Loading...
Mister Pato
Hablamos

Seguridad de la información

Introducción

En Mister Pato, incluyendo el desarrollo y operación de la plataforma Patometer, nos comprometemos a proteger la confidencialidad, integridad y disponibilidad de la información gestionada en nuestros sistemas.

Esta política describe las medidas técnicas y organizativas aplicadas para garantizar la seguridad de los datos, especialmente en el contexto de integraciones con servicios de terceros y plataformas de terceros.

Alcance

Esta política aplica a:

  • Sistemas desarrollados y mantenidos por Mister Pato
  • Aplicaciones web, APIs e integraciones
  • Infraestructura cloud utilizada para el despliegue de servicios
  • Datos gestionados en nombre de clientes

Control de acceso

  • El acceso a sistemas y datos está restringido bajo el principio de mínimo privilegio:
  • Acceso limitado únicamente a personal autorizado
  • Uso de credenciales individuales
  • Gestión segura de contraseñas
  • Uso de autenticación multifactor (MFA) cuando es posible
  • Revocación de accesos cuando dejan de ser necesarios

Gestión de credenciales y secretos

Las claves API, tokens y credenciales se almacenan de forma segura

No se exponen en código fuente ni en entornos públicos

Se utilizan variables de entorno o sistemas seguros de configuración

Rotación de credenciales cuando es necesario

Cifrado y comunicaciones

Todas las comunicaciones se realizan mediante HTTPS (TLS)

Se evita la transmisión de datos sensibles en texto plano

Los datos en tránsito están protegidos mediante protocolos seguros

Se aplican buenas prácticas de configuración SSL/TLS

Infraestructura y alojamiento

Los servicios se despliegan en proveedores cloud reconocidos:

  • Scaleway
  • DigitalOcean

Estos proveedores ofrecen:

  • Centros de datos seguros
  • Redes protegidas
  • Aislamiento de recursos
  • Medidas de seguridad físicas y lógicas

Adicionalmente:

  • Se aplican actualizaciones de seguridad regularmente
  • Se utilizan firewalls y configuraciones de red restrictivas
  • Se monitoriza el estado de los sistemas

Seguridad de la aplicación

Las aplicaciones desarrolladas siguen buenas prácticas de desarrollo seguro:

  • Validación de entradas de usuario
  • Protección contra vulnerabilidades comunes (OWASP Top 10)
  • Gestión segura de sesiones
  • Control de permisos y autenticación
  • Uso de frameworks consolidados (como Django)

Copias de seguridad y recuperación

  • Se realizan copias de seguridad periódicas de los datos
  • Los backups se almacenan de forma segura
  • Se dispone de procedimientos de recuperación ante fallos
  • Se verifican periódicamente los procesos de restauración

Monitorización y detección

  • Se registran eventos relevantes del sistema
  • Se monitorizan accesos y actividad anómala
  • Se aplican medidas para prevenir accesos no autorizados
  • Se revisan logs en caso de incidentes

Gestión de incidentes de seguridad

En caso de incidente de seguridad:

  • Se analiza el alcance y origen del incidente
  • Se aplican medidas de contención y mitigación
  • Se restauran los sistemas afectados si es necesario
  • Se notificará a los clientes afectados cuando proceda
  • Se cumplirán las obligaciones legales aplicables (incluyendo GDPR)

Protección de datos y privacidad

  • Solo se accede a los datos necesarios para la prestación del servicio
  • Se aplican medidas para evitar accesos indebidos
  • Se permite a los clientes solicitar la eliminación de sus datos
  • Se cumple con la normativa vigente en protección de datos

Para más información, consultar la política de privacidad.

Integraciones con terceros

En el caso de integraciones con plataformas externas:

  • Se utilizan mecanismos de autenticación seguros (OAuth, API Keys)
  • Los datos se procesan únicamente con fines funcionales del servicio
  • No se comparten datos con terceros no autorizados
  • Se respetan las políticas de uso de cada plataforma

Retención de datos

  • Los datos se conservan únicamente durante el tiempo necesario
  • Se eliminan cuando dejan de ser necesarios o a solicitud del cliente
  • Se aplican medidas para evitar retención innecesaria

Revisión y mejora continua

Esta política se revisa periódicamente para:

  • Adaptarse a nuevas amenazas
  • Mejorar controles existentes
  • Cumplir con requisitos regulatorios y de plataformas

Contacto

Para cuestiones relacionadas con seguridad de la información:

soy@misterpato.es