En Converxa, la seguridad de nuestros clientes y sus datos es nuestra máxima prioridad. Esta Política de Seguridad describe las medidas técnicas, organizativas y físicas que implementamos para proteger su información y garantizar la integridad, disponibilidad y confidencialidad de nuestro servicio.

1. Resumen Ejecutivo de Seguridad

1.1 Pilares de Nuestra Estrategia de Seguridad

1.2 Métricas de Seguridad Clave

2. Infraestructura y Arquitectura de Seguridad

2.1 Infraestructura en la Nube

Converxa está alojado en infraestructura de nube de nivel empresarial:

• Proveedores: Amazon Web Services (AWS) y Google Cloud Platform (GCP) en regiones certificadas
• Certificaciones de Proveedores: ISO 27001, SOC 2 Type II, PCI DSS, HIPAA-eligible
• Regiones:
  • América del Norte: us-east-1 (Virginia), us-west-2 (Oregon)
  • Europa: eu-west-1 (Irlanda), eu-central-1 (Frankfurt)
  • América Latina: sa-east-1 (São Paulo)
• Redundancia: Arquitectura multi-zona de disponibilidad (Multi-AZ) para alta disponibilidad

2.2 Arquitectura de Aplicación

Diseño de Microservicios

Nuestra aplicación utiliza arquitectura de microservicios con:

• Aislamiento: Cada servicio corre en contenedores separados con límites de recursos
• Service Mesh: Comunicación segura entre servicios con mTLS (mutual TLS)
• API Gateway: Punto único de entrada con autenticación, rate limiting y validación
• Load Balancers: Distribución de tráfico con health checks automáticos

Separación de Ambientes

2.3 Seguridad de Contenedores y Orquestación

• Kubernetes: Orquestación de contenedores con políticas de seguridad (Pod Security Policies)
• Image Scanning: Escaneo automático de vulnerabilidades en imágenes de Docker
• Least Privilege: Contenedores corren con usuarios no-root y permisos mínimos
• Network Policies: Segmentación de red entre pods y namespaces
• Secrets Management: Uso de Kubernetes Secrets con encriptación at-rest

3. Seguridad de Datos

3.1 Encriptación

Encriptación en Tránsito

• TLS 1.3: Todo el tráfico web está encriptado con TLS 1.3 (o TLS 1.2 como mínimo)
• HTTPS Obligatorio: Redirección automática de HTTP a HTTPS
• HSTS: HTTP Strict Transport Security habilitado (max-age=31536000)
• Perfect Forward Secrecy: Uso de cipher suites que soportan PFS
• Certificate Pinning: Implementado en aplicaciones móviles
• mTLS: Comunicación mutual TLS entre microservicios internos

Encriptación en Reposo

• AES-256: Todos los datos sensibles encriptados con AES-256-GCM
• Bases de Datos: Encriptación transparente de datos (TDE) habilitada en PostgreSQL
• Archivos: S3 buckets con encriptación SSE-KMS (Server-Side Encryption with KMS)
• Backups: Copias de seguridad encriptadas con llaves rotadas regularmente
• Disk Encryption: Volúmenes EBS encriptados a nivel de bloque

Gestión de Llaves

• AWS KMS / Google Cloud KMS: Servicio de gestión de llaves en la nube
• HSM: Hardware Security Modules para llaves críticas (planes Enterprise)
• Rotación Automática: Llaves rotadas cada 90 días
• Separación de Llaves: Llaves diferentes por ambiente y propósito
• Envelope Encryption: Encriptación de llaves de datos con llaves maestras

3.2 Clasificación y Manejo de Datos

3.3 Almacenamiento y Retención

• Data Residency: Opción de elegir región de almacenamiento (para cumplir con GDPR, LGPD, etc.)
• Retención: Políticas automáticas según tipo de dato y requisitos legales
• Eliminación Segura: Sobrescritura criptográfica antes de eliminar discos/volúmenes
• Right to Erasure: Proceso automatizado para eliminar datos de usuarios bajo GDPR

3.4 Tokenización y Anonimización

• Datos de Pago: Tokenización PCI-compliant vía Stripe/PayPal (nunca almacenamos tarjetas)
• PII Masking: Enmascaramiento de datos sensibles en logs y reportes
• Anonymization: Datos analíticos agregados y anonimizados
• Pseudonymization: IDs reversibles solo con llaves específicas

4. Control de Acceso y Autenticación

4.1 Autenticación de Usuarios

Contraseñas

• Hashing: bcrypt con factor de trabajo de 12+ (resistente a ataques de fuerza bruta)
• Requisitos Mínimos:
  • Mínimo 8 caracteres (recomendado: 12+)
  • Mezcla de mayúsculas, minúsculas, números y símbolos
  • Verificación contra listas de contraseñas comprometidas (Have I Been Pwned API)
• Rate Limiting: Límite de intentos fallidos (5 intentos / 15 minutos)
• Lockout: Bloqueo temporal después de múltiples fallos
• Password Reset: Links de recuperación válidos por 1 hora, un solo uso

Autenticación Multi-Factor (MFA/2FA)

• Obligatorio: Para cuentas Enterprise y administradores
• Opcional: Disponible para todos los usuarios
• Métodos Soportados:
  • TOTP (Time-based One-Time Password) – Google Authenticator, Authy
  • SMS (menos seguro, disponible como fallback)
  • Email (para recuperación)
  • FIDO2/WebAuthn (yubikeys, hardware tokens)
• Códigos de Recuperación: 10 códigos de un solo uso generados al activar 2FA

Single Sign-On (SSO)

• Protocolos: SAML 2.0, OAuth 2.0, OpenID Connect
• Proveedores: Google Workspace, Microsoft Azure AD, Okta, OneLogin
• Disponibilidad: Planes Enterprise
• Just-in-Time Provisioning: Creación automática de usuarios desde IdP

4.2 Gestión de Sesiones

• Tokens JWT: JSON Web Tokens firmados con algoritmo HS256 o RS256
• Expiración: Access tokens (15 minutos), Refresh tokens (7 días)
• Rotación: Refresh tokens rotados en cada uso
• Revocación: Capacidad de invalidar sesiones remotamente
• Device Tracking: Lista de dispositivos activos visible para el usuario
• Logout Everywhere: Opción de cerrar todas las sesiones simultáneamente

4.3 Control de Acceso Basado en Roles (RBAC)

4.4 Principio de Mínimo Privilegio

• Default Deny: Todo está denegado por defecto, permisos se otorgan explícitamente
• Temporal Access: Accesos elevados temporales con auto-revocación
• Segregation of Duties: Separación de funciones críticas entre múltiples personas
• Regular Reviews: Revisión trimestral de permisos de usuarios

5. Seguridad de Red y Aplicación

5.1 Protección Perimetral

Firewall y WAF

• Web Application Firewall (WAF): AWS WAF / Cloudflare WAF con reglas OWASP
• DDoS Protection: AWS Shield Standard + Cloudflare Pro (mitigación automática)
• Rate Limiting: Límites por IP, usuario y endpoint
• Geo-blocking: Bloqueo opcional de países específicos
• IP Whitelisting: Opción de restringir acceso a IPs específicas (Enterprise)

VPC y Segmentación de Red

• Virtual Private Cloud (VPC): Red aislada con subredes públicas/privadas
• Security Groups: Firewalls a nivel de instancia con reglas estrictas
• Network ACLs: Control de tráfico a nivel de subred
• Private Subnets: Bases de datos y servicios internos sin acceso público
• NAT Gateways: Salida segura a Internet para subredes privadas

5.2 Seguridad de la Aplicación (OWASP Top 10)

5.3 Validación de Entrada

• Whitelist Approach: Solo se aceptan caracteres/formatos esperados
• Schema Validation: Validación automática contra esquemas JSON/OpenAPI
• File Upload Security:
  • Tipos MIME verificados
  • Scanning antivirus (ClamAV)
  • Límites de tamaño (10MB por defecto)
  • Almacenamiento en S3 con políticas de acceso restrictivas
• Content Security Policy (CSP): Headers CSP estrictos para prevenir XSS

5.4 Headers de Seguridad HTTP

Todos los responses incluyen headers de seguridad:

• Strict-Transport-Security: max-age=31536000; includeSubDomains
• X-Content-Type-Options: nosniff
• X-Frame-Options: DENY
• X-XSS-Protection: 1; mode=block
• Referrer-Policy: strict-origin-when-cross-origin
• Permissions-Policy: geolocation=(), microphone=(), camera=()
• Content-Security-Policy: [política estricta]

6. Monitoreo, Logging y Respuesta a Incidentes

6.1 Monitoreo de Seguridad

SIEM (Security Information and Event Management)

• Herramientas: AWS CloudWatch, DataDog Security Monitoring, Splunk
• Correlación de Eventos: Análisis automático de logs de múltiples fuentes
• Threat Intelligence: Integración con feeds de amenazas conocidas
• Behavioral Analytics: Detección de anomalías basada en ML

Alertas Automáticas

El equipo de seguridad es notificado inmediatamente ante:

• Múltiples intentos de login fallidos desde una IP
• Acceso a datos desde ubicación geográfica inusual
• Cambios en configuraciones críticas de seguridad
• Intentos de escalación de privilegios
• Patrones de tráfico sospechosos (posible DDoS o scanning)
• Uso anómalo de recursos (posible cryptomining o compromiso)
• Cambios inesperados en archivos de sistema

6.2 Logging y Auditoría

Eventos Registrados

• Autenticación: Login exitoso/fallido, logout, cambio de contraseña, activación de 2FA
• Autorización: Intentos de acceso a recursos, cambios de permisos
• Datos: Creación, modificación, eliminación de datos sensibles (solo metadatos, no contenido)
• Administrativo: Cambios de configuración, gestión de usuarios, facturación
• Sistema: Errores, warnings, performance metrics, deployments
• API: Todas las llamadas a API con request/response headers (sin cuerpos sensibles)

Retención de Logs

Integridad de Logs

• Inmutables: Logs no pueden ser modificados después de escritura
• Firmados: Hash criptográfico para verificar integridad
• Separación: Logs almacenados en cuenta AWS separada (no modificable por aplicación)
• Audit Trail: Cadena de custodia clara para investigaciones forenses

6.3 Respuesta a Incidentes

Equipo de Respuesta (CSIRT)

• Disponibilidad: 24/7/365 on-call rotation
• Tiempo de Respuesta:
  • Incidentes Críticos: < 15 minutos
  • Incidentes Altos: < 1 hora
  • Incidentes Medios: < 4 horas
• Roles: Incident Commander, Security Engineer, Communications Lead, Legal/Compliance

Proceso de Respuesta (NIST Framework)

1. Preparación: Runbooks, herramientas, contactos actualizados
2. Detección e Identificación: Alertas automáticas, triaje inicial
3. Contención: Aislar sistemas afectados, evitar propagación
4. Erradicación: Eliminar causa raíz, cerrar vectores de ataque
5. Recuperación: Restaurar servicios, validar integridad
6. Post-Mortem: Análisis de lecciones aprendidas, mejoras de proceso

Comunicación de Incidentes

• Clientes Afectados: Notificación dentro de 24 horas si hay compromiso de datos
• Status Page: Actualizaciones en tiempo real en status.converxa.net
• Transparencia: Reportes públicos post-mortem (con detalles apropiados)
• Autoridades: Notificación a DPAs si es requerido bajo GDPR (72 horas)

7. Gestión de Vulnerabilidades

7.1 Scanning y Detección

Escaneos Automatizados

• SAST (Static Application Security Testing): SonarQube, Checkmarx – integrado en CI/CD
• DAST (Dynamic Application Security Testing): OWASP ZAP, Burp Suite – semanal
• Dependency Scanning: Snyk, Dependabot – diario
• Container Scanning: Trivy, Clair – en cada build
• Infrastructure Scanning: AWS Inspector, Nessus – semanal

Penetration Testing

• Frecuencia: Trimestral por empresa externa independiente
• Scope: Aplicación web, API, infraestructura, social engineering
• Metodología: OWASP Testing Guide, PTES, OSSTMM
• Reporte: Vulnerabilidades clasificadas por severidad con remediación

7.2 Proceso de Parcheo

7.3 Bug Bounty Program

Converxa opera un programa de recompensas por vulnerabilidades en colaboración con plataformas especializadas:

• Plataforma: HackerOne / Bugcrowd
• Scope: *.converxa.net, aplicaciones móviles, API pública
• Recompensas:
  • Críticas: $500 – $5,000 USD
  • Altas: $200 – $1,000 USD
  • Medias: $50 – $500 USD
  • Bajas: Reconocimiento en Hall of Fame
• Safe Harbor: Protección legal para investigadores éticos

7.4 Responsible Disclosure

Si descubre una vulnerabilidad de seguridad, repórtela a:

📧 Email: security@converxa.net (PGP key disponible)

8. Backup y Recuperación ante Desastres

8.1 Estrategia de Backup

Backups Automáticos

• Bases de Datos:
  • Snapshots automáticos cada 6 horas
  • Retención: 30 días (diarios) + 12 meses (mensuales)
  • Replicación en otra región geográfica
• Archivos (S3):
  • Versionado habilitado (últimas 100 versiones)
  • Replicación cross-region automática
  • Lifecycle policies para mover a Glacier después de 90 días
• Configuraciones:
  • Infrastructure as Code (IaC) versionado en Git
  • Backup diario de configuraciones de Kubernetes

Encriptación de Backups

• Todos los backups encriptados con AES-256
• Llaves gestionadas por AWS KMS con rotación automática
• Acceso a backups requiere MFA

8.2 Disaster Recovery Plan (DRP)

Objetivos de Recuperación

Escenarios de Desastre Cubiertos

• Falla completa de región de AWS/GCP
• Pérdida de centro de datos
• Ataque de ransomware
• Corrupción de base de datos
• Eliminación accidental de datos
• Compromiso de credenciales de administrador

Pruebas de DR

• Simulacros: Trimestrales con documentación de lecciones aprendidas
• Restauración de Backups: Pruebas mensuales de integridad
• Failover: Test anual de failover completo a región secundaria

8.3 Business Continuity

• Multi-Region: Arquitectura activa-pasiva en múltiples regiones
• Auto-Scaling: Capacidad de escalar automáticamente ante picos de demanda
• Health Checks: Monitoreo continuo con failover automático
• Documentation: Runbooks actualizados para todos los escenarios

9. Seguridad del Personal

9.1 Proceso de Contratación

• Verificación de Antecedentes: Background checks para todos los empleados con acceso a sistemas de producción
• NDA (Non-Disclosure Agreement): Firmado antes de acceso a información confidencial
• Contratos de Seguridad: Cláusulas específicas sobre manejo de datos y propiedad intelectual

9.2 Capacitación en Seguridad

• Onboarding: Capacitación obligatoria de seguridad para nuevos empleados (día 1)
• Anual: Refresco de políticas de seguridad y mejores prácticas
• Phishing Simulations: Campañas trimestrales para concientización
• Secure Coding: Entrenamiento específico para desarrolladores (OWASP Top 10, SANS)
• Incident Response: Simulacros de respuesta a incidentes (tabletop exercises)

9.3 Acceso de Empleados

• Least Privilege: Acceso mínimo necesario para realizar funciones
• Time-Limited: Accesos elevados expiran automáticamente después de uso
• Audit Trail: Todas las acciones de administradores son registradas
• Off-boarding: Revocación inmediata de accesos al terminar empleo

9.4 Política de Dispositivos

• Laptops: Full-disk encryption (FileVault en macOS, BitLocker en Windows)
• MDM (Mobile Device Management): Gestión centralizada de dispositivos móviles
• VPN: Obligatorio para acceso remoto a sistemas internos
• Antivirus/EDR: Endpoint Detection & Response en todos los dispositivos
• Auto-lock: Bloqueo automático después de 5 minutos de inactividad
• Remote Wipe: Capacidad de borrar dispositivos perdidos/robados remotamente

10. Gestión de Terceros y Proveedores

10.1 Due Diligence de Proveedores

Antes de contratar un proveedor que manejará datos de clientes:

• Security Assessment: Cuestionario detallado de seguridad (basado en CAIQ de CSA)
• Certificaciones: Verificación de SOC 2, ISO 27001 u otras certificaciones relevantes
• DPA: Firma de Data Processing Agreement (para procesadores de datos)
• SLA: Acuerdos de nivel de servicio con garantías de uptime y seguridad
• Right to Audit: Cláusula de derecho a auditar prácticas de seguridad

10.2 Principales Subprocesadores

Lista actualizada de subprocesadores disponible en: converxa.net/subprocessors

10.3 Monitoreo Continuo

• Revisión Anual: Re-evaluación de seguridad de proveedores críticos
• Incident Notification: Proveedores deben notificar incidentes en <24 horas
• Compliance Monitoring: Verificación periódica de certificaciones vigentes

11. Cumplimiento y Certificaciones

11.1 Estado de Certificaciones

11.2 Compliance Frameworks

Nuestro programa de seguridad está alineado con:

• NIST Cybersecurity Framework: Identify, Protect, Detect, Respond, Recover
• CIS Controls: Center for Internet Security Critical Security Controls
• OWASP ASVS: Application Security Verification Standard
• CSA Cloud Controls Matrix: Para proveedores cloud

11.3 Reportes de Compliance

Clientes Enterprise pueden solicitar:

• SOC 2 Report: Después de completar auditoría (bajo NDA)
• ISO 27001 Certificate: Cuando esté disponible
• Penetration Test Reports: Resumen ejecutivo trimestral
• DPA (Data Processing Agreement): Para cumplimiento con GDPR
• Security Questionnaires: Respuestas a cuestionarios de seguridad específicos

12. Seguridad en Aplicaciones Móviles

12.1 Protecciones Implementadas

• Certificate Pinning: Previene ataques man-in-the-middle
• Jailbreak/Root Detection: Alerta si dispositivo está comprometido
• Code Obfuscation: Ofuscación de código para dificultar ingeniería inversa
• Secure Storage: Uso de Keychain (iOS) / Keystore (Android) para datos sensibles
• Biometric Auth: Touch ID, Face ID, huella digital
• App Transport Security: Solo conexiones HTTPS permitidas

12.2 Permisos Mínimos

Las apps solo solicitan permisos estrictamente necesarios:

• Cámara (solo para scan de QR)
• Notificaciones
• Internet

NO solicitamos acceso a: contactos, ubicación, micrófono (a menos que usuario lo active explícitamente)