Seguridad por diseño

Seguridad por diseño (security by design) significa que no añadimos la seguridad después, sino que la integramos desde el principio en la arquitectura, el desarrollo y la operación. Nuestros principios son los mismos en todos los idiomas y regiones: confianza mediante transparencia, prevención antes que reacción y mejora continua.

Construimos y operamos la plataforma para garantizar la disponibilidad, integridad y confidencialidad de sus datos. Utilizamos técnicas y estándares contrastados y, cuando es posible, nos alineamos con marcos reconocidos como ISO/IEC 27001, sin afirmar que nosotros mismos estamos plenamente certificados.

La red se compone de dos capas: la red edge y la red de cómputo. Juntas aportan velocidad, seguridad y escalabilidad.

Flujo de tráfico: Las peticiones entrantes llegan primero a la red edge, distribuida por muchas ubicaciones en el mundo. Cada petición se dirige al punto edge más cercano. Allí pasa por mitigación DDoS y el Web Application Firewall (WAF). La respuesta se sirve desde la caché edge (contenido estático) o se reenvía a la red de cómputo donde corre su aplicación.

Caché en el edge: Los estáticos (CSS, JavaScript, imágenes) se cachean en el edge. Así se reduce la carga en la aplicación y la latencia para los usuarios. La caché se purga automáticamente en cada despliegue para no servir archivos obsoletos. Puede definir sus propios encabezados Cache-Control y Expires; se respetan.

Red de cómputo: La aplicación se ejecuta en una red privada y no es accesible directamente desde internet público. El acceso es solo a través de la red edge. El cómputo se distribuye en varias zonas de disponibilidad (multi-AZ) para estabilidad y recuperación rápida ante fallos. El tráfico se reparte entre las instancias (load balancing).

Tráfico saliente: Las peticiones salientes de la plataforma usan direcciones IP fijas por región, disponibles para listas blancas en firewalls, grupos de seguridad o servicios externos que su aplicación deba llamar.

El tráfico hacia y desde la plataforma pasa por una red edge global. Con ello logramos:

• Protección DDoS en capas de red (L3/L4) y de aplicación (L7), con detección y mitigación automáticas de ataques de denegación de servicio distribuida.
• Web Application Firewall (WAF) con conjuntos de reglas alineados con OWASP Top 10. El tráfico se filtra antes de llegar a su aplicación.
• Cifrado SSL/TLS para todas las conexiones. Opcionalmente Strict-Transport-Security (HSTS) para forzar HTTPS.
• Encabezados de seguridad en cada respuesta: X-Frame-Options (contra abuso por iframes), X-Content-Type-Options: nosniff (contra confusión de tipo MIME).
• Gestión de bots: para ciertos tipos de tráfico automatizado (p. ej. crawlers o monitorización) se puede mostrar un desafío JavaScript; los usuarios legítimos pasan.
• Limitación de tasa: límite de peticiones por IP por ventana de tiempo, con acciones como desafío, throttling o bloqueo temporal contra abusos. Restricciones adicionales ante respuestas de error repetidas (4xx) o superación del límite.
• Modo bajo ataque: en caso de DDoS L7 grave o picos de tráfico sospechosos se puede activar una capa extra. Los visitantes ven brevemente una página de verificación y deben superar un desafío JavaScript; el tráfico válido se permite y el sospechoso o automatizado se bloquea. Este modo expira automáticamente tras un periodo definido.

En la capa de aplicación utilizamos, entre otras cosas:

• Reglas de seguridad gestionadas que se actualizan ante nuevas amenazas, incluyendo protección zero-day cuando la ofrecen los servicios subyacentes.
• Detección de abusos como credenciales filtradas, cargas maliciosas y exposición de datos sensibles.
• Analíticas de seguridad para revisar el tráfico bloqueado y mitigado y afinar la configuración.

Cuando es posible nos alineamos con la inteligencia de amenazas actual y las mejores prácticas para limitar las amenazas de forma proactiva.

La aplicación se ejecuta en un entorno aislado y gestionado de forma profesional. Las características incluyen:

• Infraestructura dedicada: propio cómputo, red y escalado cuando se necesita, para un rendimiento predecible y sin "vecinos ruidosos".
• Red privada: la aplicación solo es accesible vía la red edge, no directamente desde internet público. Conectividad con los servicios de soporte cuando es posible por redes privadas, para menor latencia y menos exposición.
• Direcciones IP de salida estáticas por región, para listas blancas sencillas, trazabilidad y cumplimiento.
• Alta disponibilidad con conmutación automática por error: varios nodos en zonas de disponibilidad y balanceo de carga entre instancias al escalar horizontalmente.

El entorno está diseñado con la compliance en mente: cómputo aislado, superficie de ataque reducida y operación según mejores prácticas.

Los datos personales y otra información sensible se protegen mediante:

• Cifrado en tránsito (como se ha descrito) y, cuando aplica, cifrado en reposo para los datos almacenados.
• Control de acceso estricto y principio de mínimo privilegio: solo lo necesario para la tarea.
• Registro y supervisión para detectar e investigar incidentes.

Conocemos ISO/IEC 27001 (sistemas de gestión de la seguridad de la información) y aplicamos los principios y controles que describe donde es viable y apropiado en nuestra arquitectura y prestación de servicios—incluyendo gestión de riesgos, control de acceso, criptografía y mejora continua de la seguridad.

No afirmamos estar plenamente certificados según ISO 27001 como organización; sí tomamos la norma en serio y actuamos conforme a ella cuando podemos. Para cuestiones concretas de cumplimiento (p. ej. acuerdos de tratamiento de datos o auditorías), póngase en contacto con nosotros.

La seguridad no es un paso puntual sino un proceso continuo. Supervisamos amenazas, ajustamos configuraciones y reglas y utilizamos procesos seguros de desarrollo y release. En caso de incidentes seguimos procedimientos claros de comunicación y recuperación.

Si tiene preguntas sobre nuestro enfoque o necesita más detalle técnico o legal, contáctenos.

Estamos comprometidos con una plataforma segura y conforme. Nos alineamos con marcos reconocidos sin afirmar que nosotros mismos poseamos todas las certificaciones relacionadas.

SOC 2 Type 2 es un marco (desarrollado por el AICPA) que se centra en cómo los servicios permanecen seguros y protegen los datos de los clientes. Incluye cinco Trust Services Categories con criterios de seguridad, confidencialidad, disponibilidad y más. La infraestructura y los procesos en los que se ejecuta la plataforma se diseñan, cuando aplica, según los mismos principios: Security, Confidentiality y Availability.

ISO/IEC 27001 es el estándar internacionalmente reconocido para sistemas de gestión de la seguridad de la información (SGSI). Como se describe en la sección Estándares y cumplimiento, aplicamos los principios y controles que describe donde es viable y apropiado en nuestra arquitectura.

Qué significa esto para usted:

• Seguridad de datos: protección de sus datos frente a acceso, uso, divulgación, alteración, modificación o destrucción no autorizados.
• OWASP Top 10: el tráfico a través de nuestra red edge se filtra con conjuntos de reglas alineados con OWASP Top 10 (inyección, autenticación, exposición de datos, etc.) antes de llegar a su aplicación.
• Disponibilidad: compromiso con el funcionamiento continuo de la plataforma y la minimización de tiempos de inactividad.
• Confidencialidad: mantenimiento de la privacidad de sus datos y prevención del acceso no autorizado.
• Cumplimiento: adhesión a las mejores prácticas y normativa aplicable cuando corresponda.

Mantenemos esta página actualizada. Para preguntas sobre nuestro cumplimiento o seguridad, contáctenos.