Contenido del documento
Introducción
Nuestro enfoque de seguridadPetmy Care utiliza medidas técnicas avanzadas para proteger la plataforma, los datos de usuarios y las mascotas registradas contra accesos no autorizados, modificaciones maliciosas y otras amenazas de seguridad.
Esta política describe nuestras prácticas de seguridad a nivel técnico y operativo. No es un garantía absoluta (ningún sistema es 100% seguro), pero refleja nuestro compromiso de mantener los más altos estándares de protección.
✅ Confianza constante: Realizamos auditorías, pruebas de penetración y evaluaciones de seguridad regularmente.
Cifrado de datos
Protección en tránsito y en reposoImplementamos cifrado robusto para proteger tus datos en dos momentos críticos:
En tránsito (TLS/SSL)
Todos los datos que se transmiten entre tu dispositivo y nuestros servidores se cifran con TLS 1.3 o superior. Esta protocolo garantiza confidencialidad e integridad.
En reposo (AES-256)
Los datos almacenados en nuestros servidores utilizan cifrado AES-256, el estándar militar. Solo usuarios autenticados pueden acceder a sus datos.
Gestión de claves
Las claves de cifrado se almacenan en servidores de seguridad dedicados. Rotamos las claves periódicamente y seguimos prácticas de gestión de claves certificadas por la industria.
Documentos médicos
Los archivos adjuntos en historiales médicos (PDFs, radiografías) se cifran individualmente con algoritmos de cifrado de grado médico.
Autenticación y control de acceso
Verificación de identidadUtilizamos múltiples capas de autenticación para asegurar que solo usuarios autorizados accedan a sus datos:
- Autenticación multifactor (MFA): Implementamos soporte para MFA mediante aplicaciones de autenticación o SMS (opcional, recomendado para cuentas con datos sensibles).
- Contraseñas seguras: Requerimos contraseñas de al menos 8 caracteres. Las contraseñas se almacenan con hash usando bcrypt + salt.
- Sesiones limitadas: Las sesiones de usuario expiran después de inactividad (30 minutos en app, 24 horas en web). Requieren re-autenticación.
- Control de acceso basado en roles (RBAC): Los usuarios solo acceden a los datos que les corresponden. Propietarios pueden compartir acceso con niveles específicos.
- Auditoría de acceso: Registramos todos los accesos a datos sensibles. Los administradores revisan logs de acceso sospechosos.
- Revocación de tokens: Los tokens de sesión pueden ser revocados instantáneamente si se detecta actividad sospechosa.
Seguridad de la infraestructura
Protección del servidor y redNuestros servidores están alojados en centros de datos seguros con múltiples capas de protección:
- Servidores dedicados: Petmy Care opera en infraestructura segregada. Los servidores están configurados según estándares de hardening.
- Firewalls y WAF: Utilizamos firewalls de aplicación web (WAF) para detectar y bloquear ataques como inyección SQL, XSS y DDoS.
- Monitoreo 24/7: Contratamos servicios de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) que monitorean amenazas en tiempo real.
- Copias de seguridad: Realizamos copias de seguridad diarias de todos los datos. Las copias se almacenan en múltiples ubicaciones geográficas.
- Actualizaciones de seguridad: Parchamos sistemas operativos y dependencias de software regularmente. Las vulnerabilidades críticas se parchean en 48 horas.
- Aislamiento de bases de datos: Las bases de datos están aisladas de la red pública y solo son accesibles desde aplicaciones autorizadas.
Respuesta a incidentes de seguridad
Protocolos ante brechasEn caso de un incidente de seguridad, seguimos un protocolo estructurado:
Detección
Nuestros sistemas detectan anomalías automáticamente. El equipo de seguridad investiga alertas en menos de 1 hora.
Contención
Aislamos sistemas afectados inmediatamente para evitar propagación. Detenemos ejecución de software malicioso.
Remediación
Eliminamos la causa raíz de la vulnerabilidad. Verificamos que el sistema esté limpio antes de reactivarlo.
Notificación
Si datos personales fueron expuestos, notificamos a usuarios afectados dentro de 72 horas, como requiere la ley.
Confidencialidad: Los detalles técnicos de incidentes se mantienen confidenciales para no ayudar a atacantes. Compartimos información públicamente solo después de resolver completamente el problema.
Reporte de vulnerabilidades
Code responsable de seguridadSi descubres una vulnerabilidad de seguridad en Petmy Care, te animamos a reportarla responsablemente:
Programa de divulgación responsable
Envía un correo dirigido a seguridad@petmy.care describiendo la vulnerabilidad. Incluye pasos para reproducirla y el impacto potencial. No público la vulnerabilidad hasta que hayamos lanzado un parche.
¿Qué sucede después?
- Acusamos recibo de tu reporte en 24 horas.
- Investigamos y confirmamos la vulnerabilidad en un plazo de 7 días.
- Desarrollamos y lanzamos un parche en el plazo más corto posible (generalmente 30 días).
- Publicamos un aviso de seguridad cuando el parche esté disponible.
- Reconocemos tu contribución en nuestro sitio web (si lo deseas).
Agradecemos tu vigilancia: La seguridad de Petmy Care es responsabilidad compartida. Tu reporte responsable nos ayuda a mantener la plataforma segura para todos.