Centro de Seguridad y Confianza

1. Seguridad de Infraestructura

1.1 Infraestructura en la Nube

• Alojado en una red global de borde con mas de 300 centros de datos en todo el mundo
• Proteccion y mitigacion automatica de DDoS en el borde
• Firewalls de nivel empresarial y sistemas de deteccion de intrusos
• Redundancia geografica para alta disponibilidad y recuperacion ante desastres
• Auditorias de seguridad regulares y pruebas de penetracion

1.2 Seguridad de Red

• Todos los datos transmitidos con encriptacion TLS 1.3 (el estandar mas reciente)
• HSTS (HTTP Strict Transport Security) aplicado en todas las conexiones
• Escaneo regular de vulnerabilidades y evaluaciones de seguridad
• Proteccion de Firewall de Aplicaciones Web (WAF) contra ataques comunes
• Limitacion de velocidad para prevenir abuso y ataques de fuerza bruta

2. Proteccion de Datos

2.1 Encriptacion

2.2 Manejo de Datos

• Recoleccion minima de datos - solo almacenamos lo necesario para el servicio
• Revisiones regulares de retencion de datos y eliminacion automatica de datos expirados
• Eliminacion segura de datos al terminar la cuenta (dentro de 30 dias)
• No vendemos ni compartimos datos personales con terceros para publicidad
• Documentacion clara de procesamiento de datos y transparencia

3. Autenticacion y Control de Acceso

3.1 Autenticacion de Usuario

• Requisitos de contrasena segura (12+ caracteres con requisitos de complejidad)
• Contrasenas hasheadas usando bcrypt con alto factor de costo (12 rondas)
• Integracion OAuth 2.0 para opciones de inicio de sesion con Google y Facebook
• Bloqueo de cuenta despues de multiples intentos fallidos de inicio de sesion
• Gestion de sesiones segura con tokens de acceso de corta duracion (15 minutos)
• Cookies HTTP-only para prevenir robo de tokens por XSS

3.2 Conexiones de Redes Sociales

• Protocolo OAuth 2.0 para todas las integraciones de plataformas de redes sociales
• Nunca almacenamos tus contrasenas de redes sociales - solo tokens de acceso
• Permisos minimos - solo solicitamos los permisos que necesitamos
• Revocacion facil de tokens a traves de la configuracion de cuenta en cualquier momento
• Los tokens se encriptan antes del almacenamiento

4. Seguridad de Aplicacion

4.1 Desarrollo Seguro

• Revisiones de codigo enfocadas en seguridad para todos los cambios
• Escaneo de seguridad automatizado en nuestro pipeline de CI/CD
• Actualizaciones regulares de dependencias y parches de vulnerabilidades
• Medidas de proteccion OWASP Top 10 implementadas
• Validacion de entrada y codificacion de salida en toda la aplicacion

4.2 Seguridad de API

• Limitacion de velocidad en todos los endpoints de API para prevenir abuso
• Validacion y sanitizacion de entrada en todas las solicitudes
• Proteccion CSRF (Cross-Site Request Forgery) en todos los formularios
• Verificacion de firma de webhook para callbacks entrantes
• Claves de API y secretos gestionados de forma segura

5. Cumplimiento

5.1 Regulaciones de Privacidad de Datos

• RGPD: Cumplimiento total con el Reglamento General de Proteccion de Datos de la UE
• CCPA: Cumplimiento con la Ley de Privacidad del Consumidor de California
• Acuerdos de Procesamiento de Datos (DPA) disponibles para clientes empresariales
• Derecho de acceso, correccion y eliminacion de datos personales respetado
• Portabilidad de datos soportada

5.2 Cumplimiento de Plataformas

• Desarrollador aprobado y socio de API de Meta (Facebook/Instagram)
• Cumplimiento con todos los terminos y condiciones de API de plataformas de redes sociales
• Auditorias y revisiones de cumplimiento regulares
• Adherencia a limites de velocidad y mejores practicas de plataformas

6. Respuesta a Incidentes

En el improbable caso de un incidente de seguridad:

• Equipo de respuesta a incidentes dedicado activado dentro de 1 hora de la deteccion
• Usuarios afectados notificados dentro de 72 horas como requiere el RGPD
• Revision post-incidente exhaustiva y remediacion
• Comunicacion transparente sobre incidentes y resoluciones
• Analisis de causa raiz para prevenir ocurrencias futuras

7. Tus Responsabilidades de Seguridad

La seguridad es una responsabilidad compartida. Recomendamos:

• Usar una contrasena fuerte y unica para tu cuenta de Postiv.io
• Habilitar autenticacion de dos factores en todas las cuentas de redes sociales conectadas
• Revisar aplicaciones conectadas regularmente y revocar acceso no utilizado
• Reportar actividad sospechosa inmediatamente a [email protected]
• Mantener tus dispositivos y navegadores actualizados con parches de seguridad
• Tener cuidado con intentos de phishing - nunca pediremos tu contrasena por email

8. Actualizaciones de Seguridad

Mejoramos continuamente nuestras medidas de seguridad. Mejoras recientes incluyen:

• Proteccion mejorada de bloqueo de cuenta despues de intentos fallidos de inicio de sesion
• Verificacion de firma de webhook mejorada para plataformas Meta
• Encriptacion adicional para tokens OAuth almacenados
• Limitacion de velocidad mejorada en todos los endpoints de API

9. Contactar Equipo de Seguridad

Para reportar una vulnerabilidad de seguridad o preocupacion:

• Email: [email protected]

Apreciamos la divulgacion responsable y confirmaremos la recepcion dentro de 24 horas. Actualmente no ofrecemos un programa de recompensas por errores, pero reconocemos a los investigadores que nos ayudan a mejorar nuestra seguridad.