Nuestro compromiso de seguridad
En HipoTech, la seguridad no es solo una característica, es la base de todo lo que construimos. Estamos comprometidos a proteger sus datos financieros sensibles con prácticas de seguridad líderes en la industria y mejora continua.
1. Encriptación de datos
Encriptación en reposo
Todos los datos almacenados están protegidos con:
- AES-256-GCM: Encriptación simétrica estándar de la industria para todos los datos almacenados
- Respaldos encriptados: Almacenamiento de respaldo encriptado con redundancia geográfica
- Gestión de claves: GCP KMS (Cloud Key Management Service) para gestión segura de claves
- Rotación de claves: Rotación automática de claves cada 90 días
Encriptación en tránsito
Toda la transmisión de datos está asegurada con:
- TLS 1.3: Último protocolo TLS para todas las comunicaciones
- Perfect forward secrecy: Forward secrecy para proteger comunicaciones pasadas
- Certificate pinning: Certificate pinning para aplicaciones móviles
- HSTS: Strict transport security con política de 1 año
2. Control de acceso
Autenticación multifactor
Aplicamos autenticación fuerte:
- 2FA obligatorio para todas las cuentas de usuario
- Soporte para aplicaciones de autenticación (TOTP)
- Soporte para llaves de seguridad de hardware (FIDO2/WebAuthn)
- Autenticación biométrica en dispositivos móviles
Requisitos de contraseña
Las políticas de contraseña fuerte incluyen:
- Mínimo 12 caracteres con requisitos de complejidad
- Detección de brechas contra contraseñas comprometidas conocidas
- Hash seguro de contraseñas con Argon2id
- Bloqueo de cuenta después de intentos fallidos
- Políticas de expiración de contraseña para cuentas de personal
Control de acceso basado en roles
El acceso está estrictamente controlado:
- Principio de mínimo privilegio para todo acceso
- Roles separados para clientes, personal y administradores
- Revisiones de acceso y certificación regulares
- Desaprovisionamiento automático en cambio de rol
- Gestión de acceso privilegiado (PAM) para operaciones sensibles
3. Seguridad de infraestructura
Seguridad en la nube
Nuestra infraestructura en la nube incluye:
- Hetzner Cloud con centros de datos certificados ISO 27001 en Alemania
- Despliegue multi-zona en Hetzner para alta disponibilidad
- Auto-escalado y balanceo de carga
- Infraestructura como código con escaneo de seguridad
- Patrones de infraestructura inmutable
Seguridad de red
Medidas de protección de red:
- Protección de firewall de aplicaciones web (WAF)
- Mitigación de DDoS y filtrado de tráfico mediante Cloudflare
- Segmentación de red y aislamiento VPC
- Sistema de detección de intrusiones (IDS)
- Escaneo de vulnerabilidades regular
Seguridad de aplicaciones
Prácticas de desarrollo seguro:
- Ciclo de vida de desarrollo de software seguro (SSDLC)
- Pruebas de seguridad de aplicaciones estáticas (SAST)
- Pruebas de seguridad de aplicaciones dinámicas (DAST)
- Escaneo de vulnerabilidades de dependencias
- Revisiones de código y evaluaciones de seguridad regulares
4. Monitoreo y detección
Centro de operaciones de seguridad
Monitoreo de seguridad continuo:
- Monitoreo de seguridad 24/7/365
- Gestión de información y eventos de seguridad (SIEM)
- Detección y alertas de amenazas automatizadas
- Correlación de eventos de seguridad entre sistemas
- Integración de inteligencia de amenazas
Registro de auditoría
El registro completo incluye:
- Todos los eventos de autenticación y autorización
- Registros de acceso y modificación de datos
- Acciones administrativas y cambios de configuración
- Registros de acceso API con detalles de solicitud/respuesta
- Retención de registros por 7 años para cumplimiento
5. Respuesta a incidentes
Plan de respuesta a incidentes
Nuestro proceso de respuesta a incidentes sigue marcos establecidos:
- Detección: Los sistemas de monitoreo y alertas automatizados identifican incidentes potenciales
- Análisis: El equipo de seguridad evalúa la severidad y alcance del incidente
- Contención: Acciones inmediatas para limitar el impacto y prevenir la propagación
- Erradicación: Eliminar la amenaza y abordar la causa raíz
- Recuperación: Restaurar operaciones normales y verificar la seguridad
- Lecciones aprendidas: Revisión post-incidente y mejora del proceso
Notificación de violación de datos
En caso de violación de datos:
- Usuarios afectados notificados dentro de 72 horas
- Autoridades regulatorias informadas según se requiera
- Informe detallado del incidente proporcionado
- Pasos de remediación y monitoreo de crédito ofrecidos
- Transparencia pública para incidentes significativos
6. Seguridad física
Los controles de seguridad física incluyen:
- Centros de datos Hetzner con personal de seguridad 24/7
- Controles de acceso biométrico y entradas de trampa
- Vigilancia por video y monitoreo
- Controles ambientales (incendio, inundación, energía)
- Gestión de visitantes y requisitos de escolta
7. Seguridad de empleados
Verificación de antecedentes
Todos los empleados pasan por:
- Verificación integral de antecedentes
- Verificación de historial criminal
- Verificación de educación y empleo
- Re-verificación periódica para roles sensibles
Capacitación en seguridad
Programas de capacitación obligatorios:
- Capacitación en concientización de seguridad al incorporarse
- Cursos de actualización de seguridad anuales
- Ejercicios de simulación de phishing
- Capacitación de seguridad específica por rol
- Capacitación en codificación segura para desarrolladores
8. Gestión de vulnerabilidades
La gestión proactiva de vulnerabilidades incluye:
- Evaluaciones de vulnerabilidades regulares
- Pruebas de penetración trimestrales por terceros
- Programa de bug bounty para divulgación responsable
- Gestión de parches con sLAs definidos
- Priorización de remediación basada en riesgo
9. Continuidad del negocio
Respaldo y recuperación
Medidas de protección de datos:
- Replicación continua de base de datos
- Capacidad de recuperación point-in-time
- Pruebas y validación regulares de respaldos
- Redundancia geográfica para recuperación ante desastres
- Objetivo de tiempo de recuperación (RTO) de 4 horas
Recuperación ante desastres
Planificación de continuidad del negocio:
- Procedimientos de recuperación ante desastres documentados
- Pruebas y validación de DR anuales
- Capacidad de failover multi-región
- Planes de comunicación para partes interesadas
- Revisiones y actualizaciones regulares del plan
10. Seguridad de terceros
Requisitos de seguridad de proveedores:
- Evaluaciones de seguridad antes de incorporación
- Requisitos contractuales de seguridad
- Revisiones regulares de seguridad de proveedores
- Compartición limitada de datos según necesidad
- Provisiones de derecho a auditar
11. Divulgación responsable
Invitamos a los investigadores de seguridad a reportar vulnerabilidades de manera responsable. Por favor contacte a nuestro equipo de seguridad:
Contacto del equipo de seguridad:
Correo electrónico: [email protected]
Clave PGP: Disponible bajo solicitud
Nos comprometemos a:
- Acusar recibo dentro de 24 horas
- Proporcionar actualizaciones regulares sobre remediación
- Acreditar a los investigadores en nuestro salón de la fama de seguridad
- No emprender acciones legales por investigación de buena fe
12. Contactar al equipo de seguridad
Esta política de seguridad se revisa y actualiza trimestralmente. Última revisión: Marzo 2026