Seguridad y Confianza

Infraestructura

• Hosting: Amazon Web Services (AWS), region Sao Paulo (sa-east-1), a traves de Supabase.
• Cifrado en transito: Todas las comunicaciones utilizan TLS 1.2+ (HTTPS).
• Cifrado en reposo: Los datos almacenados estan cifrados con AES-256.
• Copias de seguridad: Backups automaticos diarios con retencion de 90 dias.
• Disponibilidad: Infraestructura con redundancia en multiples zonas de disponibilidad.

Autenticacion y acceso

• Contrasenas: Almacenadas con hash bcrypt. Requisitos minimos: 8 caracteres, una mayuscula, un numero.
• Tokens: Autenticacion basada en JWT con expiracion configurable (8 horas a 14 dias).
• OAuth: Google OAuth 2.0 como metodo de autenticacion seguro adicional.
• Rate limiting: Proteccion contra ataques de fuerza bruta en todos los endpoints de autenticacion.

Aislamiento de datos (multi-tenant)

• Row Level Security (RLS): Politicas de seguridad a nivel de fila en la base de datos que garantizan que cada organizacion solo puede acceder a sus propios datos.
• Roles y permisos: Sistema granular de roles por organizacion (propietario, administrador, miembro).
• Invitaciones: Acceso a organizaciones exclusivamente por invitacion con expiracion de 7 dias.

Desarrollo seguro

• Validacion y sanitizacion de todas las entradas del usuario.
• Proteccion contra las vulnerabilidades del OWASP Top 10.
• Verificacion de disponibilidad de email con rate limiting.
• Auditorias periodicas de seguridad del codigo y la infraestructura.

Gestion de incidentes

Contamos con un procedimiento de respuesta a incidentes de seguridad que incluye:

• Deteccion y contencion inmediata del incidente.
• Notificacion a la URCDP dentro de 72 horas (conforme al Decreto 64/020).
• Notificacion a los titulares afectados sin demora injustificada.
• Investigacion de la causa raiz y aplicacion de medidas correctivas.
• Documentacion completa del incidente y las acciones tomadas.