Prácticas de Seguridad

Fecha de Vigencia: 1 de marzo de 2026
Última Actualización: 1 de marzo de 2026
Versión: 1.1

En ISO Mate, nos tomamos muy en serio la seguridad de sus datos. Esta página describe las medidas técnicas y organizativas que tenemos implementadas para proteger la información que nos confía en nuestra plataforma. Si tiene preguntas sobre nuestras prácticas de seguridad, contáctenos en security@isomate.io.

ISO Mate ha completado una evaluación de Cloud Application Security Assessment (CASA) Tier 2 realizada por TAC Security, un evaluador autorizado por Google. CASA Tier 2 implica una evaluación de seguridad independiente de aplicaciones en la nube que solicitan acceso a datos sensibles de usuarios de Google. Tras esta evaluación, nuestro proyecto de Google Cloud fue revisado y aprobado por Google. ISO Mate cuenta con la certificación ESOF Shield, lo que refleja nuestro compromiso con el mantenimiento de estándares robustos de seguridad de aplicaciones y la protección de los datos de los clientes.

ESOF Shield Certified

Seguridad de la Infraestructura

La infraestructura de ISO Mate está alojada en Amazon Web Services (AWS) en la región ap-southeast-2 (Sídney, Australia). Nuestra arquitectura utiliza una Virtual Private Cloud (VPC) con grupos de seguridad para controlar el acceso a la red y aislar los servicios internos de la internet pública. Solo los endpoints necesarios están expuestos a través del Application Load Balancer, y todos los demás recursos residen en subredes privadas.

Las restricciones de Cross-Origin Resource Sharing (CORS) se aplican en todos los endpoints de la API para garantizar que solo los orígenes autorizados puedan interactuar con la plataforma.

Cifrado

En Reposo

Todos los datos almacenados en la plataforma están cifrados en reposo:

  • Bases de datos: Las instancias de Aurora Serverless v2 y DocumentDB están cifradas usando claves de cifrado gestionadas por AWS.
  • Almacenamiento de objetos: Los buckets de Amazon S3 utilizan cifrado gestionado por S3 (SSE-S3) para cifrar todos los objetos almacenados.
  • Almacenamiento de archivos: Los volúmenes de Amazon Elastic File System (EFS) están cifrados en reposo usando cifrado gestionado por AWS.

En Tránsito

Todos los datos transmitidos entre los usuarios y la plataforma, y entre los servicios internos, están cifrados usando SSL/TLS. SSL/TLS se aplica en todos los buckets de S3 y endpoints de servicios. No se aceptan conexiones sin cifrar.

Autenticación y Control de Acceso

ISO Mate implementa múltiples capas de autenticación y control de acceso para proteger las cuentas de usuario y los datos de la plataforma:

  • Autenticación basada en tokens: La plataforma utiliza Laravel Sanctum para la autenticación de API basada en tokens. Los tokens se emiten al iniciar sesión y son necesarios para todas las solicitudes de API autenticadas.
  • Control de acceso basado en roles (RBAC): Cada cuenta tiene roles configurables con permisos granulares. Los administradores pueden definir exactamente qué acciones puede realizar cada rol en todos los módulos de la plataforma.
  • Autenticación de dos factores (2FA): Los usuarios pueden habilitar la autenticación de dos factores basada en TOTP para sus cuentas. Se proporcionan códigos de recuperación durante la configuración para garantizar que no se pierda el acceso a la cuenta si el dispositivo autenticador no está disponible.
  • Google OAuth: Los usuarios pueden iniciar sesión usando su cuenta de Google a través de la integración OAuth 2.0, proporcionando una opción segura de inicio de sesión único.
  • Bloqueo de cuenta: Después de intentos de inicio de sesión fallidos repetidos, las cuentas se bloquean temporalmente para prevenir ataques de fuerza bruta.
  • Historial de contraseñas: La plataforma aplica reglas de historial de contraseñas para evitar que los usuarios reutilicen contraseñas recientes.

Aislamiento de Datos

ISO Mate es una plataforma multi-tenant. Los datos de cada cliente están lógicamente aislados a nivel de cuenta. Todas las consultas a la base de datos están limitadas a la cuenta activa, garantizando que los usuarios solo puedan acceder a los datos pertenecientes a su propia organización. Este aislamiento a nivel de cuenta se aplica en la capa de aplicación en cada endpoint de API y operación de acceso a datos.

Auditoría y Monitoreo

La plataforma mantiene capacidades integrales de auditoría y monitoreo:

  • Registro de auditoría: Las acciones de los usuarios dentro de la plataforma se registran en logs de auditoría, proporcionando un rastro detallado de quién hizo qué y cuándo.
  • Seguimiento de intentos de inicio de sesión: Todos los intentos de inicio de sesión, tanto exitosos como fallidos, se registran con marcas de tiempo y metadatos relevantes.
  • Registros de consentimiento: Los registros de consentimiento del usuario (como el consentimiento de cookies y la aceptación de términos) se almacenan con fines de cumplimiento y responsabilidad.
  • Monitoreo con CloudWatch: AWS CloudWatch se utiliza para monitorear el estado de la infraestructura, el rendimiento de la aplicación y las métricas operativas en tiempo real.
  • Alertas SNS: Amazon Simple Notification Service (SNS) está configurado para enviar alertas cuando se superan los umbrales de monitoreo, permitiendo una respuesta rápida ante posibles problemas.

Gestión de Secretos

Todas las credenciales, claves de API, contraseñas de bases de datos y otros valores de configuración sensibles se almacenan en AWS Secrets Manager. No se almacenan secretos en el código de la aplicación, archivos de configuración o variables de entorno comprometidas en el control de versiones. Los secretos se recuperan de forma segura en tiempo de ejecución por la infraestructura de la aplicación.

Almacenamiento y Retención de Datos

ISO Mate aplica las siguientes prácticas de almacenamiento y retención:

  • Versionado de S3: El versionado de objetos está habilitado en los buckets de S3 utilizados para cargas de archivos, protegiendo contra la eliminación o sobrescritura accidental de archivos.
  • Ciclo de vida de EFS: Los archivos almacenados en Amazon EFS que no se han accedido durante 30 días se transfieren automáticamente al almacenamiento de acceso infrecuente para optimizar costos manteniendo la disponibilidad.
  • Logs de acceso del ALB: Los logs de acceso del Application Load Balancer se retienen durante 30 días y luego se eliminan automáticamente.
  • Artefactos de CI/CD: Los artefactos de compilación y despliegue se retienen durante 30 días y luego se eliminan automáticamente.
  • Logs de auditoría y registros de consentimiento: Se retienen indefinidamente con fines de cumplimiento y responsabilidad.

Gestión de Vulnerabilidades

Estamos comprometidos con el mantenimiento de la seguridad de nuestra plataforma a través de una gestión proactiva de vulnerabilidades:

  • Actualizaciones de dependencias: Las dependencias de la aplicación se revisan y actualizan regularmente para incorporar parches de seguridad.
  • Parcheo de infraestructura: Los servicios gestionados por AWS reciben parches de seguridad automáticos. Las imágenes de contenedores y los entornos de ejecución se actualizan como parte de nuestro pipeline de despliegue.
  • Divulgación responsable: Si descubre una vulnerabilidad de seguridad en ISO Mate, le animamos a reportarla de manera responsable. Contáctenos en security@isomate.io con los detalles de la vulnerabilidad. Acusaremos recibo, investigaremos el informe y trabajaremos para resolver los problemas confirmados con prontitud. Le pedimos que no divulgue públicamente la vulnerabilidad hasta que hayamos tenido una oportunidad razonable de abordarla.

Contacto

Para preguntas, inquietudes o informes relacionados con la seguridad, contáctenos en: security@isomate.io