Seguridad — iSync

🔐 Autenticación y control de acceso

Política de contraseñas y MFA (DPP 1.4) - REFORZADA

Longitud mínima: 16 caracteres obligatorios (superando NIST + Amazon)
Complejidad OBLIGATORIA (4/4 elementos):
- ✅ Al menos 2 mayúsculas (A-Z)
- ✅ Al menos 2 minúsculas (a-z)
- ✅ Al menos 2 números (0-9)
- ✅ Al menos 2 caracteres especiales (!@#$%^&*+=?)
Verificación triple: HaveIBeenPwned (600M+), bases internas, patrones comunes (dictionary attacks)
Historial extendido: Prohibición reutilización de las últimas 24 contraseñas
Caducidad estricta: 45 días usuarios normales, 15 días administradores, 7 días super-admin
Bloqueo inteligente: 3 intentos → 15min, 5 intentos → 2h, 8 intentos → 24h, 10 intentos → revisión manual
MFA UNIVERSAL: Obligatoria para TODOS los usuarios (no solo admins), TOTP + backup codes
Rotación automática: Credenciales servicio cada 30 días, tokens API cada 15 días, keys cifrado cada 90 días

Autenticación robusta

Contraseñas cifradas: Algoritmo bcrypt con salt único por usuario
Tokens de sesión seguros: JWT con expiración automática (4 horas)
OAuth Amazon: Delegación segura sin almacenar credenciales Amazon
Logout forzado: Invalidación inmediata de tokens
Sesiones concurrentes: Máximo 3 por usuario, detección de ubicaciones inusuales

Principio de menor privilegio

Roles definidos: Admin, Operaciones, Finanzas, Logística
Acceso granular: Cada rol accede solo a datos necesarios
Segregación de funciones: Separación entre crear/aprobar pedidos
Revisión periódica: Auditoría trimestral de permisos

🛡️ Controles de red y perímetro

Protección de red

WAF (Web Application Firewall): Protección L7 contra inyección, bots, rate limiting
VPN corporativa: Acceso a administración y BDs solo por VPN y listas IP autorizadas
Sin exposición pública: Bases de datos y archivos críticos no accesibles desde internet
Segmentación de red: Separación entre entornos de producción y desarrollo
DDoS protection: Mitigación automática de ataques distribuidos

🔒 Cifrado y protección de datos

Cifrado en tránsito (PRODUCCIÓN)

HTTPS/TLS 1.3: Todas las comunicaciones cifradas EN PRODUCCIÓN
API calls: Certificados válidos, sin HTTP plain EN PRODUCCIÓN
Headers seguros: HSTS, CSP, X-Frame-Options implementados EN PRODUCCIÓN
Verificación activa: SSL Labs A+ rating mantenido

Cifrado en reposo

Base de datos: Cifrado a nivel de disco (AES-256)
Campos sensibles: Cifrado adicional para tokens y PII
Backups: Cifrados con claves separadas
Logs: Cifrado y rotación automática (los logs NO contienen PII)

🛡️ Gestión de credenciales

Almacén seguro: Variables de entorno cifradas, nunca en código
Rotación automática: Claves API renovadas cada 90 días
Tokens temporales: Refresh tokens para APIs externas
Secretos separados: Diferentes claves para desarrollo/producción
Acceso restringido: Solo administradores autorizados

📊 Monitoreo y detección

Detección de anomalías

Logs completos: Todos los accesos, errores y transacciones (sin PII)
Alertas automáticas: Intentos de acceso fallidos (>5 en 10 min)
Patrones sospechosos: Accesos desde ubicaciones inusuales
Volumetría: Alertas por descargas masivas de datos

Retención de registros

Logs operativos: 6 meses (sin PII)
Logs de seguridad: 12 meses (sin PII, diferente por requisitos auditoría)
Logs de auditoría: 24 meses para cumplimiento (sin PII)
Diseño sin PII: Todos los logs excluyen datos personales de clientes finales

🚨 GARANTÍA ARQUITECTÓNICA: CERO PII EN LOGS (DPP 2.6)

CERTIFICACIÓN TÉCNICA: iSync está arquitectónicamente diseñado con CERO almacenamiento de PII en cualquier tipo de log (operativos, seguridad, auditoría, aplicación, acceso, API, sistema, errores, debug).

CONTENIDO EXACTO DE LOGS: timestamps UTC, session UUIDs anónimos, HTTP status codes, endpoint paths, request methods, user-agent strings, IP addresses (NO vinculados a identidades reales), tamaños de respuesta, latencias, códigos de error técnicos.

EXPLÍCITAMENTE EXCLUIDO: nombres, apellidos, emails, direcciones, teléfonos, NIFs, datos de pago, identificadores personales de cualquier tipo.

VALIDACIÓN EXTERNA: Auditoría de seguridad de terceros certifica arquitectura libre de PII en logs (disponible bajo NDA).

Monitoreo 24/7

Uptime: Monitoreo de disponibilidad cada 2 minutos
Performance: Alertas por latencia >3 segundos
Recursos: CPU, memoria, disco supervisados
Integración: Alertas vía Microsoft Teams y email

💾 Copias de seguridad y recuperación

Sistema de backups

Frecuencia: Diarios automáticos + snapshot antes de cambios
Retención: 30 días operativos + 1 año archivo mensual
Ubicación: Múltiples zonas dentro de la UE (Frankfurt/UE), cifrado independiente
Pruebas: Restauración completa validada mensualmente

Plan de continuidad

RTO objetivo: Recuperación en <4 horas
RPO objetivo: Pérdida máxima <1 hora de datos
Redundancia: Servidores en diferentes zonas dentro de la UE
Failover: Procedimientos automatizados documentados

🔍 Gestión de vulnerabilidades

Escaneo y evaluación

Escaneos automáticos: Dependencias evaluadas en cada deploy
OWASP Top 10: Controles implementados y validados
Penetration testing: Evaluación externa anual
Code review: Revisión manual de código crítico

Gestión de parches

Criticidad alta: Parcheo en <48 horas
Criticidad media: Parcheo en <7 días
Registro completo: Tracking de vulnerabilidades hasta resolución
Entorno de pruebas: Validación antes de aplicar en producción

⚠️ Plan de respuesta a incidentes

Detección y contención

Tiempo de detección: <15 minutos (alertas automáticas)
Escalación inmediata: Notificación al equipo de seguridad
Aislamiento rápido: Procedimientos de contención automatizados
Preservación: Logs y evidencias asegurados

Comunicación y resolución

Notificación clientes: <2 horas si hay impacto en datos
Notificación Amazon: security@amazon.com en <24h para incidentes que afecten datos Amazon
Autoridades: <72 horas si aplica RGPD
Remediación: Plan de corrección documentado
Post-mortem: Análisis y mejoras implementadas

Simulacros y preparación

Simulacros semestrales: Ejercicios "table-top" de respuesta a incidentes
Evaluación continua: Revisión de procedimientos tras cada simulacro
Formación equipo: Capacitación específica en manejo de crisis

📞 Contacto de emergencia: seguridad@isync.app | Tel: +34 619 257 661 (24h)

🏢 Controles organizativos

Personal y formación

Background checks: Verificación de antecedentes personal clave
Formación seguridad: Capacitación anual obligatoria
Acceso físico: Servidores en datacenter con acceso restringido
Clean desk: Política de escritorio limpio implementada

Gestión de terceros

Due diligence: Evaluación de seguridad proveedores
Contratos DPA: Data Processing Agreements firmados
Auditorías: Revisión anual de proveedores críticos
Contingencias: Planes de salida documentados

📋 Conformidad y estándares

Marcos de referencia

OWASP ASVS: Application Security Verification Standard
OWASP Top 10: Controles implementados para amenazas principales
NIST Framework: Identificar, Proteger, Detectar, Responder, Recuperar
ISO 27001 guidelines: Controles de seguridad alineados

Cumplimiento regulatorio

RGPD: Cumplimiento con regulación europea de protección de datos
Amazon requirements: Estándares técnicos y de negocio Amazon
Auditorías: Revisión interna semestral
Documentación: Procedimientos actualizados y aprobados

📈 Métricas y mejora continua

KPIs de seguridad

Tiempo medio de detección (MTTD): <15 minutos
Tiempo medio de respuesta (MTTR): <2 horas
Vulnerabilidades críticas abiertas: 0 objetivo
Disponibilidad del servicio: >99.5% objetivo

Revisión y mejora

Security reviews: Trimestrales con equipo técnico
Threat modeling: Actualizado con nuevas funcionalidades
Lessons learned: Incorporación de aprendizajes de incidentes
Industry updates: Seguimiento de amenazas emergentes

📞 Contacto y reportes

Equipo de Seguridad: seguridad@isync.app

Reporte de vulnerabilidades: security@isync.app

Soporte general: soporte@isync.app

🔒 Compromiso: Respondemos a reportes de seguridad en <24 horas y agradecemos la divulgación responsable.

Seguridad y protección de datos