Política de Seguridad de la Información

Versión: 1.1

Fecha: 2024-12-04

Correo electrónico: [email protected]

Introducción

En GearTracker.net, nos comprometemos a mantener la confidencialidad, integridad y disponibilidad de nuestra plataforma SaaS, que apoya la gestión e inspección de su equipo. Esta política de ciberseguridad describe las medidas técnicas y organizativas que implementamos para asegurar nuestros sistemas y los datos que nos confían nuestros clientes.

Alcance

Esta política se aplica a:

  • La plataforma e infraestructura SaaS de GearTracker.net.
  • Todos los datos procesados, incluidos los datos de las cuentas de los clientes y los datos de inventario cargados.
  • Empleados, subcontratistas y sistemas involucrados en el desarrollo y operación de la plataforma.

Seguridad de Infraestructura y Alojamiento

Alojamiento en la Nube

Nuestra infraestructura está alojada en Heroku, ubicado en la Unión Europea. Cumple con el Reglamento General de Protección de Datos (RGPD), garantizando la privacidad y protección de los datos personales de los clientes de la Unión Europea.

Este proveedor de alojamiento cumple con las normas ISO 27001, SOC 2 y RGPD.

Seguridad de la Red

Todo el tráfico de la red está protegido en origen por Cloudflare, que proporciona:

  • Protección contra DDoS
  • Filtrado inteligente de solicitudes a través de su Firewall de Aplicaciones Web (WAF)
  • Cifrado de extremo a extremo con TLS 1.2+ o superior Está certificado con ISO 27001:2013 y cumple con SOC 2 Tipo II.

Nuestros entornos de producción están alojados en Heroku (Plataforma Salesforce).

La infraestructura física de Heroku está alojada y gestionada en los centros de datos seguros de Amazon y utiliza la tecnología de Amazon Web Service (AWS). Amazon gestiona continuamente el riesgo y se somete a evaluaciones recurrentes para garantizar el cumplimiento de los estándares de la industria. Las operaciones del centro de datos de Amazon han sido acreditadas bajo:

  • ISO 27001
  • SOC 1 y SOC 2/SSAE 16/ISAE 3402 (Anteriormente SAS 70 Tipo II)
  • PCI Nivel 1
  • FISMA Moderado
  • Sarbanes-Oxley (SOX)

El acceso a los sistemas de producción está estrictamente controlado:

  • Solo a través de conexiones cifradas
  • Limitado a cuentas autorizadas que utilizan autenticación multifactor (MFA)
  • Basado en el principio de privilegio mínimo

Copia de Seguridad y Recuperación

Implementamos las siguientes medidas de copia de seguridad y recuperación:

  • Copias de seguridad diarias de todos los sistemas y bases de datos críticos.
  • Copias de seguridad cifradas y almacenadas en ubicaciones geográficamente redundantes.
  • Pruebas de restauración periódicas realizadas para garantizar la integridad de la copia de seguridad.

Seguridad de la Aplicación

Requisitos Generales de Seguridad

Seguimos los requisitos de seguridad de OWASP ASVS Nivel 2 (https://owasp.org/www-project-application-security-verification-standard/) para el desarrollo de nuestras aplicaciones.

Mejores Prácticas de Desarrollo

Desarrollado en TypeScript (Modo Estricto) con una pila moderna: React (frontend), NestJS (backend), Prisma ORM. Revisiones de código requeridas para todas las fusiones a producción. Todo el código se almacena en un repositorio privado de GitHub. Pruebas automatizadas (unitarias y de integración) para todas las funciones críticas. Las dependencias se escanean regularmente en busca de vulnerabilidades usando npm audit.

Prácticas de Codificación Segura

Adhesión a las directrices de OWASP Top Ten y nivel 2. Validación y saneamiento de entradas para todas las entradas del usuario. Uso de sentencias preparadas y ORM para prevenir la inyección de SQL. Protecciones implementadas contra Cross-Site Scripting (XSS) y Cross-Site Request Forgery (CSRF).

Gestión de Vulnerabilidades

Los parches de seguridad se aplican en 24 horas para las vulnerabilidades críticas. Capacidad para desplegar hotfixes preparados en producción en 5 minutos sin tiempo de inactividad.

Autenticación y Autorización

  • Google OAuth 2.0 / autenticación sin estado basada en token (JWT) para la autenticación de usuarios.
  • Control de Acceso Basado en Roles (RBAC) para restringir el acceso a las funciones.

Protección de Datos y Privacidad

Cifrado

Los datos sensibles como las contraseñas se almacenan usando AES-256 y sal.

Cumplimiento del RGPD

Consulte la Política de Privacidad y Protección de Datos Personales para obtener detalles sobre cómo manejamos los datos personales.

Gestión de Accesos

Principio de privilegio mínimo aplicado en toda la organización.

  • Todo el acceso administrativo se registra y supervisa.
  • El acceso a los sistemas de producción está limitado únicamente al personal autorizado.
  • Todos los empleados y contratistas se someten a verificaciones de antecedentes antes de que se les conceda acceso a sistemas sensibles.

Gestión de Dispositivos

Todos los dispositivos utilizados para acceder a los sistemas de producción y/o datos críticos son gestionados y asegurados.

  • Tienen activado un bloqueo con contraseña o biométrico.
  • Requieren autenticación de 2FA para acceder a los sistemas de producción.

Monitoreo y Respuesta a Incidentes

Monitoreo

Monitoreo en tiempo real 24/7 de la infraestructura y el rendimiento de la aplicación. Alertas configuradas para actividades sospechosas, anomalías de uso y degradación del rendimiento.

Plan de Respuesta a Incidentes

Procedimiento de Respuesta a Incidentes (PRI) definido y probado. Se notifica a los clientes en un plazo de 24 horas sobre cualquier brecha que afecte a sus datos. Correo electrónico dedicado: [email protected] para la notificación de incidentes.

Compromiso de Dispositivos del Cliente

No gestionamos los dispositivos utilizados por los clientes para acceder a la aplicación. Recomendamos que todos los clientes aseguren sus dispositivos (PC, teléfonos inteligentes, tabletas) mediante sistemas de bloqueo con contraseña o biométricos, así como software antivirus actualizado.

Tenemos la capacidad de desactivar una cuenta de usuario en caso de compromiso de un dispositivo del cliente. También recomendamos cambiar la contraseña de la cuenta de usuario afectada.

Seguridad Física

Nuestro principal proveedor de infraestructura mantiene:

  • Centros de datos monitoreados 24/7.
  • Controles de acceso biométricos.
  • Sistemas de supresión de incendios y de energía redundantes.

Para obtener información adicional, consulte: https://aws.amazon.com/security

Mejora Continua

Revisamos y mejoramos continuamente nuestra postura de ciberseguridad:

  • Revisiones anuales de esta política.
  • Los comentarios de los clientes y las auditorías se integran en nuestra hoja de ruta.

Contacto y Divulgación Responsable

Todos los empleados de geartracker.net están capacitados en concienciación sobre seguridad y mejores prácticas. Fomentamos la divulgación responsable de vulnerabilidades de seguridad interna y externamente. Agradecemos la notificación de vulnerabilidades de seguridad: [email protected].

Gestión de Riesgos

Hemos implementado un proceso de gestión de riesgos para identificar, evaluar y mitigar los riesgos relacionados con la seguridad de la información.
Realizamos evaluaciones de riesgos periódicas para identificar posibles amenazas y vulnerabilidades en nuestra infraestructura y aplicaciones.
Implementamos medidas de mitigación adecuadas para reducir los riesgos identificados a un nivel aceptable.
Mantenemos los siguientes documentos y sus procesos relacionados:

  • Política de Seguridad de la Información (este documento)
  • Registro de Riesgos y Oportunidades (interno)
  • Plan de Respuesta a Incidentes (PRI, interno)
  • Plan de Continuidad del Negocio (PCN, interno)