Centro de Confianza
Seguridad
Cómo protegemos sus datos, infraestructura y negocio.
Última Actualización: Abril 2026
1. Certificaciones
Partner Stripe
Pagos via Stripe, PCI DSS Nivel 1.
ActiveRGPD
Procesamiento conforme al RGPD. DPA disponible.
ActiveOWASP
Conformidad auto-atestada OWASP Top 10 (2025).
ActiveISO 27001
En preparación.
In Progress2. Datos y Privacidad
Para detalles completos sobre datos recopilados, retención, derechos RGPD y subprocesadores, consulte nuestra Política de Privacidad.
- PII de invitados cifrado con AES-256-GCM
- Registros de auditoría: 12 meses con eliminación automática
- Intentos de inicio de sesión: 90 días con eliminación automática
- Nunca almacenamos datos de tarjeta — Stripe gestiona todo
- Sin cookies de rastreo, sin venta de datos
Un Acuerdo de Procesamiento de Datos (DPA) está disponible bajo solicitud.
3. Infraestructura
Nuestra infraestructura está alojada en proveedores confiables y compatibles con SOC 2:
| Service | Provider | Detail |
|---|---|---|
| API Backend | Railway | Servidor Node.js/Express |
| Base de Datos | MongoDB Atlas | MongoDB gestionado con TLS |
| Sitio de marketing | Netlify | Alojamiento estático con CDN |
| Pagos | Stripe | PCI DSS Nivel 1 |
| Resend | Email transaccional | |
| Gateway IoT | Railway | Integración Shelly |
Seguridad de Red
- TLS en todas las conexiones
- CORS restringido
- CSP configurado
- Limitación de tasa en todos los endpoints
4. Prácticas de Seguridad
Cifrado
- TLS 1.2+ en tránsito
- AES-256-GCM en reposo
- bcrypt factor 12
- PBKDF2-SHA256 100k iteraciones
- Claves API con hash SHA-256
Autenticación
- JWT con tokens de 45 minutos
- Rotación de refresh tokens
- Revocación al cerrar sesión
- MFA basado en TOTP
- Bloqueo tras 5 intentos fallidos
- Control de acceso basado en roles
- Tokens MFA pendientes bloqueados
Protección de Entrada
- Prevención de inyección NoSQL
- Consultas parametrizadas
- Payload limitado a 10KB
- Complejidad de contraseña obligatoria
- Validación de Content-Type
- Límites de longitud
Cabeceras de Seguridad
- HSTS con preload
- CSP
- X-Frame-Options: DENY
- nosniff
- no-referrer
- Permissions-Policy
- Cache-Control: no-store
Auditoría
- Registro de auditoría completo
- Rastreo de intentos de login
- Correlación X-Request-Id
- Sin stack traces en respuestas
5. Cumplimiento OWASP Top 10
Todas las categorías pasan:
| ID | Category | Status |
|---|---|---|
| A01 | Control de Acceso | Pasa |
| A02 | Fallos Criptográficos | Pasa |
| A03 | Inyección | Pasa |
| A04 | Diseño Inseguro | Pasa |
| A05 | Configuración Incorrecta | Pasa |
| A06 | Componentes Vulnerables | Pasa |
| A07 | Fallos de Autenticación | Pasa |
| A08 | Integridad de Datos | Pasa |
| A09 | Registro y Monitoreo | Pasa |
| A10 | SSRF | Pasa |
Pruebas
- 2.507 tests automatizados
- 37 tests de penetración OWASP
- 80+ tests manuales trimestrales
- Runbook de respuesta a incidentes
Seguridad Continua
- Dependabot
- Auditoría npm semanal
- Hooks pre-commit
- 0 vulnerabilidades conocidas
6. Divulgación de Seguridad
Reporte vulnerabilidades de forma responsable: