Seguridad
Seguridad — visión general
Resumen de las medidas de seguridad de SIVO. Para tu equipo de seguridad o de compras. Sin tecnicismos innecesarios.
Esta página resume las medidas de seguridad de SIVO. Está pensada para conversaciones con tu equipo de seguridad, compras o auditoría — antes de firmar.
Lo esencial
| Aspecto | Cómo lo aborda SIVO |
|---|---|
| Cifrado en tránsito | TLS 1.3 en API y panel. SRTP en voz. WSS en WebRTC. |
| Cifrado en reposo | AES-256-GCM en BD. Encryption-at-rest en almacenamiento (S3/equivalente). |
| Identidad | MFA obligatorio en cuentas admin. SSO SAML/OIDC disponible en Enterprise. |
| Control de acceso | 5 roles base + permisos personalizables (Enterprise). Cada acción verificada en backend. |
| Auditoría | Registro inmutable de toda acción admin. Exportable a CSV. Retención por plan. |
| Residencia | UE por defecto. US o región custom disponible en Enterprise. |
| Backups | Cifrados, retención por plan, pruebas periódicas de restauración. |
| Compliance | GDPR-ready. Certificaciones formales en evaluación. |
Aislamiento entre clientes
Los datos de cada cliente están separados a nivel del motor de base de datos. Aunque la aplicación tuviera un bug, PostgreSQL descarta automáticamente las filas que no corresponden al cliente que pregunta. Ver Multi-tenant para el detalle.
GDPR y privacidad
SIVO procesa datos personales en nombre de sus clientes (rol de encargado del tratamiento). Para los detalles formales, ver:
- DPA (Anexo I de los términos) — el acuerdo de procesamiento de datos.
- Política de privacidad — cómo tratamos los datos del propio sitio.
Lo principal:
- Subencargados autorizados publicados y notificados con 30 días de antelación si cambian.
- Derechos de los interesados (acceso, rectificación, supresión) ejercitables vía API o backoffice.
- Notificación de brechas en menos de 72h conforme al art. 33 GDPR.
- Right-to-be-forgotten por usuario o por tenant.
Hardening operativo
- Rate limiting en endpoints sensibles (login, API public).
- JWT con TTL corto (24h) y blacklist tras logout.
- Bloqueo temporal tras 5 intentos fallidos de login en 15 min.
- ACL dinámica en trunks SIP — solo IPs autorizadas pueden enviar llamadas.
- WAF en el perímetro (Cloudflare) para bloquear ataques comunes.
Tu equipo de seguridad puede pedir
Cosas que solemos compartir bajo NDA en evaluaciones Enterprise:
- Lista completa de subencargados (incluyendo proveedores cloud y región).
- Política interna de gestión de incidentes.
- Pentests anuales (cuando estén disponibles).
- Política de retención de logs y backups.
- Plan de continuidad de negocio (BCP) y recuperación ante desastres (DR).
- Documentación de procesos y controles internos.
Contacta a [email protected] para iniciar la evaluación.
Reporte de vulnerabilidades
Si descubres un fallo de seguridad: [email protected] con PGP key disponible bajo solicitud. Programa de responsible disclosure activo — confirmamos en 48h y publicamos crédito al investigador tras el fix (con su autorización).
Páginas relacionadas
- RBAC — roles y permisos — modelo de control de acceso detallado.
- Variables de configuración — claves relacionadas con seguridad.
- Rotación de keys JWT — política de rotación de claves.