Encriptación de extremo a extremo

Activo

Encriptación AES-256-GCM para todos los datos en reposo y en tránsito

Autenticación multifactor

Activo

2FA requerido para todo acceso a cuentas y operaciones sensibles

Monitoreo continuo

Activo

Monitoreo de seguridad y detección de amenazas 24/7

Infraestructura segura

Activo

Infraestructura en la nube de nivel empresarial con redundancia

Respuesta a incidentes

Activo
⚠️

Equipo de seguridad dedicado con protocolos de respuesta rápida

Auditorías regulares

Activo

Auditorías de seguridad trimestrales y pruebas de penetración

Nuestro compromiso de seguridad

En HipoTech, la seguridad no es solo una característica, es la base de todo lo que construimos. Estamos comprometidos a proteger sus datos financieros sensibles con prácticas de seguridad líderes en la industria y mejora continua.

1. Encriptación de datos

Encriptación en reposo

Todos los datos almacenados están protegidos con:

  • AES-256-GCM: Encriptación simétrica estándar de la industria para todos los datos almacenados
  • Respaldos encriptados: Almacenamiento de respaldo encriptado con redundancia geográfica
  • Gestión de claves: GCP KMS (Cloud Key Management Service) para gestión segura de claves
  • Rotación de claves: Rotación automática de claves cada 90 días

Encriptación en tránsito

Toda la transmisión de datos está asegurada con:

  • TLS 1.3: Último protocolo TLS para todas las comunicaciones
  • Perfect forward secrecy: Forward secrecy para proteger comunicaciones pasadas
  • Certificate pinning: Certificate pinning para aplicaciones móviles
  • HSTS: Strict transport security con política de 1 año

2. Control de acceso

Autenticación multifactor

Aplicamos autenticación fuerte:

  • 2FA obligatorio para todas las cuentas de usuario
  • Soporte para aplicaciones de autenticación (TOTP)
  • Soporte para llaves de seguridad de hardware (FIDO2/WebAuthn)
  • Autenticación biométrica en dispositivos móviles

Requisitos de contraseña

Las políticas de contraseña fuerte incluyen:

  • Mínimo 12 caracteres con requisitos de complejidad
  • Detección de brechas contra contraseñas comprometidas conocidas
  • Hash seguro de contraseñas con Argon2id
  • Bloqueo de cuenta después de intentos fallidos
  • Políticas de expiración de contraseña para cuentas de personal

Control de acceso basado en roles

El acceso está estrictamente controlado:

  • Principio de mínimo privilegio para todo acceso
  • Roles separados para clientes, personal y administradores
  • Revisiones de acceso y certificación regulares
  • Desaprovisionamiento automático en cambio de rol
  • Gestión de acceso privilegiado (PAM) para operaciones sensibles

3. Seguridad de infraestructura

Seguridad en la nube

Nuestra infraestructura en la nube incluye:

  • Hetzner Cloud con centros de datos certificados ISO 27001 en Alemania
  • Despliegue multi-zona en Hetzner para alta disponibilidad
  • Auto-escalado y balanceo de carga
  • Infraestructura como código con escaneo de seguridad
  • Patrones de infraestructura inmutable

Seguridad de red

Medidas de protección de red:

  • Protección de firewall de aplicaciones web (WAF)
  • Mitigación de DDoS y filtrado de tráfico mediante Cloudflare
  • Segmentación de red y aislamiento VPC
  • Sistema de detección de intrusiones (IDS)
  • Escaneo de vulnerabilidades regular

Seguridad de aplicaciones

Prácticas de desarrollo seguro:

  • Ciclo de vida de desarrollo de software seguro (SSDLC)
  • Pruebas de seguridad de aplicaciones estáticas (SAST)
  • Pruebas de seguridad de aplicaciones dinámicas (DAST)
  • Escaneo de vulnerabilidades de dependencias
  • Revisiones de código y evaluaciones de seguridad regulares

4. Monitoreo y detección

Centro de operaciones de seguridad

Monitoreo de seguridad continuo:

  • Monitoreo de seguridad 24/7/365
  • Gestión de información y eventos de seguridad (SIEM)
  • Detección y alertas de amenazas automatizadas
  • Correlación de eventos de seguridad entre sistemas
  • Integración de inteligencia de amenazas

Registro de auditoría

El registro completo incluye:

  • Todos los eventos de autenticación y autorización
  • Registros de acceso y modificación de datos
  • Acciones administrativas y cambios de configuración
  • Registros de acceso API con detalles de solicitud/respuesta
  • Retención de registros por 7 años para cumplimiento

5. Respuesta a incidentes

Plan de respuesta a incidentes

Nuestro proceso de respuesta a incidentes sigue marcos establecidos:

  • Detección: Los sistemas de monitoreo y alertas automatizados identifican incidentes potenciales
  • Análisis: El equipo de seguridad evalúa la severidad y alcance del incidente
  • Contención: Acciones inmediatas para limitar el impacto y prevenir la propagación
  • Erradicación: Eliminar la amenaza y abordar la causa raíz
  • Recuperación: Restaurar operaciones normales y verificar la seguridad
  • Lecciones aprendidas: Revisión post-incidente y mejora del proceso

Notificación de violación de datos

En caso de violación de datos:

  • Usuarios afectados notificados dentro de 72 horas
  • Autoridades regulatorias informadas según se requiera
  • Informe detallado del incidente proporcionado
  • Pasos de remediación y monitoreo de crédito ofrecidos
  • Transparencia pública para incidentes significativos

6. Seguridad física

Los controles de seguridad física incluyen:

  • Centros de datos Hetzner con personal de seguridad 24/7
  • Controles de acceso biométrico y entradas de trampa
  • Vigilancia por video y monitoreo
  • Controles ambientales (incendio, inundación, energía)
  • Gestión de visitantes y requisitos de escolta

7. Seguridad de empleados

Verificación de antecedentes

Todos los empleados pasan por:

  • Verificación integral de antecedentes
  • Verificación de historial criminal
  • Verificación de educación y empleo
  • Re-verificación periódica para roles sensibles

Capacitación en seguridad

Programas de capacitación obligatorios:

  • Capacitación en concientización de seguridad al incorporarse
  • Cursos de actualización de seguridad anuales
  • Ejercicios de simulación de phishing
  • Capacitación de seguridad específica por rol
  • Capacitación en codificación segura para desarrolladores

8. Gestión de vulnerabilidades

La gestión proactiva de vulnerabilidades incluye:

  • Evaluaciones de vulnerabilidades regulares
  • Pruebas de penetración trimestrales por terceros
  • Programa de bug bounty para divulgación responsable
  • Gestión de parches con sLAs definidos
  • Priorización de remediación basada en riesgo

9. Continuidad del negocio

Respaldo y recuperación

Medidas de protección de datos:

  • Replicación continua de base de datos
  • Capacidad de recuperación point-in-time
  • Pruebas y validación regulares de respaldos
  • Redundancia geográfica para recuperación ante desastres
  • Objetivo de tiempo de recuperación (RTO) de 4 horas

Recuperación ante desastres

Planificación de continuidad del negocio:

  • Procedimientos de recuperación ante desastres documentados
  • Pruebas y validación de DR anuales
  • Capacidad de failover multi-región
  • Planes de comunicación para partes interesadas
  • Revisiones y actualizaciones regulares del plan

10. Seguridad de terceros

Requisitos de seguridad de proveedores:

  • Evaluaciones de seguridad antes de incorporación
  • Requisitos contractuales de seguridad
  • Revisiones regulares de seguridad de proveedores
  • Compartición limitada de datos según necesidad
  • Provisiones de derecho a auditar

11. Divulgación responsable

Invitamos a los investigadores de seguridad a reportar vulnerabilidades de manera responsable. Por favor contacte a nuestro equipo de seguridad:

Contacto del equipo de seguridad:

Correo electrónico: [email protected]

Clave PGP: Disponible bajo solicitud

Nos comprometemos a:

  • Acusar recibo dentro de 24 horas
  • Proporcionar actualizaciones regulares sobre remediación
  • Acreditar a los investigadores en nuestro salón de la fama de seguridad
  • No emprender acciones legales por investigación de buena fe

12. Contactar al equipo de seguridad

Departamento de seguridad de HipoTech

Correo electrónico: [email protected]

Esta política de seguridad se revisa y actualiza trimestralmente. Última revisión: Marzo 2026