS del hotel. También se admite la conexión serie RS232.
Clientes SHIP (protocolo SHIP)	Puerto TCP/IP en modo escucha. Protocolo SHIP (privativo) - Configurable desde el software.	El servicio de Space puede abrir un puerto de escucha TCP al que se conectan los clientes de SHIP para solicitar servicios de control de acceso.
Host SHIP (protocolo SHIP)	- TCP/IP. - Protocolo SHIP (privativo). - Configurable desde el software.	El servicio de Space puede establecer una conexión TCP/IP con el Host SHIP para solicitar permisos de acceso.
Ascensores Schindler: protocolo "PORT"	- TCP/IP - Protocolo "PORT" de Schindler - Configurable desde el software	El servicio de Space puede establecer una conexión TCP/IP con el servidor de Schindler.
Thyssenkrupp	- Puerto UDP. - Protocolo de Thyssenkrupp (privativo). - Puertos de escucha: 8039 y 8040. - Puertos de destino: 8038 y 8041. - Se necesita una NIC dedicada para la red de ascensores.	Thyssenkrupp escucha los latidos del corazón del servicio Space en 8038. El servicio Space transmite latidos de corazón en 8038. Thyssenkrupp transmite latidos de corazón de unidifusión en 8039. El servicio Space escucha los latidos de corazón de Thyssenkrupp en 8039. Thyssenkrupp transmite mensajes de datos al servicio Space en 8040. El servicio Space escucha los mensajes de datos de Thyssenkrupp en 8040. Thyssenkrupp escucha los mensajes de datos del servicio Space en 8041. El servicio Space transmite mensajes de datos a Thyssenkrupp en 8041.
Webhook HTTP(S)	- Protocolo HTTP(S) - Configurable desde el software	El servicio de Space puede establecer una conexión HTTP(S) con un punto final de terceros para enviar notificaciones en tiempo real
Flujo de eventos	- TCP/IP (modo cliente) o UDP - Configurable desde el software	El servicio de Space puede conectarse a una máquina de terceros a la que se van a enviar eventos de seguimiento de auditoría en tiempo real utilizando un protocolo propietario. Nota importante: considere usar la funciónaliad "webhook" (ver arriba) en lugar del "flujo de eventos", ya que la primera es más estándar, flexible y segura.
Cuadrícula de eventos de Transact	- Protocolo HTTPS - Configurable desde el software	El servicio de Space puede establecer una conexión websocket a un punto final de Event Grid de Microsoft para recibir comandos de Transact para la sincronización de la base de datos.
Directorio de servicio (LDAP/LDAPS)	- TCP/IP - Protocolo LDAP - Puertos estándar: 389 (LDAP), 636 (LDAPS) - Configurable desde el software	El servicio Space puede conectarse a un servicio de directorio (por ejemplo, Microsoft Active Directory) para importar titulares de tarjetas u operadores. Para una conexión segura (LDAPS), la opción Usar SSL debe estar habilitada en las Opciones generales de Space > Seguridad.
Nube de Salto	- TCP/IP (HTTPS) - Protocolo REST - Acceso a internet necesario	El servicio Space puede establecer conexiones con la nube de Salto ubicada en las siguientes URL: - `https://justin.saltowebservices.com` - `https://justin-msvn.saltowebservices.com` - `https://justin-tunnel.saltowebservices.com` - En general: `https://*.saltowebservices.com` Ten en cuenta que las conexiones a la nube de Salto solo son necesarias cuando se utilizan llaves móviles a través de la aplicación JustIN Mobile.
GANTNER Gx7	- TCP/IP (WS/WSS) - Puertos de destino: 80 y 443	El servicio de Space puede establecer conexiones websocket para comunicarse con los controladores Gantner Gx7.
API REST de Hospitality	- Protocolo HTTPS - Protocolo REST	Los gestores de credenciales en el sector de la hospitalidad que son compatibles con la plataforma Apple Wallet pueden conectarse al servicio Space para solicitar llaves de Apple Wallet (por ejemplo, para acceder a habitaciones de hotel durante el check-in). Consulta la sección Consideraciones de conectividad para la API de Hospitality para obtener más información.
Webhook de Hospitality	- Protocolo HTTPS	El servicio Space puede establecer conexiones con el gestor de credenciales para enviar notificaciones en tiempo real sobre las llaves de Apple Wallet.

Algunas consideraciones importantes a tener en cuenta en relación con la conectividad:

Asegúrese de que el Firewall de MS-Windows (o cualquier otro programa similar con capacidad de bloqueo, como el antivirus) no bloquee el servicio de Space. Si es necesario, agregue una nueva entrada de excepción en el Firewall de Windows para evitar el bloqueo del servicio de Space.
Algunos firewalls están configurados para cerrar automáticamente las conexiones TCP/IP que tienen un largo período de inactividad, lo que provoca problemas de comunicación dentro del sistema. Para evitar problemas de comunicación, asegúrese de que el firewall en su lugar no cierre automáticamente las conexiones TCP/IP cuando la inactividad es menor que:
- 5 minutos para conexiones websocket.
- 105 segundos para el protocolo Oracle Hospitality PMS (FIAS).

El espacio ha sido diseñado solo para entornos LAN. No lo exponga directamente a internet, ya que no es un entorno seguro y puede exponer el software a posibles riesgos de seguridad, como ataques DoS (denegación de servicio). Debe mantener el software dentro de un entorno de red seguro para garantizar su seguridad y confiabilidad. Si necesita acceder de forma remota a las páginas web de Space a través de Internet, utilice una VPN.

Space integra su propio servidor web. No se requiere ningún servidor web externo (como MS-IIS o Tomcat).
Soporte para proxy HTTP: puedes configurar el software Space para que todas las comunicaciones HTTP (por ejemplo, a la nube de Salto) se reenvíen a un servidor proxy.
Las conexiones a la nube de Salto (es decir, https://*.saltowebservices.com) solo son necesarias si vas a utilizar llaves digitales a través de la aplicación JustIN Mobile.
Si necesita recibir notificaciones en tiempo real, considere utilizar la funciónaliad "webhook" en lugar del "flujo de eventos": la primera es más estándar, flexible y segura que la segunda.

Consideraciones de permisos

A continuación, se detallan los permisos necesarios para que funcione el software Space:

La cuenta de Windows bajo la cual se ejecuta el servicio de Space (cuenta de Space en adelante) debe tener acceso total a la base de datos de Space. La forma más fácil es hacer que esa cuenta de Windows sea miembro de la función DB_OWNER dentro de la base de datos de Space.
La cuenta de Space debe tener acceso total a la carpeta raíz de Space (C:\SALTO\ProAccess Space por defecto) y a las carpetas que estén por debajo. Además, cualquier otra carpeta de trabajo (por ejemplo, utilizada para exportar o importar archivos) debe ser también accesible.
En última instancia, en caso de que se vaya a utilizar HTTPS, la cuenta de Space debe tener acceso al certificado correspondiente.

La buena noticia es que el programa de configuración administra todas las configuraciones anteriores por usted de forma predeterminada. Ten en cuenta que se requieren privilegios de administrador para iniciar el proceso de configuración.

En caso de una instalación nueva, la cuenta de Windows predeterminada para ejecutar el servicio Space será la cuenta integrada de bajo privilegio "Servicio de red". Bueno, más precisamente, su contraparte virtual:

NT SERVICE\ProAccessSpaceService

Por el contrario, en caso de una actualización de software, el programa de configuración respetará y mantendrá sin cambios la cuenta actual del servicio Space.

Esta configuración predeterminada y otras configuraciones se pueden modificar en cualquier momento mediante la herramienta de configuración del servicio denominada "ProAccess Space Configurator". Sin embargo, ten en cuenta que si cambias la cuenta de Windows del servicio Space a otra, deberás otorgarle manualmente permisos a todos los recursos mencionados anteriormente, es decir, la base de datos de Space, las carpetas de Space y el certificado HTTPS. .

Otras consideraciones de seguridad a tener en cuenta son las siguientes:

Se recomienda utilizar una cuenta sin contraseña, como las cuentas integradas de la máquina como "Servicio de red". De lo contrario, el servicio Space dejará de funcionar al expirar la contraseña.
Para usar la versión segura de HTTP (HTTPS), primero tendrás que especificar un certificado válido (utiliza el "Space Configurator" para seleccionar uno de los certificados registrados en el servidor). We highly recommend that you use HTTPS instead of HTTP. Note that the selected certificate must also be valid in the client machines in order to: 1. evitar el mensaje de advertencia de "conexión no confiable" que muestra el navegador, 2. los navegadores reciben notificaciones en tiempo real (como aperturas de puertas) del servidor.
Consideraciones adicionales cuando se utiliza el "Graphical Mapping" de Salto: el servicio Space aceptará conexiones del software GM solo si funciona bajo sesiones de usuario de confianza. En el caso de un entorno de dominio de Windows, los usuarios de confianza son miembros del mismo dominio de Windows que el del servidor Space: si el controlador de dominio no considera al usuario como un miembro válido, el cliente (es decir, asignador gráfico) no podrá conectarse al servicio.

Si no tienes un entorno de dominio de Windows sino un entorno de grupo de trabajo, deberás crear el usuario correspondiente tanto dentro del servidor Space como en la estación cliente para tener conexiones de confianza.

Consideraciones sobre la base de datos

Debe haber una, y solo una, instancia de la base de datos de Space en el local.

Importante: La manipulación directa de la base de datos de Salto Space (por ejemplo, alterar tablas, añadir índices o disparadores, crear procedimientos almacenados o modificar datos directamente mediante consultas SQL) no está permitida y anulará tu contrato de soporte. Estas acciones pueden provocar la corrupción de los datos y la inestabilidad del sistema. Además, no se garantiza que la estructura de la base de datos permanezca inalterada entre versiones del software, y cualquier modificación personalizada no autorizada puede fallar durante una actualización.

Por el bien del rendimiento, se recomienda encarecidamente que tanto la base de datos de Space como el servicio se instalen en la misma máquina del servidor. De lo contrario, cualquier latencia entre ambos componentes tendrá un impacto negativo en todas las interacciones con periféricos y sesiones frontales.

LocalDB

A partir de la versión 6.13 de Space, se ha dejado de dar soporte a LocalDB en favor de SQL Server Express. Consulta los requisitos de hardware y del sistema para más detalles. Consulta también cómo migrar tu base de datos de Space de LocalDB a SQL Server, si fuera necesario.

MS SQL Server

Las siguientes son las consideraciones más importantes a tener en cuenta con respecto a la base de datos MS-SQL Server:

Como se mencionó anteriormente, se recomienda encarecidamente tener tanto la base de datos de Space como el software instalados en la misma máquina.
Asegúrate de que la cuenta de Space sea miembro del rol DB_OWNER dentro de la base de datos de Space.
Asegúrate de que el nivel de compatibilidad de la base de datos de Space sea SQL2005 o superior.
Considera habilitar la conexión SSL en la instancia de MS SQL Server para que las comunicaciones entre la base de datos y el servicio Space estén encriptadas. Esto se recomienda cuando la base de datos no está ubicada en la misma máquina que el servicio Space. Consulte Apéndice C para obtener más detalles.

Migración de la política de contraseñas: Al actualizar las bases de datos de Space, las nuevas funciones de seguridad de las contraseñas se configuran automáticamente basándose en los ajustes anteriores. Las contraseñas de operador existentes siguen siendo válidas hasta que se cambien. Consulta la pestaña de Seguridad para obtener más información sobre las opciones de la política de contraseñas.

Mejores prácticas de seguridad

La siguiente es una serie de mejores prácticas para un sistema seguro:

Asegúrate de que el sistema operativo en tu máquina de servidor y estaciones de trabajo esté actualizado con los últimos parches de seguridad. Por supuesto, evita usar sistemas operativos Windows que hayan sido descontinuados y que el proveedor ya no les brinde soporte. Lo mismo se aplica al software MS-SQL Server utilizado para el almacenamiento de datos.
Utiliza una cuenta de Windows de bajo privilegio para ejecutar el servicio Space. Por ejemplo, NT SERVICE, o mejor, NT SERVICE\ProAccessSpaceService (de forma predeterminada en el programa de instalación).
Mantén la base de datos de Space aislada al no otorgar permiso de acceso a ningún otro usuario. Solo el servicio Space (aparte de los administradores del sistema) debe tener acceso a la base de datos de Space.
Para el bien del rendimiento, así como de la seguridad, se recomienda encarecidamente que tanto la base de datos de Space como el servicio se instalen en la misma máquina del servidor.
En el servidor MS-SQL, habilita SSL para las conexiones de base de datos. Esto es importante cuando tanto la instancia de la base de datos como el servicio Space no se encuentran en la misma máquina.
Utiliza HTTP seguro (HTTPS) cuando conectes los navegadores del cliente al servidor web de Space. Ten en cuenta que la configuración de HTTPS no es fácil y requiere el apoyo del personal de TI.
- Utiliza un certificado firmado por una autoridad de certificación (CA). Los certificados autofirmados solo deben utilizarse para pruebas, nunca para entornos de producción.
- HTTPS utiliza protocolos SSL/TLS internamente para proporcionar privacidad e integridad de datos entre dos partes. Existen varias versiones de SSL/TLS, y el software Space delega la negociación del protocolo TLS a la biblioteca Schannel de Windows. Se requiere TLS 1.2 o superior para una comunicación segura. TLS 1.0 y TLS 1.1 están obsoletos y son inseguros; deben desactivarse a nivel de sistema operativo. Utiliza TLS 1.2 o superior para todas las conexiones. Consulta el Apéndice A para más detalles.
- Los conjuntos de cifrado, que son grupos de algoritmos que definen cómo SSL/TLS asegura las comunicaciones, son negociados por Windows (a través de Schannel/HTTP.SYS). Space delega toda la configuración de TLS al sistema operativo. Para seguir las mejores prácticas de seguridad, configura Windows para habilitar solo los siguientes conjuntos de cifrado seguros. Deshabilita todos los demás conjuntos de cifrado, principalmente las alternativas más débiles (como las que utilizan el modo CBC, algoritmos obsoletos o intercambios de llaves sin secreto directo):
  - TLS 1.3 (recomendado):
    - TLS_AES_256_GCM_SHA384
    - TLS_AES_128_GCM_SHA256
    - TLS_CHACHA20_POLY1305_SHA256
  - TLS 1.2 (mínimo requerido):
    - TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
    - TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
    - TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    - TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    - TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Cualquier conjunto de cifrado habilitado a nivel del sistema operativo Windows estará disponible para la negociación. No deshabilitar los conjuntos de cifrado débiles puede derivar en vulnerabilidades de seguridad.

Si necesitas recibir notificaciones en tiempo real del servicio Space, te recomendamos encarecidamente utilizar la funcionalidad webhook basada en HTTPS en lugar de la funcionalidad de "flujo de eventos", ya que la primera es más estándar, flexible y segura.
Si se utiliza la autenticación de Space, asegúrate de que haya una política de contraseñas adecuada habilitada (por ejemplo, contraseñas con letras, números y símbolos). También puedes considerar el uso de la autenticación LDAP para iniciar sesión en el software Space.
Para un inicio de sesión más seguro, se recomienda activar la función de autenticación de dos factores (2FA)².
Asegúrese también de que la función de cierre de sesión automático está activada para que la sesión del usuario se cierre automáticamente después de que se detecte inactividad durante la cantidad especificada de segundos.
Back up the Space database on a regular basis (daily at least). This is essential for disaster recovery, business continuity and information security. Se recomienda encarecidamente guardar las copias fuera de las instalaciones.
No exponga Space directamente a Internet. Como se sabe, Internet no es un entorno completamente seguro y puede exponer el software a posibles riesgos de seguridad. Por lo tanto, mantenga el software dentro de un entorno de red seguro para garantizar su seguridad y confiabilidad. Si necesita acceder a Space desde puntos remotos a través de Internet, utilice VPN en su lugar.

Máquinas cliente

Las máquinas cliente sólo necesitan un navegador web para empezar a interactuar con el servicio de Space. No hay necesidad de ningún software extra excepto cuando sea necesario trabajar con dispositivos USB. Las siguientes subsecciones explican con más detalle todas las consideraciones relativas a las máquinas cliente.

La aplicación web Space

Los navegadores web son la ventana desde la que interactuar con el software Salto Space. La URL predeterminada para conectarse es:

http://{{host_machine_name}}:8100

donde {{host_machine_name}} es el nombre del servidor (en el que se ejecuta el servicio Space).

Ten en cuenta que puedes personalizar en cualquier momento (mediante la utilidad de configuración) esta URL y cambiarla, por ejemplo, a otro número de puerto o hacerla más segura seleccionando HTTPS³ .

A continuación, se indican los requisitos del sistema para el front-end de Space:

Navegador web: cualquier navegador moderno que cumpla con HTML5. Por ejemplo: Chrome, Firefox, Edge, Safari, etc. Internet Explorer también es compatible, aunque no se recomienda debido a su bajo rendimiento. No se requiere Silverlight.
Hardware: CPU de 1 GHz (o superior) y 4 GB de RAM.
Sistemas operativos: si tu equipo cliente va a gestionar dispositivos USB (como PPD o encoders de tarjetas), entonces se requiere Windows, ya que el programa Bridge (explicado en la siguiente sección) solo admite equipos Windows (Windows 11, Server 2016 o superior). De lo contrario, si no se va a conectar ningún dispositivo USB, se puede utilizar cualquier sistema operativo.

Nota: El plugin Adobe Flash Player para el uso de cámaras web ya no es compatible y la cámara web solo es accesible a través de conexiones HTTPS seguras.

Una última consideración a tener en cuenta es que el frontend de Space se ha diseñado para ordenadores de sobremesa. Aunque puede que funcione bien en dispositivos móviles iOS o Android, la experiencia de usuario (UX) en este tipo de dispositivos dista mucho de ser óptima.

El programa "bridge" entre el servicio Space y los dispositivos USB

Consulta las notas técnicas de Local IO Bridge para más detalles.

Los navegadores web imponen múltiples restricciones (por motivos de seguridad) a las aplicaciones web cuando se trata de utilizar recursos locales del sistema, como los puertos USB. Es por esto que la aplicación web Space no puede obtener acceso a los puertos USB y, por tanto, a los dispositivos USB de Salto conectados a ellos (como PPD o encoders de tarjetas).

Salto ofrece una solución para este problema: el llamado programa "Local IO Bridge". Se trata de un diminuto servicio de Windows NT que debe instalarse solo en aquellos equipos cliente a los que deban conectarse dispositivos USB de Salto.

El programa "Local IO Bridge" se puede instalar desde la aplicación web Space (es decir, desde el navegador). También se puede encontrar una copia de este programa en la carpeta ..\dist del servidor.

El programa "Local IO Bridge", como su nombre indica, funciona como un "puente de comunicación" entre el servicio Space y el dispositivo USB.

Esto se logra, en primer lugar, estableciendo una conexión TCP/IP con el servicio Space y, en segundo lugar, abriendo el puerto USB al que está conectado el dispositivo de Salto. Una vez abiertos ambos extremos, el "Local IO Bridge" no hace más que retransmitir los mensajes de un extremo al otro. El resultado final es que el servicio Space del servidor controla de forma remota los dispositivos USB.

En resumen, a continuación se detallan las principales consideraciones sobre el programa "Local IO Bridge":

El instalador del programa "Local IO Bridge" se puede descargar desde la aplicación web Space (desde el navegador web). También se puede encontrar una copia de este programa en la carpeta ..\dist del servidor. La instalación es sencilla y directa.
El "Local IO Bridge" requiere .NET framework 4.8.0 o posterior (el instalador lo descargará e instalará automáticamente desde internet si no está presente). El sistema operativo debe ser Windows 11, Server 2016 o superior.
El "Local IO Bridge" puede instalarse desde la línea de comandos en modo silencioso, es decir, en modo desatendido⁴. Esto ayuda al despliegue automatizado del programa en los equipos cliente. Para ello, debes utilizar los parámetros "quiet" e "installDir", tal como se muestra en el ejemplo siguiente:

C:\setup_saltolocaliobridge.exe -quiet -InstallDir= "C:\SALTO\ Local IO Bridge"

donde el parámetro "installDir" debe ir seguido de la ruta de la carpeta de destino.

Cada vez que se requiere un proceso de comunicación entre el dispositivo USB local y el servicio Space en el servidor (por ejemplo, para leer una tarjeta en un codificador de tarjetas de Salto), se establece una conexión TCP/IP desde el programa "Local IO Bridge" al servidor. El puerto TCP/IP de destino predeterminado es el 8102, aunque se puede configurar con otro valor si se desea. Consulte también Puertos y conexiones desde y hacia el servicio Space.
Además, el programa "Local IO Bridge" abre dos puertos de escucha a los cuales se conecta la aplicación web Space (que se ejecuta dentro del navegador). Sus números de puerto pueden ser cualquier valor dentro del rango 50000-51000.
Asegúrate de que el programa "Local IO Bridge" se esté ejecutando (como un servicio de Windows NT) antes de trabajar con dispositivos USB de Salto. La aplicación web Space te mostrará un mensaje de advertencia si detecta que el programa "Local IO Bridge" no está disponible.

Puertos y conexiones desde y hacia el servicio "Local IO Bridge"

Tipo de sistema con el que comunicarse	Tipo de puerto, protocolo y configuración	Descripción
Dispositivos de Salto: USB o RS232	- USB, RS232 - Configurable desde el software	El servicio "Local IO Bridge" abre el puerto USB (o RS232) requerido para comunicarse con el dispositivo de Salto conectado.
Servicio Salto Space	- TCP/IP. - Protocolo HTTP(S) - Puerto 8102 por defecto - Configurable desde el software	El servicio "Local IO Bridge" establece una conexión con el servicio Space cada vez que se requiere un proceso de comunicación con un dispositivo USB (por ejemplo, leer una tarjeta en el grabador).
Aplicación web Salto Space	- Dos puertos TCP/IP en modo de escucha - Protocolo HTTP(S)	La aplicación web Space (dentro del navegador) se conecta a estos dos puertos. Esto permite a la aplicación web solicitar al "Local IO Bridge" información y estado de los puertos, y realizar acciones en los dispositivos USB.

Apéndice A: Protocolos de seguridad y conjuntos de cifrado para HTTPS

HTTPS utiliza internamente SSL (Secure Socket Layer) o su versión más reciente TLS (Transport Layer Security) para proporcionar privacidad e integridad de los datos entre dos partes. El software Space admite SSL/TLS mediante una biblioteca de Microsoft llamada Schannel.dll, que forma parte de la plataforma Windows (incluyendo Windows 11, Server 2012 R2, Server 2016, etc.).

La biblioteca Schannel admite varias versiones de SSL/TLS (incluidas SSL v2.0, SSL v3.0, TLS v1.0, TLS v1.1, TLS v1.2 y TLS 1.3), así como varios algoritmos criptográficos.

Space aplica TLS 1.2 o superior para todas las conexiones salientes (por ejemplo, servidores WebSocket y solicitudes de cliente HTTP a servicios externos). Para las conexiones entrantes del servidor web, las versiones de protocolo permitidas dependen de la configuración del sistema operativo. Aunque TLS 1.0 y TLS 1.1 puedan estar técnicamente habilitados a nivel de SO, estos protocolos están obsoletos y son inseguros. Los administradores deben desactivarlos y asegurarse de que solo se permita TLS 1.2 o superior.

En principio, la biblioteca Schannel elegirá automáticamente el mejor protocolo y algoritmo criptográfico en función de las capacidades del cliente y del servidor. Sin embargo, puede configurar Schannel.dll para controlar el uso de versiones específicas del protocolo SSL/TLS y los conjuntos de cifrado. Esta configuración se realiza estableciendo determinadas claves de registro en el registro de Windows, tal y como se explica en el siguiente artículo de Microsoft:

https://support.microsoft.com/en-us/help/245030/how-to-restrict-the-use-of-certain-cryptographic-algorithms-and-protocols-in-schannel.dll

Tenga en cuenta que esta configuración de seguridad tiene un alcance de toda la máquina y no se puede configurar por aplicación. Esto significa que los cambios en la configuración de Schannel afectarán a todas las aplicaciones que utilizan la biblioteca Schannel.

La manipulación directa de las claves de registro no es fácil. Una forma más cómoda de configurar las opciones de seguridad es utilizar una herramienta de la empresa "Nartac Software" llamada IISCrypto:

IISCrypto es una herramienta gráfica gratuita (véanse las capturas de pantalla a continuación) creada para simplificar la habilitación y deshabilitación de diversos protocolos y conjuntos de cifrado.

Captura de pantalla de la herramienta de conjuntos de cifrado de IISCrypto

Anexo B: Provisión de certificación para HTTPS

La provisión de certificaciones HTTPS en entornos LAN no es una tarea fácil y debe ser realizada por personal informático cualificado. Esta sección no es de ninguna manera un manual exhaustivo para crear e instalar certificados para el Space HTTPS endpoint, sino más bien una guía simplificada. La siguiente imagen muestra los pasos principales:

Cree una autoridad de certificación (CA) corporativa. Si aún no tiene una, comience por crear su CA "raíz" (será un certificado autofirmado). Especifique los valores para campos como la caducidad, las claves, el algoritmo hash, etc.
Distribuya la CA corporativa creada entre las máquinas cliente. El certificado debe añadirse al almacén de entidades de certificación raíz de confianza.
Cree el certificado de Space y fírmelo con la CA corporativa. El campo que más importa dentro del certificado de Space es el "Nombre común". Ahí es donde se proporciona el nombre de host del servidor de Space ("Server01" en el ejemplo).
Instale el certificado de Space en el servidor de Space. Si es necesario, conceda permiso de acceso a la cuenta de Windows del servicio de Space al certificado.
Configure el software de Space (con la herramienta de configuración) para que utilice el certificado de Space.

Provisión de certificación para HTTPS Provisión de certificaciones HTTPS

Anexo C: Configurar MS-SQL Server para forzar conexiones cifradas

Lo que sigue es la forma de configurar el servidor para forzar conexiones cifradas con los clientes de la base de datos (consulte las imágenes de abajo):

En SQL Server Configuration Manager, expanda **Configuración de red de SQL **Server, haga clic con el botón derecho en Protocolos para {{server_instance}} y, a continuación, seleccione Propiedades.
En el cuadro de diálogo Propiedades de Protocolos para {{instance_name}}, en la pestaña Certificado, seleccione el certificado deseado en el menú desplegable del cuadro Certificado y, a continuación, haga clic en Aceptar.
En la pestaña Marcas, en el cuadro Forzar cifrado, seleccione Sí y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.
Reinicie el servicio SQL Server

Si no se ha provisionado ningún certificado en el paso 2, SQL Server genera un certificado autofirmado, que podría ser más que suficiente cuando tanto el servicio de Space como la DB están ubicados en la misma máquina. La opción más segura es, por supuesto, utilizar un certificado verificable, aunque implica una gestión más compleja.

En el caso de que se proporcione un certificado verificable, la cuenta de servicio de SQL Server debe tener permisos de lectura sobre el certificado utilizado para forzar el cifrado en el SQL Server. Para una cuenta de servicio sin privilegios, será necesario añadir permisos de lectura al certificado. Si no se hace, el reinicio del servicio SQL Server puede fallar.

Más detalles:

https://learn.microsoft.com/en-us/sql/database-engine/configure-windows/configure-sql-server-encryption?view=sql-server-ver15#to-configure-the-server-to-force-encrypted-connections

Registro de cambios

La tabla siguiente registra los cambios importantes en el documento de requisitos del sistema de Space a lo largo del tiempo.

Fecha	Cambio
Mayo de 2026	SQL Server 2012 y 2014 ya no son compatibles. La versión mínima admitida es ahora SQL Server 2016.
Mayo de 2026	Soporte de LocalDB discontinuado. Utiliza SQL Server Express o una edición completa de SQL Server en su lugar.
Mayo de 2026	Plugin Adobe Flash Player ya no es compatible para el uso de webcam. La webcam ahora solo es accesible a través de conexiones HTTPS seguras.
Feb 2026	Actualizadas las mejores prácticas de seguridad: recomendaciones de suite de cifrado TLS revisadas con guía explícita sobre la desactivación de suites de cifrado débiles.
Nov 2025	TLS 1.2 aplicado como mínimo para todas las conexiones de servicio salientes de Space. TLS 1.0 y TLS 1.1 deben estar desactivados a nivel de SO.
Sep 2025	Añadidos los requisitos de conectividad para la API REST de hostelería y webhook de hostelería.
Dic 2024	Requisito de .NET Framework para Local IO Bridge actualizado a 4.8.0 o posterior.

Notas a pie de página

Al momento de escribir este documento, y según Microsoft, MS SQL Server no se puede instalar en un controlador de dominio de Windows Server (consulte https://support.microsoft.com/en-us/kb/2032911). ↩︎
Puede usar cualquier aplicación móvil 2FA que admita el algoritmo estándar RFC 6238 para la generación de códigos de acceso únicos basados en el tiempo. Por ejemplo, Google Authenticator, Microsoft Authenticator, Twilio's Authy, etc. ↩︎
Asegúrese de que el certificado utilizado por el servicio de Space también sea válido en la máquina cliente. De lo contrario, el navegador le mostrará un mensaje de advertencia ("conexión no confiable"). Lo que es peor, el equipo cliente no podrá recibir notificaciones en tiempo real desde el servidor (como aperturas de puerta en la ventana de monitorización). ↩︎
El interruptor "InstallDir" (usado para especificar la carpeta de destino) es compatible en Space versión 4.0.3.11 o anterior. ↩︎