Cómo pensamos sobre la seguridad
Tratamos la seguridad como una propiedad básica del producto, no como una característica adicional. Esto significa: valores predeterminados seguros, configuraciones mínimas, dependencias actualizadas y acceso concedido por necesidad y no por conveniencia. Los mismos ingenieros que lanzan funciones también manejan las implicaciones de seguridad de esas funciones.
Esta página resume lo que hacemos: las certificaciones que tenemos, dónde residen los datos, cómo se protegen los pagos y cómo informar sobre una vulnerabilidad si encuentras una.
Certificaciones y cumplimiento normativo
Estamos sujetos a los siguientes marcos y nos auditamos según ellos:
- GDPR: cumplimiento total del Reglamento General de Protección de Datos de la UE, incluida una política de privacidad publicada, un registro documentado de actividades de tratamiento y un contacto designado para la protección de datos.
- PCI DSS: los datos de tarjetas de pago son gestionados exclusivamente por Stripe, que tiene la certificación PCI Nivel 1. Nunca vemos, almacenamos ni transmitimos números de tarjeta en bruto.
- ISO 27001: nuestros proveedores de alojamiento y plataforma están certificados; nuestro sistema interno de gestión de seguridad de la información refleja los mismos controles.
- SOC 2 Tipo II: se completa anualmente para la plataforma orientada al cliente.
Las copias de los certificados están disponibles previa solicitud a través de la página de contacto.
Cifrado en tránsito y en reposo
Todo el tráfico hacia y desde el sitio utiliza TLS 1.3; los protocolos más antiguos están desactivados a nivel del balanceador de carga. HSTS se aplica con una ventana de precarga para que los navegadores se nieguen a conectarse a través de HTTP sin cifrar después de la primera visita.
Los datos en reposo en nuestra base de datos y almacenamiento de objetos están cifrados con AES-256. Las claves de cifrado son gestionadas por el KMS del proveedor de la nube; ningún ingeniero posee una clave de texto plano de larga duración.
Controles de acceso
El acceso a producción está restringido a un pequeño número de ingenieros designados. La autenticación se realiza mediante SSO con MFA obligatorio — normalmente una clave de seguridad física. No hay cuentas compartidas ni contraseñas estáticas de cuentas de servicio; cada credencial de larga duración se rota automáticamente.
Cada acción sobre los datos de producción se registra con el actor, la hora y el registro afectado. Los registros son inmutables y se conservan durante 12 meses.
Seguridad de pagos
Todos los pagos se procesan a través de Stripe (y, para compradores polacos, Przelewy24). Ambos son procesadores de pagos certificados PCI-DSS. El formulario de tarjeta se renderiza dentro de su entorno aislado, por lo que los datos de la tarjeta nunca tocan nuestros servidores; solo recibimos una referencia tokenizada.
Habilitamos 3-D Secure 2 de forma predeterminada y confiamos en el motor de riesgo de Stripe junto con nuestras propias reglas de velocidad para detectar intentos fraudulentos. Los reembolsos se redirigen a través del método original sin manipulación manual de los datos de la tarjeta.
Tus datos
Recopilamos el mínimo necesario para realizar un pedido: nombre, dirección de facturación, correo electrónico, referencia de pago. No vendemos datos personales a nadie, nunca. No incorporamos rastreadores publicitarios de terceros.
Según el RGPD, tienes derecho a acceder a tus datos, corregirlos, exportarlos o eliminarlos. La política de privacidad explica cómo ejercer esos derechos y durante cuánto tiempo se conserva cada categoría de datos.
Divulgación responsable
Si crees que has encontrado un problema de seguridad, escríbenos a través de la página de contacto y te responderemos en un día hábil. Cuéntanos cuál es el problema, dónde está y cómo reproducirlo. Actualmente no tenemos un programa de recompensas por errores, pero reconocemos a los informantes que siguen la divulgación responsable en nuestra página pública de agradecimientos de seguridad.
Te pedimos que no realices pruebas contra las cuentas de otros usuarios, no ejecutes escáneres automatizados contra producción y no divulges públicamente un problema antes de que hayamos tenido la oportunidad de solucionarlo.