Seguridad
Política de Seguridad
Última actualización: 15 de January de 2025
Cifrado extremo a extremo
Todos los datos en tránsito y en reposo
Acceso con privilegio mínimo
Cada rol accede solo a lo que necesita
Monitoreo continuo
Alertas y respuesta ante incidentes 24/7
Infraestructura y cifrado
shield_lock
Cifrado en tránsito
Todo el tráfico entre tu navegador y nuestros servidores viaja cifrado. Las conexiones no seguras son redirigidas automáticamente a HTTPS.
lock
Cifrado en reposo
Los datos almacenados, incluyendo credenciales y tokens de terceros, están cifrados en la base de datos. Nunca se almacenan en texto plano.
dns
Infraestructura aislada
La aplicación y la base de datos operan en entornos de red separados y privados. La base de datos no está expuesta a internet público.
update
Actualizaciones continuas
Aplicamos parches de seguridad de manera prioritaria ante la publicación de vulnerabilidades críticas en nuestras dependencias.
Autenticación y acceso
password
Contraseñas seguras
Las contraseñas se almacenan con algoritmos de hashing de alta seguridad. Nunca las almacenamos en texto plano ni las compartimos con terceros.
key
Sesiones seguras
Las sesiones de usuario y los tokens de acceso a la API tienen expiración controlada y se invalidan completamente al cerrar sesión.
manage_accounts
Control de roles
Sistema de permisos granular donde cada perfil de usuario accede únicamente a las funciones y datos que le corresponden según su rol.
history
Credenciales de terceros protegidas
Los accesos a plataformas externas (MercadoLibre, Shopify, Facebook) se almacenan cifrados y se renuevan automáticamente de forma segura.
Protección de la aplicación
verified_user
Protección contra CSRF
Todos los formularios y endpoints están protegidos contra ataques de falsificación de solicitudes entre sitios.
verified_user
Prevención de inyección
Las consultas a la base de datos utilizan parámetros seguros. Realizamos análisis estático de seguridad en cada despliegue.
verified_user
Prevención de XSS
Los datos de usuario son sanitizados automáticamente antes de ser renderizados. Se aplican cabeceras de política de contenido.
verified_user
Límites de tasa
Los endpoints de autenticación y webhooks tienen controles de tasa para prevenir ataques de fuerza bruta.
verified_user
Auditoría de dependencias
Verificamos vulnerabilidades conocidas en todas nuestras librerías de forma automatizada en cada integración continua.
verified_user
Cabeceras de seguridad
Aplicamos cabeceras HTTP de seguridad estándar de la industria para proteger a los usuarios en su navegador.
Backups y recuperación
Realizamos copias de seguridad automáticas y periódicas de todos los datos. Los backups están cifrados y almacenados en ubicaciones geográficamente separadas de los servidores principales, garantizando la recuperación ante cualquier eventualidad.
Monitoreo y respuesta a incidentes
Contamos con monitoreo continuo de performance, disponibilidad y errores. Ante un incidente de seguridad confirmado seguimos un protocolo estructurado:
-
1Contención: Aislamiento inmediato del sistema o cuenta afectada.
-
2Evaluación: Determinación del alcance e impacto del incidente.
-
3Notificación: Comunicación a usuarios afectados dentro de las 72 horas conforme a la normativa vigente.
-
4Remediación: Corrección, auditoría y publicación de informe cuando aplique.
Reporte de vulnerabilidades (Responsible Disclosure)
Si encontraste una vulnerabilidad de seguridad en MetricsBI, te pedimos que nos la reportes de forma responsable antes de divulgarla públicamente. Nos comprometemos a:
- check_circle Responder dentro de las 48 horas hábiles confirmando la recepción.
- check_circle Mantenerte informado del progreso de la corrección.
- check_circle No iniciar acciones legales contra investigadores de buena fe.
- check_circle Dar crédito público si lo deseás, una vez corregida la vulnerabilidad.
bug_report
Reportar una vulnerabilidad
info@metricsbi.com
security
¿Preguntas sobre seguridad?
Nuestro equipo responde dentro de las 48 horas hábiles.
mail info@metricsbi.com