Centro de Seguridad y Confianza

1. Seguridad de Infraestructura

1.1 Infraestructura en la Nube

• Alojado en infraestructura cloud gestionada
• Protecciones del proveedor y controles de trafico en el borde
• Controles de seguridad por capas y restricciones de acceso
• Backups operativos y procedimientos de recuperacion para servicios criticos
• Revision interna de seguridad y monitoreo de dependencias

1.2 Seguridad de Red

• El trafico de la aplicacion se sirve mediante HTTPS/TLS
• HSTS (HTTP Strict Transport Security) aplicado en todas las conexiones
• Revision de dependencias y configuracion durante el desarrollo
• Proteccion de Firewall de Aplicaciones Web (WAF) contra ataques comunes
• Limitacion de velocidad para prevenir abuso y ataques de fuerza bruta

2. Proteccion de Datos

2.1 Encriptacion

2.2 Manejo de Datos

• Recoleccion minima de datos - solo almacenamos lo necesario para el servicio
• Revisiones regulares de retencion de datos y eliminacion automatica de datos expirados
• Eliminacion segura de datos al terminar la cuenta (dentro de 30 dias)
• No vendemos ni compartimos datos personales con terceros para publicidad
• Documentacion clara de procesamiento de datos y transparencia

3. Autenticacion y Control de Acceso

3.1 Autenticacion de Usuario

• Requisitos de contrasena segura (12+ caracteres con requisitos de complejidad)
• Contrasenas hasheadas usando bcrypt con alto factor de costo (12 rondas)
• Integracion OAuth 2.0 para opciones de inicio de sesion con Google y Facebook
• Bloqueo de cuenta despues de multiples intentos fallidos de inicio de sesion
• Gestion de sesiones segura con tokens de acceso de corta duracion (15 minutos)
• Cookies HTTP-only para prevenir robo de tokens por XSS

3.2 Conexiones de Redes Sociales

• Protocolo OAuth 2.0 para todas las integraciones de plataformas de redes sociales
• Nunca almacenamos tus contrasenas de redes sociales - solo tokens de acceso
• Permisos minimos - solo solicitamos los permisos que necesitamos
• Revocacion facil de tokens a traves de la configuracion de cuenta en cualquier momento
• Los tokens se encriptan antes del almacenamiento

4. Seguridad de Aplicacion

4.1 Desarrollo Seguro

• Revisiones de codigo enfocadas en seguridad para todos los cambios
• Escaneo de seguridad automatizado en nuestro pipeline de CI/CD
• Actualizaciones regulares de dependencias y parches de vulnerabilidades
• Medidas de proteccion OWASP Top 10 implementadas
• Validacion de entrada y codificacion de salida en toda la aplicacion

4.2 Seguridad de API

• Limitacion de velocidad en todos los endpoints de API para prevenir abuso
• Validacion y sanitizacion de entrada en todas las solicitudes
• Proteccion CSRF (Cross-Site Request Forgery) en todos los formularios
• Verificacion de firma de webhook para callbacks entrantes
• Claves de API y secretos gestionados de forma segura

5. Cumplimiento

5.1 Regulaciones de Privacidad de Datos

• RGPD: Controles de privacidad disenados para apoyar obligaciones de proteccion de datos de la UE
• CCPA: Controles de privacidad disenados para apoyar solicitudes de privacidad de consumidores de California
• Terminos de procesamiento de datos disponibles para clientes empresariales bajo solicitud
• Derecho de acceso, correccion y eliminacion de datos personales respetado
• Portabilidad de datos soportada

5.2 Cumplimiento de Plataformas

• Integraciones con Meta configuradas mediante los flujos oficiales de API
• Cumplimiento con todos los terminos y condiciones de API de plataformas de redes sociales
• Revision de cambios relevantes de plataforma y politicas de API
• Adherencia a limites de velocidad y mejores practicas de plataformas

6. Respuesta a Incidentes

En el improbable caso de un incidente de seguridad:

• Proceso de respuesta a incidentes iniciado cuando se confirma un problema de seguridad
• Usuarios afectados notificados segun las obligaciones legales aplicables
• Revision post-incidente y plan de remediacion
• Comunicacion transparente sobre incidentes y resoluciones
• Analisis de causa raiz para prevenir ocurrencias futuras

7. Tus Responsabilidades de Seguridad

La seguridad es una responsabilidad compartida. Recomendamos:

• Usar una contrasena fuerte y unica para tu cuenta de Postiv.io
• Habilitar autenticacion de dos factores en todas las cuentas de redes sociales conectadas
• Revisar aplicaciones conectadas regularmente y revocar acceso no utilizado
• Reportar actividad sospechosa inmediatamente a [email protected]
• Mantener tus dispositivos y navegadores actualizados con parches de seguridad
• Tener cuidado con intentos de phishing - nunca pediremos tu contrasena por email

8. Actualizaciones de Seguridad

Mejoramos continuamente nuestras medidas de seguridad. Mejoras recientes incluyen:

• Proteccion mejorada de bloqueo de cuenta despues de intentos fallidos de inicio de sesion
• Verificacion de firma de webhook mejorada para plataformas Meta
• Encriptacion adicional para tokens OAuth almacenados
• Limitacion de velocidad mejorada en todos los endpoints de API

9. Contactar Equipo de Seguridad

Para reportar una vulnerabilidad de seguridad o preocupacion:

• Email: [email protected]

Apreciamos la divulgacion responsable y confirmaremos la recepcion dentro de 24 horas. Actualmente no ofrecemos un programa de recompensas por errores, pero reconocemos a los investigadores que nos ayudan a mejorar nuestra seguridad.