Seguridad de la Información

• En Skyzer, la seguridad de la información es una prioridad estratégica y un componente fundamental de todos nuestros servicios de automatización e inteligencia artificial.
• Implementamos un enfoque de seguridad de múltiples capas (defensa en profundidad) que protege los datos de nuestros clientes en todas las etapas: recopilación, procesamiento, almacenamiento y transmisión.
• Nuestro modelo de seguridad sigue el principio de "Confianza Cero" (Zero Trust), donde cada acceso es verificado independientemente de la ubicación o red de origen.
• Cumplimos con estándares internacionales de seguridad como ISO/IEC 27001, NIST Cybersecurity Framework y las mejores prácticas de OWASP para desarrollo seguro.
• Este documento describe nuestras prácticas, políticas y medidas técnicas implementadas para proteger su información y garantizar la continuidad operativa de nuestros servicios.

Proveedores Cloud de Nivel Empresarial

• AWS (Amazon Web Services): Infraestructura SOC 2 Type II, ISO 27001, PCI DSS certificada
• Microsoft Azure: Compliance con estándares globales de seguridad y privacidad
• Google Cloud Platform (GCP): Infraestructura con cifrado por defecto y controles avanzados
• Vercel: Hosting optimizado para Next.js con certificados SSL/TLS automáticos y renovación continua
• Todos nuestros proveedores cloud cumplen con estándares internacionales de seguridad y realizan auditorías periódicas independientes

Arquitectura de Red Segura

• Redes privadas virtuales (VPC) aisladas para cada entorno (desarrollo, staging, producción)
• Firewalls de aplicaciones web (WAF) configurados para detectar y bloquear amenazas OWASP Top 10
• Protección DDoS integrada a nivel de infraestructura
• Segmentación de red para limitar el movimiento lateral en caso de compromiso
• Balanceadores de carga con detección automática de anomalías
• Content Delivery Network (CDN) con protección contra ataques de capa 7

Alta Disponibilidad y Redundancia

• Implementación multi-región para garantizar disponibilidad del 99.9%
• Respaldos automáticos cada 6 horas con retención de 30 días
• Respaldos geo-redundantes almacenados en múltiples centros de datos
• Plan de recuperación ante desastres (DRP) con RTO < 4 horas y RPO < 1 hora
• Monitoreo 24/7 con alertas automáticas ante incidentes

Cifrado en Tránsito

• TLS 1.3 (Transport Layer Security) para todas las comunicaciones web
• Certificados SSL/TLS válidos y renovados automáticamente
• HSTS (HTTP Strict Transport Security) habilitado con preload
• Perfect Forward Secrecy (PFS) para evitar desciframiento retroactivo
• APIs protegidas con autenticación OAuth 2.0 y tokens JWT
• VPN site-to-site para integraciones con infraestructura de clientes

Cifrado en Reposo

• AES-256 para cifrado de datos sensibles almacenados en bases de datos
• Cifrado a nivel de volumen para todos los discos de almacenamiento
• Claves de cifrado gestionadas mediante servicios HSM (Hardware Security Modules)
• Rotación automática de claves de cifrado cada 90 días
• Backups cifrados con algoritmos de cifrado robustos
• Tokens y credenciales almacenados en servicios de secretos gestionados (AWS Secrets Manager, Azure Key Vault)

Gestión de Claves

• Principio de separación de funciones: claves de cifrado separadas de datos
• Claves maestras nunca almacenadas en texto plano
• Auditoría completa de acceso y uso de claves criptográficas
• Procedimiento de revocación inmediata en caso de compromiso

Autenticación Multi-Factor (MFA)

• MFA obligatorio para todos los empleados y contratistas de Skyzer
• MFA recomendado y soportado para clientes que acceden a sistemas gestionados
• Soporte para autenticación basada en tiempo (TOTP), SMS, y llaves de seguridad físicas (FIDO2/WebAuthn)
• Autenticación biométrica en dispositivos móviles cuando esté disponible

Control de Acceso Basado en Roles (RBAC)

• Principio de mínimo privilegio: usuarios solo tienen acceso a recursos necesarios
• Roles predefinidos con permisos granulares según función (admin, desarrollador, cliente, auditor)
• Revisión trimestral de permisos y accesos de usuarios
• Revocación automática de accesos de empleados que dejan la compañía
• Logs de auditoría detallados de todos los accesos a datos sensibles

Gestión de Credenciales

• Políticas de contraseñas robustas: mínimo 12 caracteres, complejidad, sin reutilización de últimas 10 contraseñas
• Almacenamiento de contraseñas con hashing bcrypt/Argon2 y salt único
• Rotación obligatoria de contraseñas cada 90 días para cuentas privilegiadas
• Detección de contraseñas comprometidas mediante bases de datos de brechas (HaveIBeenPwned)
• Bloqueo automático de cuenta tras 5 intentos fallidos de autenticación
• Notificaciones automáticas de actividad sospechosa de inicio de sesión

Gestión de Sesiones

• Tokens de sesión seguros con expiración automática (30 minutos de inactividad)
• Invalidación de sesión en cierre de sesión explícito
• Protección contra CSRF (Cross-Site Request Forgery) mediante tokens
• Cookies de sesión con flags HttpOnly, Secure y SameSite

• Bases de datos en redes privadas sin acceso directo desde internet
• Autenticación mediante IAM roles en lugar de credenciales estáticas cuando es posible
• Cifrado transparente de datos (TDE) para datos en reposo
• Conexiones cifradas (SSL/TLS) entre aplicaciones y bases de datos
• Auditoría de queries y accesos a datos sensibles
• Respaldos incrementales diarios y completos semanales
• Pruebas de restauración de backups cada mes para validar integridad
• Anonimización de datos en entornos de desarrollo y testing
• Parches de seguridad aplicados dentro de 30 días desde su publicación
• Monitoreo de actividad anómala con alertas automáticas (spikes de queries, accesos no autorizados)

Prácticas de Código Seguro

• Revisión de código por pares (peer review) obligatoria antes de merge
• Análisis estático de seguridad automatizado (SAST) con SonarQube/Snyk
• Análisis de composición de software (SCA) para detectar vulnerabilidades en dependencias
• Protección contra OWASP Top 10: Injection, Broken Authentication, XSS, CSRF, Security Misconfiguration, etc.
• Validación y sanitización de todas las entradas de usuario
• Escape de salida para prevenir XSS (Cross-Site Scripting)
• Parametrización de consultas SQL para prevenir SQL Injection

Gestión de Dependencias

• Uso de gestores de paquetes con lock files (package-lock.json, yarn.lock)
• Escaneo automático de vulnerabilidades en dependencias con GitHub Dependabot/Snyk
• Actualización proactiva de dependencias con vulnerabilidades conocidas
• Auditoría de licencias de software de código abierto
• Uso preferente de paquetes bien mantenidos con comunidad activa

CI/CD Seguro

• Pipelines de CI/CD con escaneo de seguridad automatizado
• Tests de seguridad integrados en proceso de deployment
• Aprobaciones manuales requeridas para deployments a producción
• Rollback automático en caso de fallos críticos
• Secretos gestionados mediante servicios especializados (nunca en código fuente)
• Firma de commits y tags para garantizar integridad del código

Monitoreo Continuo

• Monitoreo 24/7/365 de infraestructura, aplicaciones y servicios
• Dashboards en tiempo real con métricas de seguridad y rendimiento
• Alertas automáticas configuradas para eventos críticos de seguridad
• Monitoreo de integridad de archivos críticos (FIM - File Integrity Monitoring)
• Detección de anomalías mediante machine learning y análisis de comportamiento

Logging y Auditoría

• Logs centralizados de todos los sistemas en plataforma SIEM
• Retención de logs: eventos de seguridad 1 año, logs generales 90 días
• Logs inmutables con sellado temporal para evidencia forense
• Auditoría de accesos administrativos y privilegiados
• Correlación de eventos entre múltiples fuentes para detectar ataques coordinados
• Cumplimiento con requisitos de auditoría de SOC 2 e ISO 27001

Detección y Respuesta a Incidentes

• Sistema de detección de intrusiones (IDS/IPS) configurado en puntos críticos
• Threat intelligence integrado con feeds actualizados de amenazas globales
• EDR (Endpoint Detection and Response) en dispositivos de empleados
• Playbooks automatizados para respuesta a incidentes comunes
• Equipo de respuesta a incidentes (CSIRT) entrenado y con procedimientos documentados

• Escaneo de vulnerabilidades semanal en toda la infraestructura
• Pruebas de penetración (pentesting) externas anuales por firmas especializadas
• Programa de Bug Bounty para investigadores de seguridad responsables
• Clasificación de vulnerabilidades según CVSS (Common Vulnerability Scoring System)
• SLA de remediación: Críticas 24h, Altas 7 días, Medias 30 días, Bajas 90 días
• Gestión de parches automatizada con ventanas de mantenimiento programadas
• Pruebas de regresión post-parchado para validar que no se rompa funcionalidad
• Comunicación proactiva a clientes en caso de vulnerabilidades que les afecten directamente

APIs y Servicios de IA

• OpenAI (ChatGPT): Conexiones cifradas, datos no usados para reentrenamiento (según configuración empresarial)
• Anthropic (Claude): Protección de datos conforme a políticas empresariales
• Google (Gemini): Controles de privacidad y seguridad nivel enterprise
• Autenticación mediante API keys rotadas periódicamente
• Rate limiting configurado para prevenir abuso
• Logging de todas las llamadas a APIs externas para auditoría

Plataformas de Automatización

• N8N: Self-hosted cuando se requiere máximo control, conexiones cifradas
• Zapier: Uso de cuentas empresariales con MFA y SAML/SSO
• Make: Credenciales gestionadas mediante secretos seguros
• Revisión de permisos otorgados a integraciones de terceros
• Deshabilitar integraciones no utilizadas para minimizar superficie de ataque

Due Diligence de Proveedores

• Evaluación de seguridad de todos los proveedores críticos antes de contratación
• Revisión de políticas de privacidad y términos de servicio
• Validación de certificaciones de seguridad (SOC 2, ISO 27001, etc.)
• Acuerdos de procesamiento de datos (DPA) con proveedores que manejan datos personales
• Revisión anual de proveedores y sus prácticas de seguridad

• Capacitación obligatoria en seguridad de la información para todos los empleados al ingreso
• Entrenamiento anual de actualización sobre amenazas emergentes y mejores prácticas
• Simulaciones de phishing periódicas para evaluar y mejorar conciencia de seguridad
• Política de escritorio limpio (clean desk) y pantallas bloqueadas
• Acuerdos de confidencialidad (NDA) firmados por empleados y contratistas
• Revisión de antecedentes para personal con acceso a datos sensibles
• Canales confidenciales para reportar incidentes de seguridad sin represalias
• Cultura de "security-first" promovida desde el liderazgo de la compañía

Normativas Cumplidas

• Ley 1581 de 2012 - Protección de Datos Personales (Colombia)
• Decreto 1377 de 2013 - Reglamentación de Protección de Datos
• GDPR (General Data Protection Regulation) - Para clientes europeos
• CCPA (California Consumer Privacy Act) - Para clientes de California
• PCI DSS - Si procesamos datos de tarjetas de pago

Certificaciones y Auditorías (en proceso/planificadas)

• ISO/IEC 27001: Sistema de Gestión de Seguridad de la Información
• SOC 2 Type II: Auditoría de controles de seguridad, disponibilidad y confidencialidad
• Auditorías internas trimestrales de controles de seguridad
• Evaluaciones de riesgo anuales siguiendo metodología NIST
• Revisión legal anual de políticas de privacidad y seguridad

Proceso de Respuesta

• Detección y análisis: Identificación rápida mediante sistemas de monitoreo automatizados
• Contención: Aislamiento de sistemas comprometidos para prevenir propagación
• Erradicación: Eliminación de la amenaza y cierre de vectores de ataque
• Recuperación: Restauración de servicios con validación de integridad
• Lecciones aprendidas: Análisis post-incidente y actualización de controles
• Comunicación: Notificación a partes afectadas según severidad y requisitos legales

Tiempos de Respuesta

• Incidentes críticos (brecha de datos, ransomware): Respuesta inmediata < 1 hora
• Incidentes altos (malware, acceso no autorizado): Respuesta < 4 horas
• Incidentes medios (intentos fallidos de intrusión): Respuesta < 24 horas
• Notificación a clientes afectados: Dentro de 72 horas desde confirmación del incidente

Notificación de Brechas

• Cumplimiento con Ley 1581 de 2012: Notificación a SIC y titulares afectados según corresponda
• Notificación incluye: naturaleza del incidente, datos afectados, medidas tomadas, recomendaciones para usuarios
• Transparencia total con clientes sobre impacto y pasos de remediación
• Documentación completa del incidente para auditorías y aprendizaje

• Oficinas con control de acceso mediante tarjetas/biometría
• Cámaras de seguridad en áreas sensibles con retención de 30 días
• Visitantes registrados y escoltados en áreas restringidas
• Dispositivos de trabajo cifrados con BitLocker/FileVault
• Política de pantallas con privacidad en espacios públicos
• Destrucción segura de dispositivos al final de su vida útil (data wiping certificado)
• Centros de datos de proveedores cloud con certificaciones físicas (SOC 2, ISO 27001)
• Controles ambientales: detección de incendios, control de temperatura, UPS para continuidad eléctrica

• Agradecemos a investigadores de seguridad que reporten vulnerabilidades de manera responsable
• Email para reportes de seguridad: [email protected]
• Tiempo de respuesta inicial: Dentro de 48 horas hábiles
• Compromiso de no emprender acciones legales contra investigadores que sigan nuestras reglas de divulgación responsable
• Proceso: (1) Reporte confidencial, (2) Verificación y análisis, (3) Remediación, (4) Divulgación coordinada
• Reconocimiento público a investigadores (si lo desean) en nuestro hall of fame de seguridad
• Consideración de recompensas para vulnerabilidades críticas según nuestro programa de bug bounty