Seguridad
CyberOrigen toma la seguridad en serio. Esta página describe nuestras prácticas de seguridad y cómo informar vulnerabilidades.
Informar Vulnerabilidades
Si descubre una vulnerabilidad de seguridad, infórmela de manera responsable:
Email: [email protected]
Qué Incluir
- Descripción de la vulnerabilidad
- Pasos para reproducir
- Impacto potencial
- Cualquier corrección sugerida (opcional)
Cronograma de Respuesta
| Acción | Plazo |
|---|---|
| Reconocimiento | Dentro de 24 horas |
| Evaluación Inicial | Dentro de 72 horas |
| Actualización de Estado | Semanal |
| Objetivo de Resolución | 90 días (varía según gravedad) |
Medidas de Seguridad
Autenticación
- Tokens JWT: Tokens de acceso de corta duración (1 hora por defecto)
- MFA: Contraseñas de un solo uso basadas en tiempo (TOTP)
- Política de Contraseñas: Mínimo 12 caracteres, requisitos de complejidad
- Limitación de Tasa: Protección contra ataques de fuerza bruta
Cifrado
- En Reposo: AES-256-GCM para campos sensibles de la base de datos
- En Tránsito: TLS 1.3 para todas las conexiones
- Secretos: Servicio de gestión de secretos para credenciales de producción
Control de Acceso
- RBAC: Control de acceso basado en roles
- Multi-Tenencia: Aislamiento de datos a nivel de organización
- Registro de Auditoría: Todas las acciones son registradas
Infraestructura
- Nube: Producción alojada en infraestructura de nube empresarial
- Contenedores: Despliegue en contenedores con imágenes base mínimas
- Dependencias: Escaneo automático de vulnerabilidades
Política de Seguridad
Para la política de seguridad completa, contacte [email protected].
Bug Bounty
Apreciamos a los investigadores de seguridad que ayudan a mantener CyberOrigen seguro.
Lo que ofrecemos:
- Crédito en nuestros avisos de seguridad (con permiso)
- Reconocimiento escrito de informes válidos
Actualmente no ofrecemos recompensas monetarias.
Actualizaciones de Seguridad
Los parches de seguridad se lanzan tan pronto como están listos:
- Crítico: Lanzamiento inmediato
- Alto: Dentro de 7 días
- Medio: Dentro de 30 días
- Bajo: Próximo lanzamiento programado
Los anuncios de seguridad se publicarán en nuestra documentación y se comunicarán directamente a los clientes afectados.