Esta traducción se proporciona para su conveniencia. En caso de discrepancia entre las traducciones, la versión en inglés prevalecerá y será legalmente vinculante.
La seguridad es fundamental para todo lo que construimos en Apiframe. Implementamos medidas de seguridad integrales para proteger tus datos y garantizar la integridad de nuestra plataforma.
Nuestro compromiso: Seguridad de nivel empresarial, cifrado end-to-end, auditorías regulares y prácticas transparentes. La seguridad de tus datos es nuestra prioridad.
1. Seguridad de infrastructure
Cloud infrastructure
Nuestra plataforma está construida sobre cloud infrastructure líder en la industria con:
- Data centers certificados SOC 2 Type II
- Redundancia geográfica en múltiples regiones
- SLA de uptime del 99.9%
- Failover automatizado y disaster recovery
- Protección y mitigación DDoS
Seguridad de red
Protegemos nuestra red mediante:
- Web Application Firewall (WAF)
- Sistemas de detección y prevención de intrusiones
- Segmentación y aislamiento de red
- Escaneo regular de vulnerabilidades
- Monitoring y alertas 24/7
2. Cifrado de datos
En tránsito
Todos los datos transmitidos hacia y desde nuestros servicios están cifrados usando TLS 1.3 con cipher suites fuertes. Aplicamos HTTPS para todas las conexiones e implementamos HSTS (HTTP Strict Transport Security).
En reposo
Los datos almacenados en nuestros sistemas están cifrados usando cifrado AES-256. Las claves de cifrado se gestionan a través de un servicio de gestión de claves seguro con rotation automática.
| Tipo de datos | Método de cifrado | Gestión de claves |
|---|---|---|
| Tráfico API | TLS 1.3 | Rotation automática |
| Base de datos | AES-256 | Gestionado por KMS |
| Backups | AES-256 | Claves separadas |
| API Keys | Hash Argon2id | Salt por usuario |
3. Authentication & control de acceso
Authentication de usuario
- Requisitos de contraseña segura con hashing bcrypt
- Soporte de autenticación de dos factores (2FA)
- Gestión de sesiones con tokens seguros
- Expiración automática de sesión
- Rate limiting para intentos de login
Authentication de API
- API keys únicas por usuario/proyecto
- Key scoping y permisos
- Firma de requests para operaciones sensibles
- IP allowlisting (opcional)
- Rotación de keys sin downtime
Acceso interno
El acceso de empleados a sistemas de producción sigue el principio de menor privilegio. Todo acceso requiere autenticación multi-factor y se registra con fines de auditoría.
4. Seguridad de aplicación
Desarrollo seguro
Nuestras prácticas de desarrollo incluyen:
- Code reviews enfocados en seguridad
- Security scanning automatizado (SAST/DAST)
- Monitoring de vulnerabilidades de dependencias
- CI/CD pipelines seguros
- Capacitación regular en seguridad para desarrolladores
Protección OWASP Top 10
Protegemos activamente contra vulnerabilidades web comunes incluyendo ataques de inyección, autenticación rota, XSS, CSRF y otros riesgos del OWASP Top 10.
5. Cumplimiento normativo
Mantenemos el cumplimiento con estándares y regulaciones de la industria:
| Estándar | Estado | Descripción |
|---|---|---|
| SOC 2 Type II | Cumpliendo | Seguridad, disponibilidad, integridad del procesamiento |
| GDPR | Cumpliendo | Regulación de protección de datos de la UE |
| CCPA | Cumpliendo | Privacidad del consumidor de California |
| ISO 27001 | En progreso | Gestión de seguridad de la información |
6. Testing de seguridad
Pruebas de penetración
Realizamos pruebas de penetración anuales llevadas a cabo por empresas de seguridad de terceros independientes. Los hallazgos críticos se abordan de inmediato, con remediación completa rastreada y verificada.
Programa Bug Bounty
Mantenemos un programa de divulgación responsable para investigadores de seguridad. Si descubres una vulnerabilidad de seguridad, por favor repórtala a [email protected].
Divulgación responsable: Apreciamos a los investigadores de seguridad que nos ayudan a mantener la seguridad de la plataforma. Los informes válidos pueden ser elegibles para reconocimiento y recompensas.
7. Respuesta a incidentes
Nuestro programa de respuesta a incidentes incluye:
- Security monitoring y alertas 24/7
- Procedimientos documentados de respuesta a incidentes
- Equipo dedicado de respuesta a incidentes
- Notificación al cliente dentro de 72 horas de infracciones confirmadas
- Análisis post-incidente y mejora
8. Privacidad & retención de datos
Minimización de datos
Solo recopilamos y retenemos datos necesarios para proporcionar nuestros servicios. El contenido generado no se almacena por defecto—los outputs se devuelven directamente a ti y no se persisten en nuestros sistemas.
Retención de datos
- Logs de API: 90 días
- Datos de cuenta: Duración de la cuenta + 30 días
- Contenido generado: No retenido (a menos que se opte)
- Registros de facturación: Según lo requiera la ley
Eliminación de datos
Puedes solicitar la eliminación de tus datos personales en cualquier momento. Al eliminar la cuenta, eliminamos todos los datos asociados dentro de 30 días, excepto cuando la retención sea necesaria por razones legales o de cumplimiento.
9. Seguridad de terceros
Examinamos cuidadosamente todos los servicios de terceros y proveedores de modelos IA. Nuestra evaluación de seguridad de vendors incluye:
- Cuestionarios de seguridad y revisión de documentación
- Verificación de certificación de cumplimiento
- Acuerdos de procesamiento de datos
- Reevaluación regular
10. Continuidad del negocio
Nuestras medidas de continuidad del negocio garantizan la confiabilidad del servicio:
- Backups automatizados con redundancia geográfica
- Testing de disaster recovery
- Capacidades de deployment multi-región
- Objetivos RTO y RPO definidos
Contacto de seguridad
Para consultas relacionadas con seguridad o reportar vulnerabilidades:
- Email: [email protected]
- Tiempo de respuesta: Dentro de 24 horas para informes de seguridad
Para soporte general, por favor visita nuestra página de contacto o contacta a [email protected].