Seguridad

Hosteamos en proveedores cloud tier-1 (AWS, GCP, Vercel, Cloudflare) con atestaciones SOC 2 / ISO 27001. Los entornos de producción están aislados del desarrollo. Los secretos viven en vaults manejados — nunca en repositorios. Todo el tráfico de red está encriptado con TLS y el almacenamiento se encripta en reposo con keys manejadas por el proveedor (con opciones de customer-managed keys a solicitud).

MFA obligatoria para cuentas administrativas y cualquier sistema con datos de clientes. El acceso es por roles y se revisa trimestralmente. El acceso a producción requiere aprobación escrita y queda registrado. Personal saliente pierde acceso en menos de 24 horas.

Todos los inputs se validan en servidor con esquemas estrictos. Autenticación, autorización y audit logging se diseñan de origen. Las dependencias se escanean semanalmente; los CVEs críticos se parchean por SLA. El análisis estático corre en CI. Las apps salen con headers CSP, HSTS, X-Frame, Referrer-Policy y Permissions-Policy.

Los sistemas de producción tienen logging, métricas y tracing. Usamos Sentry para reporte de errores y un log sink manejado para logs estructurados. Existen rotaciones on-call para engagements de cliente que lo necesiten. Los incidentes activan un playbook documentado: contener → erradicar → recuperar → revisar. Nos comprometemos a notificar a clientes afectados en menos de 72 horas tras confirmar un incidente material.

¿Encontraste algo? Apreciamos la divulgación responsable. Escribe a [email protected] con detalles de reproducción. Respondemos en 1 día hábil y buscamos resolver issues de severidad alta en 7 días. No demandamos a investigadores que actúan de buena fe; te damos crédito públicamente si lo deseas.