Política de Seguridad
Detalles sobre cómo GDEZ protege tu información y la seguridad de nuestros sistemas.
1. Compromiso de Seguridad
La seguridad de tu información es nuestra máxima prioridad. Implementamos medidas técnicas, organizativas y administrativas para proteger contra acceso no autorizado, alteración, divulgación o destrucción de datos.
2. Encriptación
En Tránsito (TLS/SSL)
Todos los datos transmitidos entre tu navegador y nuestros servidores se encriptan usando TLS 1.2 o superior, protegiendo contra interception.
En Reposo
Datos sensibles en bases de datos se encriptan usando AES-256, protegiendo contra acceso físico no autorizado.
Contraseñas
Utilizamos hashing bcrypt con salt aleatorio, imposible recuperar contraseñas incluso si se compromete la base de datos.
3. Autenticación y Autorización
- • Autenticación multi-factor (MFA) disponible
- • Contraseñas fuertes requeridas (mín. 12 caracteres)
- • Sesiones con timeout automático después de inactividad
- • Control de acceso basado en roles (RBAC)
- • Auditoría de intentos fallidos de login
- • Bloqueo temporal después de múltiples intentos fallidos
4. Infraestructura y Servidores
Nuestros servidores implementan:
- • Firewalls de última generación
- • Sistemas de detección de intrusiones (IDS/IPS)
- • Monitoreo 24/7 de actividad sospechosa
- • Parches de seguridad actualizados regularmente
- • Sistemas operativos endurecidos
- • Aislamiento de redes (segmentación)
- • Ubicaciones geográficamente distribuidas
5. Backups y Recuperación
- • Backups automáticos cada hora
- • Backups diarios y semanales almacenados en múltiples locaciones
- • Encriptación de todos los backups
- • Pruebas regulares de recuperación
- • Tiempo de recuperación objetivo (RTO) menor a 1 hora
- • Punto de recuperación objetivo (RPO) menor a 15 minutos
6. Control de Acceso a Datos
Implementamos principio de menor privilegio:
- • Solo personal autorizado puede acceder datos sensibles
- • Acceso restringido a entorno de producción
- • Credenciales de acceso rotadas periódicamente
- • Todos los accesos registrados y auditados
- • Separación de responsabilidades (roles conflictivos separados)
7. Auditoría y Logs
- • Registros de todos los accesos y transacciones
- • Logs protegidos contra alteración
- • Retención de logs mínimo 1 año
- • Análisis de logs para detectar patrones anómalos
- • Alertas automáticas para eventos sospechosos
- • Auditorías internas trimestrales
8. Certificaciones y Cumplimiento
GDEZ mantiene y cumple con:
- • Certificación ISO 27001 (Gestión de Seguridad de la Información)
- • Certificación ISO 9001 (Gestión de Calidad)
- • Conformidad con GDPR (cuando aplique)
- • Regulaciones DGII de seguridad fiscal
- • Estándares PCI DSS para datos de pago
9. Pruebas de Seguridad
- • Penetration testing semestral por terceros
- • Escaneo de vulnerabilidades semanal
- • Análisis de código estático (SAST)
- • Análisis de composición de software (SCA)
- • Tests de seguridad en cada deployment
- • Programa de bug bounty responsable
10. Plan de Respuesta a Incidentes
En caso de incidente de seguridad:
- • Equipo de respuesta se activa inmediatamente
- • Investigación forense de la causa raíz
- • Notificación a usuarios afectados dentro de 24 horas
- • Notificación a DGII si es requerido por regulación
- • Implementación de medidas correctivas
- • Reporte post-incidente con lecciones aprendidas
11. Capacitación en Seguridad
- • Capacitación de seguridad obligatoria para todo personal
- • Actualizaciones regulares sobre nuevas amenazas
- • Simulaciones de phishing para usuario awareness
- • Certificaciones en seguridad para desarrolladores
12. Reporte Responsable de Vulnerabilidades
Si descubres una vulnerabilidad de seguridad, por favor reporta responsablemente a:
Correo: security@gdez.dev
No publicaremos información sobre vulnerabilidades hasta que haya sido parcheada. Agradecemos a investigadores de seguridad responsables.
13. Contacto
Para preguntas sobre seguridad:
Última actualización: 28 de mayo de 2026