← Volver al Inicio

Política de Seguridad

Última actualización: 10 de abril de 2026

Introducción

En Vigimati, la seguridad no es solo una funcionalidad—es la base de todo lo que construimos. Como plataforma de gestión de la postura de seguridad en la nube (CSPM), entendemos la importancia crítica de proteger tus datos e infraestructura. Esta Política de Seguridad describe las medidas integrales que implementamos para garantizar la confidencialidad, integridad y disponibilidad de tu información.

Nuestro Compromiso de Seguridad

Tratamos tus datos con absoluta confidencialidad y mantenemos protocolos de seguridad estrictos de acuerdo con:

  • Reglamento General de Protección de Datos (UE) 2016/679 (GDPR)
  • Ley Orgánica 3/2018 de Protección de Datos Personales de España (LOPDGDD)
  • Estándares y mejores prácticas de seguridad ISO 27001
  • Directrices de la Cloud Security Alliance (CSA)
  • Marco de Ciberseguridad NIST

Medidas de Protección de Datos

1. Cifrado

  • Datos en Tránsito: Todos los datos transmitidos entre tu navegador y nuestros servidores están cifrados mediante TLS 1.3 con conjuntos de cifrado robustos.
  • Datos en Reposo: Todos los datos sensibles almacenados en nuestras bases de datos están cifrados mediante cifrado AES-256.
  • Gestión de Claves: Las claves de cifrado se gestionan de forma segura mediante AWS Key Management Service (KMS) con rotación automática de claves.

2. Control de Acceso

  • Principio de Privilegio Mínimo: A los usuarios y sistemas se les otorgan únicamente los derechos de acceso mínimos necesarios para realizar sus funciones.
  • Autenticación Multifactor (MFA): Exigimos MFA para todo el acceso administrativo y lo recomendamos encarecidamente para todas las cuentas de usuario.
  • Control de Acceso Basado en Roles (RBAC): Los sistemas de permisos granulares garantizan que los usuarios solo puedan acceder a los recursos relevantes para su rol.

3. Seguridad de la Infraestructura

  • Infraestructura Cloud: Nuestros servicios están alojados en AWS, que mantiene las certificaciones SOC 1/2/3, ISO 27001 y PCI DSS Nivel 1.
  • Segmentación de Red: Los entornos de producción están aislados de los entornos de desarrollo y pruebas mediante VPCs y grupos de seguridad.
  • Protección de Firewall: El Web Application Firewall (WAF) protege contra exploits y ataques web comunes.
  • Protección DDoS: Mecanismos de protección contra ataques de Denegación de Servicio Distribuido (DDoS).

Seguridad de la Aplicación

Ciclo de Vida de Desarrollo Seguro

  • Revisiones de Código: Todos los cambios de código se someten a revisión por pares antes del despliegue.
  • Análisis Estático: Herramientas automatizadas analizan el código en busca de vulnerabilidades comunes.
  • Gestión de Dependencias: Escaneo y actualización periódica de librerías de terceros.
  • Estándares de Codificación Segura: El equipo de desarrollo sigue las directrices OWASP Top 10.

Monitorización y Respuesta a Incidentes

Monitorización Continua

  • Monitorización de seguridad 24/7 de todos los sistemas e infraestructura
  • Alertas automatizadas ante actividades sospechosas o anomalías
  • Registro exhaustivo de todas las actividades del sistema para fines de auditoría y forense
  • Auditorías de seguridad y evaluaciones de vulnerabilidades periódicas

Plan de Respuesta a Incidentes

Mantenemos un plan integral de respuesta a incidentes que incluye:

  • Detección: Identificación rápida de incidentes de seguridad mediante monitorización automatizada
  • Contención: Aislamiento inmediato de los sistemas afectados para prevenir daños adicionales
  • Investigación: Análisis exhaustivo para determinar el alcance e impacto del incidente
  • Remediación: Acción rápida para resolver vulnerabilidades y restaurar las operaciones normales
  • Notificación: Comunicación oportuna a las partes afectadas en cumplimiento con los requisitos del GDPR (dentro de las 72 horas posteriores al descubrimiento)

Copias de Seguridad y Recuperación ante Desastres

  • Copias de Seguridad Periódicas: Copias de seguridad diarias automatizadas de todos los datos críticos con almacenamiento geo-redundante.
  • Cifrado de Copias de Seguridad: Todas las copias de seguridad están cifradas con los mismos estándares que los datos de producción.
  • Pruebas de Recuperación: Pruebas periódicas de los procedimientos de restauración de copias de seguridad.
  • Objetivo de Tiempo de Recuperación (RTO): Tiempo objetivo de restauración inferior a 4 horas para sistemas críticos.
  • Objetivo de Punto de Recuperación (RPO): Tolerancia máxima de pérdida de datos de 1 hora.

Cumplimiento y Certificaciones

Vigimati está comprometido con el cumplimiento de los estándares y regulaciones de seguridad pertinentes:

  • Cumplimiento GDPR: Cumplimiento total de los requisitos de protección de datos de la UE
  • Cumplimiento LOPDGDD: Adhesión a la legislación española de protección de datos
  • SOC 2 Type II: En proceso de obtención de la certificación SOC 2 (en curso)
  • ISO 27001: Alineación con estándares internacionales de gestión de seguridad de la información

Notificación de Problemas de Seguridad

Si descubres una vulnerabilidad de seguridad o tienes preocupaciones de seguridad, por favor repórtalas de inmediato:

Apreciamos la divulgación responsable y responderemos a todos los informes de seguridad con prontitud. Nos comprometemos a:

  • Confirmar la recepción de tu informe en un plazo de 24 horas
  • Proporcionar una evaluación inicial en un plazo de 72 horas
  • Mantenerte informado sobre nuestro progreso
  • Reconocer tu contribución (con tu permiso)

Información de Contacto

Para preguntas sobre nuestras prácticas de seguridad o esta Política de Seguridad:

← Volver al InicioPolítica de Privacidad →