Seguridad - miautolote | Sistema de Gestión para Autolotes

En MiAutolote, la seguridad de sus datos es fundamental. Implementamos las mejores prácticas de la industria y múltiples capas de protección para garantizar que su información y la de sus clientes esté siempre segura.

1. Nuestro Compromiso con la Seguridad

Nos comprometemos a:

Proteger la confidencialidad, integridad y disponibilidad de sus datos
Mantener los más altos estándares de seguridad de la industria
Actualizar constantemente nuestras medidas de protección
Ser transparentes sobre nuestras prácticas de seguridad
Responder rápidamente a cualquier incidente de seguridad

2. Infraestructura Segura

Hosting de Clase Empresarial

Utilizamos MochaHost, un proveedor de hosting con certificaciones de seguridad y disponibilidad del 99.9%. Nuestros servidores están ubicados en centros de datos con:

Seguridad física 24/7 con vigilancia y control de acceso biométrico
Protección contra incendios y sistemas de enfriamiento redundantes
Alimentación eléctrica redundante con generadores de respaldo
Conectividad de red de alta disponibilidad

CDN y Protección DDoS

Cloudflare protege nuestra plataforma contra:

Ataques DDoS de gran escala
Bots maliciosos y tráfico sospechoso
Vulnerabilidades de día cero
Inyecciones SQL y ataques XSS

Base de Datos Protegida

Nuestra base de datos MySQL está configurada con:

Acceso restringido solo desde servidores autorizados
Conexiones encriptadas TLS/SSL
Usuarios con mínimos privilegios necesarios
Auditoría de todas las consultas sensibles

3. Encriptación de Datos

Datos en Tránsito

Toda comunicación entre su navegador y nuestros servidores está protegida con TLS 1.3 (Transport Layer Security), el estándar de encriptación más avanzado. Esto significa que:

Sus credenciales nunca viajan sin encriptar
Los datos de sus clientes están protegidos durante la transmisión
Certificados SSL válidos y actualizados constantemente
Perfect Forward Secrecy para máxima seguridad

Datos en Reposo

La información almacenada está protegida con:

Encriptación AES-256 para datos sensibles (contraseñas, información de pago)
Archivos almacenados en Cloudflare R2 con encriptación automática
Respaldos encriptados antes de ser almacenados
Claves de encriptación rotadas periódicamente

Gestión de Contraseñas

Contraseñas hasheadas con bcrypt (cost factor 12)
Salt único por contraseña
Nunca almacenamos contraseñas en texto plano
Política de contraseñas robustas (mínimo 8 caracteres, mayúsculas, números)
Autenticación de dos factores (2FA) disponible

4. Aislamiento Multi-Tenant

Como plataforma SaaS multi-tenant, garantizamos el aislamiento completo entre diferentes autolotes:

Separación a Nivel de Datos

Cada autolote tiene un identificador único (tenant_id) que filtra automáticamente todos los datos. Es imposible que un usuario acceda a datos de otro autolote.

Middleware de Seguridad

Cada petición HTTP pasa por capas de middleware que verifican permisos y contexto de tenant antes de procesar cualquier solicitud.

Almacenamiento Segregado

Los archivos se organizan en carpetas independientes por tenant en Cloudflare R2, con URLs únicas y no adivinables.

Sesiones Aisladas

Las sesiones de usuarios están completamente separadas, imposibilitando ataques de hijacking entre tenants.

5. Control de Acceso

5.1 Autenticación

Sistema de autenticación robusto basado en Laravel Breeze
Protección contra ataques de fuerza bruta (rate limiting)
Tokens CSRF en todos los formularios
Sesiones con timeout automático por inactividad
Opción de "recordarme" con tokens seguros

5.2 Autorización

Sistema de roles y permisos granular
Verificación de permisos en cada acción
Principio de mínimo privilegio aplicado
Auditoría de cambios de permisos

5.3 Acceso Interno

Acceso de administradores limitado y registrado
Autenticación multi-factor obligatoria para staff
VPN requerida para acceso a sistemas críticos
Revisión periódica de permisos de acceso

6. Monitoreo y Detección

Monitoreo 24/7

Supervisamos constantemente:

Actividad sospechosa y patrones anómalos
Intentos de acceso no autorizado
Disponibilidad de servicios
Rendimiento y salud del sistema
Volúmenes de tráfico inusuales

Logs de Auditoría

Registramos todas las acciones críticas:

Inicios de sesión y cambios de contraseña
Modificaciones de datos sensibles
Cambios en configuración de seguridad
Accesos administrativos
Los logs se retienen por 2 años

Alertas Automáticas

Sistema de notificaciones para eventos críticos:

Múltiples intentos fallidos de login
Accesos desde ubicaciones inusuales
Cambios en datos de facturación
Caídas de servicio

7. Respaldos y Recuperación ante Desastres

Estrategia de Respaldo

Backups automáticos diarios de toda la base de datos
Snapshots incrementales cada 6 horas durante horario laboral
Retención: 30 días de backups diarios, 3 meses de backups semanales
Almacenamiento redundante en ubicaciones geográficas separadas
Backups encriptados con AES-256
Pruebas de restauración mensuales para verificar integridad

Plan de Recuperación ante Desastres

En caso de un incidente mayor:

RTO (Recovery Time Objective): 4 horas
RPO (Recovery Point Objective): 6 horas
Procedimientos documentados y probados
Equipo de respuesta 24/7
Comunicación proactiva con clientes afectados

8. Cumplimiento Normativo

Cumplimos con las siguientes regulaciones y estándares:

Ley SAR Honduras

Facturación electrónica conforme a regulaciones del SAR

Protección de Datos

Cumplimiento con legislación hondureña de protección de datos personales

PCI-DSS

Nuestros procesadores de pago (Stripe) son PCI-DSS Level 1 certificados

HTTPS Obligatorio

100% del tráfico encriptado, sin excepciones

9. Equipo de Seguridad

Personal capacitado en mejores prácticas de seguridad
Capacitación continua sobre amenazas emergentes
Acuerdos de confidencialidad (NDA) con todo el personal
Verificación de antecedentes para acceso a datos sensibles
Cultura de seguridad en toda la organización

10. Programa de Divulgación Responsable

Valoramos la colaboración de la comunidad de seguridad. Si descubre una vulnerabilidad en nuestra plataforma, le pedimos que nos la comunique de manera responsable.

Cómo Reportar una Vulnerabilidad

Envíe un correo detallado a: [email protected]
Incluya:
- Descripción de la vulnerabilidad
- Pasos para reproducirla
- Impacto potencial
- Evidencia (capturas, logs)
Otorgamos 90 días para resolver antes de divulgación pública

Compromiso: Respondemos a todos los reportes en 48 horas. Los reportes válidos son reconocidos públicamente (con su permiso) y pueden ser elegibles para recompensas.

Por favor NO:

Acceda a datos que no le pertenecen
Interrumpa el servicio
Divulgue públicamente antes de que tengamos oportunidad de resolverlo

Contacto de Seguridad

Para consultas relacionadas con seguridad:

[email protected]
Reporte de vulnerabilidades: [email protected]
Emergencias: +504 9999-9999 (24/7)

Seguridad y Protección de Datos

Contenido