Seguridad primero

Seguridad

La seguridad de tus datos es nuestra máxima prioridad. Implementamos medidas de seguridad estándar del sector para proteger tu negocio y la información de tus clientes. Todos los datos se alojan en Alemania, dentro de la Unión Europea, sobre la infraestructura de Hetzner.

Active

Monitoring

<72h

Notificación de violación

TLS 1.3

Cifrado en transporte

RGPD

Cumplimiento

Protección de datos

Cifrado en reposo

Cifrado

Los volúmenes de la base de datos se cifran en reposo a nivel de infraestructura. Las credenciales sensibles y los tokens de pago se cifran adicionalmente a nivel de aplicación antes de almacenarse.

Cifrado en tránsito

TLS 1.3

Todos los datos transmitidos entre tu navegador y nuestros servidores se cifran mediante TLS 1.3 con suites de cifrado modernas.

Autenticación OAuth 2.0

OAuth 2.0

Utilizamos OAuth 2.0 estándar del sector con Google, Facebook y Apple para una autenticación segura. No se almacenan contraseñas.

Seguridad de tokens JWT

Rotación

Los tokens de acceso caducan después de 1 hora. Los tokens de actualización se rotan en cada uso y pueden revocarse al instante.

Seguridad de la infraestructura

ISO 27001 (CD)

Alojado en Hetzner en Alemania. Los centros de datos de Hetzner están certificados ISO 27001 y ofrecen seguridad física de nivel empresarial y mitigación de DDoS en el borde de la red.

Copias de seguridad de la base de datos

Copias

Las copias de seguridad de PostgreSQL se realizan antes de cada despliegue de producción y cada migración. Las copias se almacenan en volúmenes protegidos y se conservan para permitir una reversión rápida.

Prácticas de seguridad

Monitoreo de errores

Los errores de la aplicación y los intentos de autenticación fallidos se registran y supervisan mediante Sentry para detectar anomalías a tiempo.

Actualizaciones periódicas

Las dependencias y sistemas se actualizan periódicamente para corregir vulnerabilidades de seguridad y mantener las buenas prácticas.

Controles de acceso

El aislamiento de datos por usuario y el control de acceso basado en roles (RBAC) garantizan que los miembros del equipo solo accedan a los datos necesarios para su rol.

Revisión interna de código

Los cambios de código pasan por una revisión interna de seguridad con herramientas automatizadas (Bandit, análisis de dependencias) antes de su publicación.

Cumplimiento y certificaciones

Conforme al RGPD

Acuerdos de procesamiento de datos
Derecho de acceso y eliminación
Portabilidad de datos
Notificación de violación

PCI DSS

Procesamiento seguro de pagos a través de iyzico
No se almacenan datos de tarjetas
Transacciones tokenizadas
Protección contra fraude

Respuesta a incidentes

Nuestro compromiso

En el caso improbable de un incidente de seguridad que afecte sus datos, nos comprometemos a:

Notificar a los usuarios afectados dentro de 72 horas del descubrimiento
Proporcionar información clara sobre qué datos fueron afectados
Tomar medidas inmediatas para contener y remediar el incidente
Realizar revisiones exhaustivas posteriores al incidente

Reportar una vulnerabilidad

Apreciamos la divulgación responsable. Si descubre una vulnerabilidad de seguridad, repórtela a contact@clientflow.center

Acusaremos recibo dentro de 24 horas y trabajaremos con usted para comprender y abordar el problema rápidamente.

Documentos relacionados

Política de privacidad Acuerdo de Procesamiento de Datos Términos de servicio