INTRODUCCIÓN
INTRODUCCIÓN
INTRODUCCIÓN
INTRODUCCIÓN
INTRODUCCIÓN
NUESTRO COMPROMISO DE SEGURIDAD
Principios de Seguridad:
NUESTRO COMPROMISO DE SEGURIDAD
- Múltiples capas de controles de seguridad
- Sin punto único de falla
- Mecanismos de protección redundantes
- Monitoreo y mejora continuos
Monitoreo y mejora continuos
- Consideraciones de privacidad integradas en todos los sistemas
- Minimización de datos y limitación de propósito
- Control del usuario sobre información personal
- Transparencia en el procesamiento de datos
Transparencia en el procesamiento de datos
- Nunca confiar, siempre verificar
- Modelo de acceso de mínimo privilegio
- Autenticación y autorización continuas
- Microsegmentación de redes
Microsegmentación de redes
- Configuraciones seguras desde el inicio
- Criptografía fuerte habilitada automáticamente
- Actualizaciones y parches de seguridad regulares
- Prevención proactiva de amenazas
Inversiones en Seguridad:
Prevención proactiva de amenazas
- Equipo dedicado de ingeniería de seguridad
- Auditorías de seguridad y pruebas de penetración regulares
- Sistemas avanzados de detección y prevención de amenazas
- Programas de capacitación y concientización de seguridad para empleados
- Investigación y mejora continua de seguridad
- Asociaciones con proveedores de seguridad líderes
CIFRADO Y PROTECCIÓN DE DATOS
3.1 Cifrado de Datos en Tránsito
CIFRADO Y PROTECCIÓN DE DATOS
- Todos los datos transmitidos entre usuarios y servidores de XPlus Finance están cifrados usando TLS 1.3
- Perfect Forward Secrecy (PFS) garantiza que las comunicaciones pasadas permanezcan seguras incluso si las claves se comprometen
- Conjuntos de cifrado modernos con AEAD (Cifrado Autenticado con Datos Asociados)
- Soporte para TLS 1.2 como respaldo (versión mínima)
Soporte para TLS 1.2 como respaldo (versión mínima)
- Principal: TLS_AES_256_GCM_SHA384
- Respaldo: TLS_CHACHA20_POLY1305_SHA256
- Soporte heredado: TLS_AES_128_GCM_SHA256
- Sin soporte para cifrados débiles o obsoletos (RC4, DES, 3DES, MD5)
Sin soporte para cifrados débiles o obsoletos (RC4, DES, 3DES, MD5)
- Certificados SSL/TLS de Validación Extendida (EV)
- Anclaje de certificados para aplicaciones móviles
- Renovación y rotación automática de certificados
- Registro de Transparencia de Certificados (CT)
Registro de Transparencia de Certificados (CT)
- TLS 1.3 requerido para todas las solicitudes de API
- Claves API transmitidas de forma segura a través de encabezados (nunca en URLs)
- OAuth 2.0 con PKCE para integraciones de terceros
- Tokens JWT para sesiones autenticadas
3.2 Cifrado de Datos en Reposo
Tokens JWT para sesiones autenticadas
- Todos los datos sensibles de usuarios cifrados en reposo usando AES-256-GCM
- Cifrado aplicado a nivel de base de datos, almacenamiento de archivos y respaldos
- Claves de cifrado separadas para diferentes categorías de datos
- Módulos de Seguridad de Hardware (HSM) para gestión de claves
Módulos de Seguridad de Hardware (HSM) para gestión de claves
- Credenciales de usuario y tokens de autenticación
- Información de cuenta bancaria y datos financieros
- Números de identificación fiscal (SSN, EIN)
- Detalles de métodos de pago (manejados por Stripe, cumple con PCI DSS)
- Información de identificación personal (PII)
- Registros de comunicación (correos electrónicos, SMS)
Registros de comunicación (correos electrónicos, SMS)
- AWS Key Management Service (KMS) para almacenamiento de claves
- Rotación automática de claves cada 90 días
- Autorización multipartita para acceso a claves
- Registro de auditoría para todas las operaciones de claves
- Destrucción segura de claves cuando se eliminan datos
Destrucción segura de claves cuando se eliminan datos
- Cifrado Transparente de Datos (TDE) para bases de datos
- Respaldos cifrados con claves separadas
- Cifrado a nivel de campo para datos altamente sensibles (SSN, tokens de pago)
- Índices cifrados para búsqueda sin exposición
3.3 Seguridad de Contraseñas
Índices cifrados para búsqueda sin exposición
- Todas las contraseñas de usuarios hash usando bcrypt con factor de costo 12
- Hashes con sal (sal única por contraseña)
- Contraseñas nunca almacenadas en texto plano o cifrado reversible
- Historial de contraseñas mantenido para prevenir reutilización
Historial de contraseñas mantenido para prevenir reutilización
- Mínimo 12 caracteres
- Mezcla de mayúsculas, minúsculas, números y símbolos
- Sin contraseñas comunes o palabras de diccionario (verificadas contra bases de datos de brechas conocidas)
- Sin información personal (nombre, correo electrónico, nombre de usuario)
Sin información personal (nombre, correo electrónico, nombre de usuario)
- Tokens de restablecimiento con tiempo limitado (válidos por 1 hora)
- Tokens de un solo uso (invalidados después del uso)
- Tokens entregados solo a través de dirección de correo electrónico verificada
- Notificación de actividad de cuenta enviada después de cambio de contraseña
AUTENTICACIÓN Y CONTROL DE ACCESO
4.1 Autenticación Multifactor (MFA)
AUTENTICACIÓN Y CONTROL DE ACCESO
- Contraseñas de Un Solo Uso Basadas en Tiempo (TOTP) a través de aplicaciones de autenticación
- Códigos de verificación basados en SMS (tiempo limitado a 10 minutos)
- Códigos de verificación por correo electrónico
- Códigos de respaldo para recuperación de cuenta (10 códigos de un solo uso)
Códigos de respaldo para recuperación de cuenta (10 códigos de un solo uso)
- Fuertemente recomendado para todos los usuarios
- Requerido para cuentas premium y transacciones de alto valor
- Requerido para empleados y administradores
- Aplicado después de detección de actividad sospechosa
Aplicado después de detección de actividad sospechosa
- TOTP generado usando algoritmo HMAC-SHA1 (RFC 6238)
- Códigos de 6 dígitos con ventana de validez de 30 segundos
- Limitación de tasa en intentos de MFA (5 intentos por 15 minutos)
- Bloqueo de cuenta después de 10 intentos fallidos de MFA
4.2 Gestión de Sesiones
Bloqueo de cuenta después de 10 intentos fallidos de MFA
- Cookies seguras, solo HTTP (no accesibles a través de JavaScript)
- Atributo SameSite establecido en "Strict" o "Lax"
- Tokens de sesión generados usando generador de números aleatorios criptográficamente seguro
- Entropía de token de sesión de 256 bits
Entropía de token de sesión de 256 bits
- Tiempo de espera de sesión activa: 12 horas de actividad continua
- Tiempo de espera por inactividad: 30 minutos de inactividad
- Opción de recordarme: 30 días (requiere reautenticación MFA para acciones sensibles)
- Tiempo de espera absoluto: Vida útil máxima de sesión de 7 días
Tiempo de espera absoluto: Vida útil máxima de sesión de 7 días
- Invalidación inmediata de sesión al cerrar sesión
- Capacidad de revocar todas las sesiones remotamente
- Revocación automática al cambiar contraseña
- Revocación de sesión al suspender cuenta
4.3 Control de Acceso
Revocación de sesión al suspender cuenta
- Principio de mínimo privilegio (permisos mínimos necesarios)
- Roles predefinidos: Usuario, Usuario Premium, Agente de Soporte, Administrador, Desarrollador
- Modelo de permisos granular para acceso a datos
- Revisiones de acceso regulares y auditorías de permisos
Revisiones de acceso regulares y auditorías de permisos
- Cuentas administrativas separadas (no utilizadas para trabajo regular)
- MFA requerido para todo acceso administrativo
- Sistema de gestión de acceso privilegiado (PAM)
- Aprovisionamiento de acceso justo a tiempo (JIT) para operaciones sensibles
- Todas las acciones administrativas registradas y auditadas
Todas las acciones administrativas registradas y auditadas
- Seguridad a nivel de fila en bases de datos
- Segregación de datos por cuenta de usuario
- Cifrado de campos sensibles
- Registro de auditoría para todo acceso a datos
- Alertas automatizadas para patrones de acceso inusuales
SEGURIDAD DE RED
5.1 Firewall y Segmentación de Red
SEGURIDAD DE RED
- Firewall de Aplicaciones Web (WAF) a través de Cloudflare
- Firewalls de próxima generación (NGFW) a nivel de infraestructura
- Inspección de paquetes con estado
- Reglas de denegación predeterminadas (solo se permite tráfico explícitamente autorizado)
Reglas de denegación predeterminadas (solo se permite tráfico explícitamente autorizado)
- Separación de entornos de producción, staging y desarrollo
- Aislamiento de servidores de base de datos de internet público
- Subredes privadas para servicios sensibles
- Arquitectura VPC (Nube Privada Virtual) en AWS
Arquitectura VPC (Nube Privada Virtual) en AWS
- Protección DDoS de Cloudflare (Capa 3, 4 y 7)
- Limitación de tasa y conformación de tráfico
- Mitigación automática de ataques volumétricos
- SLA de tiempo de actividad del 99.99%
5.2 Detección y Prevención de Intrusiones
SLA de tiempo de actividad del 99.99%
- Monitoreo en tiempo real del tráfico de red
- Detección basada en firmas para amenazas conocidas
- Detección basada en anomalías para amenazas de día cero
- Integración con fuentes de inteligencia de amenazas
Integración con fuentes de inteligencia de amenazas
- Bloqueo automático de tráfico malicioso
- Filtrado de reputación de IP
- Geobloqueo para regiones de alto riesgo (configurable)
- Limitación de tasa para prevenir ataques de fuerza bruta
Limitación de tasa para prevenir ataques de fuerza bruta
- Registro centralizado y correlación de eventos de seguridad
- Alertas en tiempo real para incidentes de seguridad
- Retención de registros de seguridad durante 5 años
- Integración con flujos de trabajo de respuesta a incidentes
SEGURIDAD DE APLICACIONES
6.1 Ciclo de Vida de Desarrollo Seguro
SEGURIDAD DE APLICACIONES
- Modelado de amenazas para nuevas características
- Requisitos de seguridad definidos en fase de diseño
- Estándares y directrices de codificación segura
- Revisiones de código por pares con enfoque en seguridad
Revisiones de código por pares con enfoque en seguridad
- Validación y sanitización de entradas
- Codificación de salidas para prevenir XSS
- Consultas parametrizadas para prevenir inyección SQL
- Tokens CSRF para operaciones que cambian estado
- Encabezados de Política de Seguridad de Contenido (CSP)
Encabezados de Política de Seguridad de Contenido (CSP)
- Pruebas Estáticas de Seguridad de Aplicaciones (SAST) en pipeline CI/CD
- Pruebas Dinámicas de Seguridad de Aplicaciones (DAST) en entorno de staging
- Análisis de Composición de Software (SCA) para vulnerabilidades de dependencias
- Pruebas de penetración manual trimestralmente
6.2 Prevención de Vulnerabilidades Comunes
Pruebas de penetración manual trimestralmente
- Consultas parametrizadas y declaraciones preparadas
- Frameworks ORM (Mapeo Objeto-Relacional)
- Cuentas de base de datos de mínimo privilegio
- Validación de entrada y verificación de tipo
Validación de entrada y verificación de tipo
- Codificación de salidas (HTML, JavaScript, URL)
- Política de Seguridad de Contenido (CSP)
- Banderas HTTP-only y Secure en cookies
- Sanitización de contenido generado por usuarios
Sanitización de contenido generado por usuarios
- Tokens CSRF en todas las solicitudes que cambian estado
- Atributo de cookie SameSite
- Encabezados de solicitud personalizados para llamadas API
- Verificación de encabezados Origin y Referer
Verificación de encabezados Origin y Referer
- Encabezado X-Frame-Options (DENY o SAMEORIGIN)
- Content-Security-Policy: directiva frame-ancestors
- Código JavaScript de frame-busting como respaldo
Código JavaScript de frame-busting como respaldo
- Strict-Transport-Security (HSTS)
- X-Content-Type-Options: nosniff
- X-XSS-Protection: 1; mode=block
- Referrer-Policy: strict-origin-when-cross-origin
- Permissions-Policy para control de características
6.3 Seguridad de API
Permissions-Policy para control de características
- Autenticación de token Bearer (JWT)
- Autenticación de clave API para servidor a servidor
- OAuth 2.0 para integraciones de terceros
- Tokens de acceso de corta duración (1 hora) y tokens de actualización de larga duración
Tokens de acceso de corta duración (1 hora) y tokens de actualización de larga duración
- Autorización basada en tokens
- Permisos basados en alcance
- Control de acceso a nivel de recurso
- Limitación de tasa por usuario y clave API
Limitación de tasa por usuario y clave API
- API general: 1,000 solicitudes por hora por usuario
- Puntos finales de autenticación: 10 solicitudes por 15 minutos
- API premium: 10,000 solicitudes por hora
- Limitación automática con código de estado 429
Limitación automática con código de estado 429
- HTTPS requerido para todos los puntos finales de API
- Sin datos sensibles en parámetros de URL
- Validación de solicitud y respuesta
- Versionado de API para compatibilidad hacia atrás
- Documentación completa de API con pautas de seguridad
SEGURIDAD DE INFRAESTRUCTURA
7.1 Infraestructura en la Nube (AWS)
SEGURIDAD DE INFRAESTRUCTURA
- AWS Shield para protección DDoS
- AWS GuardDuty para detección de amenazas
- AWS Inspector para evaluación de vulnerabilidades
- AWS CloudTrail para registro de auditoría
- AWS Config para monitoreo de cumplimiento
AWS Config para monitoreo de cumplimiento
- Parcheo regular de instancias EC2 (automatizado mensualmente)
- Infraestructura inmutable (sin acceso SSH a producción)
- Escaneo de seguridad de contenedores para imágenes Docker
- Aislamiento de funciones Lambda y roles IAM de mínimo privilegio
Aislamiento de funciones Lambda y roles IAM de mínimo privilegio
- Cifrado de bucket S3 habilitado por defecto
- Políticas de bucket S3 que aplican acceso privado
- Versionado de S3 para recuperación de datos
- Registro de acceso de S3 para pista de auditoría
Registro de acceso de S3 para pista de auditoría
- Cifrado de base de datos RDS en reposo (AES-256)
- Respaldos automatizados de RDS (retenidos durante 30 días)
- Monitoreo de actividad de base de datos
- Subredes privadas (sin acceso directo a internet)
- Cuentas de usuario de base de datos de mínimo privilegio
7.2 Endurecimiento de Infraestructura
Cuentas de usuario de base de datos de mínimo privilegio
- Instalación mínima de SO (solo paquetes requeridos)
- Servicios y puertos innecesarios deshabilitados
- Parches de seguridad aplicados dentro de 7 días de lanzamiento
- Cumplimiento de benchmarks CIS
Cumplimiento de benchmarks CIS
- Infraestructura como Código (IaC) usando Terraform
- Configuraciones de infraestructura controladas por versión
- Pipelines de implementación automatizados
- Detección y remediación de desviación de configuración
Detección y remediación de desviación de configuración
- AWS Secrets Manager para credenciales sensibles
- Rotación de secretos cada 90 días
- Sin secretos codificados en código o configuraciones
- Cifrado de secretos en reposo y en tránsito
SEGURIDAD DE TERCEROS
8.1 Requisitos de Seguridad de Subprocesadores
SEGURIDAD DE TERCEROS
- Cuestionario de seguridad y diligencia debida
- Revisión de certificaciones de seguridad (SOC 2, ISO 27001)
- Requisitos de seguridad contractuales
- Auditorías y evaluaciones de seguridad regulares
Auditorías y evaluaciones de seguridad regulares
- Acuerdos de Procesamiento de Datos (DPA) conformes con RGPD
- Cláusulas Contractuales Estándar (SCC) para transferencias internacionales
- Obligaciones de seguridad y privacidad
- Responsabilidad e indemnización del subprocesador
Responsabilidad e indemnización del subprocesador
- Stripe: PCI DSS Nivel 1, SOC 2 Type II, ISO 27001
- AWS: SOC 1/2/3, ISO 27001/27017/27018, PCI DSS Nivel 1
- OpenAI: SOC 2 Type II, cifrado en tránsito y en reposo
- Plaid: SOC 2 Type II, ISO 27001, cifrado de nivel bancario
Tabla de Verificación de Seguridad de Subprocesadores
Plaid: SOC 2 Type II, ISO 27001, cifrado de nivel bancario
Plaid: SOC 2 Type II, ISO 27001, cifrado de nivel bancario
- Todos los subprocesadores activos tienen Acuerdos de Procesamiento de Datos (DPAs) ejecutados
- Todas las transferencias internacionales de datos cubiertas por Cláusulas Contractuales Estándar (SCCs)
- Todos los subprocesadores cumplen o superan los estándares mínimos de cifrado (TLS 1.2+, AES-256)
- Certificaciones de seguridad actuales y verificadas dentro de los últimos 12 meses
- Auditorías de seguridad completadas dentro de los últimos 6 meses
Auditorías de seguridad completadas dentro de los últimos 6 meses
- Subprocesadores críticos (Stripe, AWS, Plaid): Revisiones de seguridad trimestrales
- Subprocesadores de alto riesgo (OpenAI, pago/financiero): Revisiones trimestrales
- Subprocesadores estándar: Revisiones semestrales
- Todos los subprocesadores: Evaluación de seguridad integral anual
Todos los subprocesadores: Evaluación de seguridad integral anual
Todos los subprocesadores: Evaluación de seguridad integral anual
- Cumplimiento del Artículo 28 del RGPD para procesamiento de datos
- Certificación ISO 27001 o SOC 2 Type II (o equivalente)
- Cifrado en tránsito (TLS 1.2 mínimo, TLS 1.3 preferido)
- Cifrado en reposo (AES-256 o equivalente)
- Procedimientos de respuesta a incidentes con requisito de notificación de 24 horas
- Pruebas de penetración regulares y evaluaciones de vulnerabilidades
Pruebas de penetración regulares y evaluaciones de vulnerabilidades
8.2 Seguridad de Código de Terceros
Pruebas de penetración regulares y evaluaciones de vulnerabilidades
- Escaneo automatizado de dependencias (Dependabot, Snyk)
- Alertas de vulnerabilidades y parcheo automatizado
- Huella mínima de dependencias
- Actualizaciones regulares de dependencias (mensualmente)
Actualizaciones regulares de dependencias (mensualmente)
- Verificaciones de cumplimiento de licencias
- Auditoría de seguridad de dependencias críticas
- Bifurcación y auto-alojamiento para bibliotecas críticas
- Contribución a correcciones de seguridad upstream
SEGURIDAD Y PRIVACIDAD DE DATOS
9.1 Minimización de Datos
SEGURIDAD Y PRIVACIDAD DE DATOS
- Solo recopilar datos necesarios para la prestación del servicio
- Campos opcionales claramente marcados
- Recopilación basada en consentimiento para datos no esenciales
- Revisión regular de prácticas de recopilación de datos
Revisión regular de prácticas de recopilación de datos
- Sin almacenamiento permanente de credenciales sensibles (contraseñas bancarias manejadas por Plaid)
- Tokenización de métodos de pago (tokens de Stripe)
- Anonimización de datos de análisis
- Pseudonimización cuando sea posible
Pseudonimización cuando sea posible
- Datos eliminados según Política de Retención de Datos
- Procesos de eliminación automatizados
- Destrucción segura de datos (borrado criptográfico)
- Retención de respaldo limitada a períodos necesarios
9.2 Controles de Privacidad de Datos
Retención de respaldo limitada a períodos necesarios
- Solicitudes de acceso a datos (exportar todos los datos)
- Solicitudes de eliminación de datos (derecho al olvido)
- Portabilidad de datos (formato legible por máquina)
- Exclusión de marketing y análisis
Exclusión de marketing y análisis
- Evaluaciones de impacto de privacidad para nuevas características
- Privacidad por diseño y por defecto
- Anonimización de datos para análisis e informes
- Controles de acceso estrictos sobre datos personales
MONITOREO DE SEGURIDAD Y RESPUESTA A INCIDENTES
10.1 Monitoreo de Seguridad 24/7
MONITOREO DE SEGURIDAD Y RESPUESTA A INCIDENTES
- Monitoreo en tiempo real de infraestructura y aplicaciones
- Detección automática de anomalías usando aprendizaje automático
- Análisis de comportamiento de usuarios (UBA)
- Integración de inteligencia de amenazas
Integración de inteligencia de amenazas
- Intentos de inicio de sesión fallidos y anomalías de autenticación
- Patrones inusuales de uso de API
- Patrones de acceso a base de datos
- Anomalías de tráfico de red
- Utilización de recursos del sistema
- Eventos de registro de seguridad
Eventos de registro de seguridad
- Alertas automatizadas para eventos de seguridad
- Procedimientos de escalación para alertas críticas
- Equipo de seguridad de guardia 24/7
- Integración con sistema de gestión de incidentes
10.2 Respuesta a Incidentes
Integración con sistema de gestión de incidentes
- Procedimientos documentados de respuesta a incidentes
- Roles y responsabilidades definidos
- Simulacros regulares de respuesta a incidentes (trimestralmente)
- Revisión post-incidente y lecciones aprendidas
Revisión post-incidente y lecciones aprendidas
- Detección: Monitoreo automatizado y reportes de usuarios
- Contención: Aislar sistemas afectados, revocar credenciales comprometidas
- Erradicación: Eliminar amenaza, parchear vulnerabilidades
- Recuperación: Restaurar servicios, verificar integridad
- Post-Incidente: Análisis de causa raíz, recomendaciones de mejora
Post-Incidente: Análisis de causa raíz, recomendaciones de mejora
- Comunicación interna a través de canal de seguridad dedicado
- Notificación a usuarios dentro de 72 horas para brechas de datos (requisito RGPD)
- Notificación regulatoria según lo requerido por ley
- Transparencia en divulgación de brechas
Transparencia en divulgación de brechas
- Incidentes críticos: Respuesta dentro de 15 minutos
- Severidad alta: Respuesta dentro de 1 hora
- Severidad media: Respuesta dentro de 4 horas
- Severidad baja: Respuesta dentro de 24 horas
GESTIÓN DE VULNERABILIDADES
11.1 Escaneo de Vulnerabilidades
GESTIÓN DE VULNERABILIDADES
- Escaneos semanales de vulnerabilidades de infraestructura
- Escaneo continuo de código de aplicación en CI/CD
- Escaneo de vulnerabilidades de dependencias (diario)
- Escaneo de vulnerabilidades de aplicaciones web (semanal)
Escaneo de vulnerabilidades de aplicaciones web (semanal)
- Pruebas de penetración trimestrales por empresas de seguridad de terceros
- Evaluación de seguridad integral anual
- El alcance incluye aplicación web, API e infraestructura
- Remediación de hallazgos dentro de SLAs definidos
11.2 Gestión de Parches
Remediación de hallazgos dentro de SLAs definidos
- Parches de seguridad críticos: Dentro de 24-48 horas
- Parches de severidad alta: Dentro de 7 días
- Parches de severidad media: Dentro de 30 días
- Parches de severidad baja: Próxima ventana de mantenimiento
Parches de severidad baja: Próxima ventana de mantenimiento
- Implementación automatizada de parches para infraestructura
- Despliegue escalonado (staging → producción)
- Plan de reversión para cada implementación
- Verificación post-implementación
SEGURIDAD DE EMPLEADOS
12.1 Capacitación en Seguridad
SEGURIDAD DE EMPLEADOS
- Capacitación en concientización de seguridad para todos los empleados (incorporación y anual)
- Capacitación en RGPD y privacidad
- Capacitación en codificación segura para desarrolladores
- Concientización sobre phishing y ejercicios de simulación
Concientización sobre phishing y ejercicios de simulación
- Capacitación avanzada en seguridad para equipo de seguridad
- Capacitación en respuesta a incidentes
- Talleres de búsqueda de amenazas
- Certificaciones de seguridad (CISSP, CEH, OSCP)
12.2 Control de Acceso de Empleados
Certificaciones de seguridad (CISSP, CEH, OSCP)
- Cuentas de usuario únicas para cada empleado
- MFA requerido para todo acceso de empleados
- Aprovisionamiento de acceso justo a tiempo
- Revisiones de acceso trimestrales
Revisiones de acceso trimestrales
- Verificaciones de antecedentes para todos los empleados que manejan datos de usuarios
- Acuerdos de no divulgación (NDA) firmados por todos los empleados
- Autorización de seguridad para miembros del equipo de seguridad
Autorización de seguridad para miembros del equipo de seguridad
- Revocación inmediata de acceso al terminar
- Recuperación de dispositivos y credenciales de la empresa
- Entrevistas de salida con recordatorios de seguridad
CUMPLIMIENTO Y CERTIFICACIONES
13.1 Cumplimiento Regulatorio
CUMPLIMIENTO Y CERTIFICACIONES
- Residencia de datos de la UE para usuarios de la UE
- Acuerdos de Procesamiento de Datos con subprocesadores
- Privacidad por diseño y por defecto
- Notificación de brechas de datos dentro de 72 horas
Notificación de brechas de datos dentro de 72 horas
- Transparencia en recopilación y uso de datos
- Derechos de usuario para acceder, eliminar y excluirse
- Sin venta de información personal
- Actualizaciones anuales de política de privacidad
Actualizaciones anuales de política de privacidad
- Cumplimiento de la Ley de Secreto Bancario (BSA) para AML
- Procedimientos de Conozca a Su Cliente (KYC)
- Reporte de impuestos (Formulario 1099-K, 1099-NEC)
- Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) a través de Stripe
13.2 Certificaciones de Seguridad
Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) a través de Stripe
- SOC 2 Type II (en progreso, esperado Q2 2026)
- ISO 27001 (planificado para 2026)
- Cumplimiento PCI DSS (a través de subprocesador Stripe)
Cumplimiento PCI DSS (a través de subprocesador Stripe)
- Marco de Ciberseguridad NIST (CSF)
- Prácticas de seguridad OWASP Top 10
- Controles CIS para endurecimiento de infraestructura
- Errores de seguridad de software SANS Top 25
RESPONSABILIDADES DE SEGURIDAD DEL USUARIO
14.1 Seguridad de Cuenta
RESPONSABILIDADES DE SEGURIDAD DEL USUARIO
- Usar contraseñas fuertes y únicas (se recomienda gestor de contraseñas)
- Habilitar autenticación multifactor (MFA)
- Mantener información de contacto actualizada
- Revisar actividad de cuenta regularmente
- Cerrar sesión desde dispositivos compartidos
- Evitar Wi-Fi público sin VPN
Evitar Wi-Fi público sin VPN
- Correos electrónicos inesperados de restablecimiento de contraseña
- Dispositivos desconocidos en historial de sesiones
- Transacciones no autorizadas
- Correos electrónicos sospechosos que afirman ser de XPlus Finance
14.2 Concientización sobre Phishing
Correos electrónicos sospechosos que afirman ser de XPlus Finance
- Verificar dirección de correo electrónico del remitente (correos oficiales de @xplusfinance.org)
- Buscar lenguaje urgente y amenazas
- Pasar el cursor sobre enlaces antes de hacer clic (verificar URL)
- Observar errores ortográficos y gramaticales
Observar errores ortográficos y gramaticales
- Solicitar su contraseña por correo electrónico o teléfono
- Solicitar códigos de autenticación multifactor
- Enviar archivos adjuntos no solicitados
- Amenazar con cierre de cuenta sin aviso apropiado
Amenazar con cierre de cuenta sin aviso apropiado
- No hacer clic en enlaces ni descargar archivos adjuntos
- Reenviar correo electrónico sospechoso a [email protected]
- Reportar intentos de phishing
- Cambiar contraseña si se ingresaron credenciales
PROGRAMA DE DIVULGACIÓN RESPONSABLE
15.1 Política de Divulgación de Vulnerabilidades (VDP)
PROGRAMA DE DIVULGACIÓN RESPONSABLE
- Aplicación web y APIs de XPlus Finance
- Aplicaciones móviles (iOS, Android)
- Subdominios y servicios relacionados
- Infraestructura públicamente accesible
Infraestructura públicamente accesible
- Ataques de Denegación de Servicio (DoS)
- Ingeniería social de empleados
- Pruebas de seguridad física
- Servicios de terceros no controlados por XPlus Finance
Servicios de terceros no controlados por XPlus Finance
- No emprenderemos acciones legales contra investigadores que:
- Reporten vulnerabilidades de manera responsable
- No exploten vulnerabilidades para ganancia personal
- No divulguen vulnerabilidades públicamente antes de la remediación
- Actúen de buena fe
15.2 Cómo Reportar Vulnerabilidades
Actúen de buena fe
- Correo Electrónico: [email protected]
- Clave PGP: Disponible en nuestro sitio web para comunicaciones cifradas
- Asunto: "Reporte de Vulnerabilidad de Seguridad - [Breve Descripción]"
Asunto: "Reporte de Vulnerabilidad de Seguridad - [Breve Descripción]"
- Descripción de vulnerabilidad y evaluación de impacto
- Pasos para reproducir el problema
- Prueba de concepto (si aplica)
- URLs, puntos finales o componentes afectados
- Su nombre e información de contacto (opcional para reportes anónimos)
Su nombre e información de contacto (opcional para reportes anónimos)
- Reconocimiento: Dentro de 24 horas
- Evaluación inicial: Dentro de 3 días hábiles
- Actualizaciones de estado: Semanalmente hasta resolución
- Remediación: Basado en severidad (crítico dentro de 7 días, alto dentro de 30 días)
Remediación: Basado en severidad (crítico dentro de 7 días, alto dentro de 30 días)
- Reconocimiento público en nuestro Salón de la Fama de Seguridad (con permiso)
- Premios y recompensas por hallazgos significativos (a nuestra discreción)
- Sin programa de recompensas de errores monetario actualmente (planificado para el futuro)
REPORTE DE INCIDENTES DE SEGURIDAD
Para Usuarios:
REPORTE DE INCIDENTES DE SEGURIDAD
- Correo Electrónico: [email protected]
- Asunto: "Reporte de Incidente de Seguridad"
Asunto: "Reporte de Incidente de Seguridad"
- Naturaleza del incidente (acceso no autorizado, exposición de datos, phishing)
- Fecha y hora de ocurrencia
- Cuenta o datos afectados
- Cualquier evidencia (capturas de pantalla, registros, correos electrónicos)
Cualquier evidencia (capturas de pantalla, registros, correos electrónicos)
- Reconocer recepción dentro de 24 horas
- Investigar el incidente
- Tomar acciones de contención y remediación
- Notificar a usuarios afectados dentro de 72 horas (si aplica)
- Proporcionar resumen de incidente y recomendaciones
CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
17.1 Estrategia de Respaldo
CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
- Respaldos de base de datos: Continuo (recuperación punto en el tiempo)
- Respaldos completos: Diario (retenidos durante 30 días)
- Respaldos semanales: Retenidos durante 12 semanas
- Respaldos mensuales: Retenidos durante 12 meses
Respaldos mensuales: Retenidos durante 12 meses
- Respaldos cifrados (AES-256)
- Almacenamiento de respaldo distribuido geográficamente
- Verificación de integridad de respaldo (mensual)
- Controles de acceso sobre datos de respaldo
Controles de acceso sobre datos de respaldo
- Pruebas de restauración mensuales
- Simulacros de recuperación ante desastres trimestrales
- Ejercicio de recuperación a escala completa anual
17.2 Recuperación ante Desastres
Ejercicio de recuperación a escala completa anual
- Objetivo de Tiempo de Recuperación (RTO): 4 horas para sistemas críticos
- Objetivo de Punto de Recuperación (RPO): 15 minutos (pérdida mínima de datos)
Objetivo de Punto de Recuperación (RPO): 15 minutos (pérdida mínima de datos)
- Procedimientos documentados para varios escenarios de desastre
- Conmutación por error a región secundaria de AWS
- Conmutación por error automatizada para servicios críticos
- Procedimientos manuales para recuperación ante desastres completa
Procedimientos manuales para recuperación ante desastres completa
- Implementación en múltiples zonas de disponibilidad
- Balanceo de carga a través de múltiples servidores
- Replicación de base de datos para conmutación por error
- SLA de tiempo de actividad del 99.9%
INFORMACIÓN DE CONTACTO
Equipo de Seguridad:
INFORMACIÓN DE CONTACTO
- Correo Electrónico: [email protected]
- Tiempo de Respuesta: Dentro de 24-48 horas
Tiempo de Respuesta: Dentro de 24-48 horas
- Correo Electrónico: [email protected]
- Asunto: "Reporte de Vulnerabilidad"
- Clave PGP: Disponible en https://xplusfinance.com/pgp-key.txt
Clave PGP: Disponible en https://xplusfinance.com/pgp-key.txt
- Correo Electrónico: [email protected]
- Asunto: "Reporte de Incidente de Seguridad"
- Línea Directa Urgente: +1 (XXX) XXX-XXXX (para emergencias de seguridad críticas)
Línea Directa Urgente: +1 (XXX) XXX-XXXX (para emergencias de seguridad críticas)
- Correo Electrónico: [email protected]
- Consulte la Política de Privacidad para información detallada
Consulte la Política de Privacidad para información detallada
Consulte la Política de Privacidad para información detallada
Consulte la Política de Privacidad para información detallada
Consulte la Política de Privacidad para información detallada
Consulte la Política de Privacidad para información detallada
Consulte la Política de Privacidad para información detallada
Consulte la Política de Privacidad para información detallada