Seguridad de la Información

1. Compromiso con la Seguridad

RICARDO ***** - ME, operador de la plataforma NUDINN, reconoce que la seguridad de la información financiera de los usuarios y los datos personales es de importancia crítica.

Este documento describe las medidas técnicas, organizativas y procedimentales que implementamos para proteger sus datos contra acceso no autorizado, pérdida, alteración, divulgación indebida o destrucción accidental.

Nuestro enfoque de seguridad se basa en los principios de Confidencialidad, Integridad y Disponibilidad (Tríada CIA), de conformidad con las mejores prácticas internacionales y los requisitos de la Ley General de Protección de Datos (LGPD).

2. Encriptación y Protección de Datos

2.1. Encriptación en Tránsito

Todos los datos transmitidos entre su dispositivo y nuestros servidores están protegidos por encriptación SSL/TLS (Transport Layer Security) de al menos 256 bits:

• Protocolo HTTPS: Todo el acceso a la plataforma web utiliza HTTPS exclusivamente
• Certificados SSL: Certificados digitales renovados regularmente y emitidos por Autoridades de Certificación reconocidas
• TLS 1.3: Utilizamos la última versión del protocolo TLS para máxima seguridad
• Perfect Forward Secrecy (PFS): Garantiza que las claves de sesión comprometidas no afecten sesiones anteriores o futuras
• HTTP Strict Transport Security (HSTS): Fuerza el uso de HTTPS previniendo ataques de degradación

2.2. Encriptación en Reposo

Los datos almacenados en nuestras bases de datos y sistemas de respaldo están protegidos por encriptación AES-256 (Advanced Encryption Standard):

• Datos Financieros Sensibles: Saldos, transacciones e información bancaria encriptados con claves únicas por usuario
• Contraseñas: Nunca almacenadas en texto plano, usamos hash fuerte (bcrypt) con salt individual y múltiples iteraciones
• Tokens y Credenciales: Encriptados con tiempo de validez limitado
• Respaldos: Todos los respaldos encriptados antes del almacenamiento

2.3. Gestión de Claves Criptográficas

• Las claves de encriptación se almacenan en HSM (Hardware Security Module) o servicios de gestión de claves (KMS) de proveedores certificados
• Rotación periódica de claves según políticas de seguridad
• Acceso a las claves restringido mediante controles multicapa
• Segregación de claves por entorno (desarrollo, staging, producción)

3. Control de Acceso y Autenticación

3.1. Autenticación del Usuario

• Contraseñas Fuertes: Requisitos mínimos de complejidad (al menos 8 caracteres, combinación de letras, números y símbolos)
• Autenticación Multifactor (MFA): Disponible y recomendada para todos los usuarios (códigos por SMS, correo electrónico o aplicaciones autenticadoras)
• Tokens de Sesión: JWT (JSON Web Tokens) con corta expiración y renovación automática segura
• Bloqueo de Intentos: Bloqueo temporal después de múltiples intentos fallidos de inicio de sesión (protección contra fuerza bruta)
• Cierre de Sesión Automático: Las sesiones expiran automáticamente después de un período de inactividad

3.2. Control de Acceso Interno

Robustos sistemas limitan el acceso a datos por parte de los empleados de NUDINN:

• Principio de Mínimo Privilegio: Los empleados tienen acceso solo a los datos estrictamente necesarios para sus funciones
• Separación de Funciones: Separación entre entornos de desarrollo y producción
• Autenticación Multifactor Obligatoria: Para todo acceso administrativo
• Registros de Auditoría: Todo acceso a datos sensibles es registrado y monitoreado
• Revisión Periódica: Permisos revisados trimestralmente y revocados automáticamente cuando ya no son necesarios
• Acuerdo de Confidencialidad (NDA): Todos los empleados con acceso a datos firman términos de confidencialidad

4. Infraestructura y Seguridad de Red

4.1. Alojamiento y Centros de Datos

Utilizamos proveedores de computación en la nube líderes en el mercado con certificaciones internacionales de seguridad:

• Proveedores: AWS (Amazon Web Services) y/o Google Cloud Platform
• Certificaciones: ISO 27001, ISO 27017, ISO 27018, SOC 2 Tipo II, PCI DSS
• Centros de Datos: Ubicados en Brasil y regiones de alta disponibilidad
• Redundancia: Infraestructura distribuida en múltiples zonas de disponibilidad
• Seguridad Física: Centros de datos con control biométrico, vigilancia 24/7, protección contra incendios y protección contra desastres naturales

4.2. Seguridad de Red

• Firewall de Aplicaciones Web (WAF): Cloudflare WAF protege contra ataques comunes (SQL Injection, XSS, CSRF, DDoS)
• Protección DDoS: Mitigación automática de ataques de denegación de servicio
• Segmentación de Red: Aislamiento entre servidores de aplicaciones, base de datos y servicios internos
• VPN y Conexiones Seguras: Acceso administrativo exclusivamente mediante VPN
• Monitoreo de Tráfico: Análisis continuo de patrones de tráfico anormales

4.3. Seguridad de Aplicaciones

• Revisión de Código: Revisión por pares antes del despliegue
• Pruebas de Seguridad: Automatizadas (SAST - Static Application Security Testing) y pruebas manuales
• Protección OWASP Top 10: Mitigación de todas las vulnerabilidades críticas mapeadas por OWASP
• Rate Limiting: Límites de solicitudes por IP para prevenir abusos
• Validación de Entradas: Sanitización rigurosa de todos los datos ingresados por el usuario
• Content Security Policy (CSP): Encabezados de seguridad para prevenir XSS e inyección de código

5. Respaldo y Recuperación ante Desastres

5.1. Política de Respaldo

• Frecuencia: Respaldos automáticos diarios de la base de datos completa
• Respaldo Incremental: Respaldos incrementales cada 6 horas para minimizar la pérdida de datos
• Retención:
  • Respaldos diarios: retenidos por 30 días
  • Respaldos semanales: retenidos por 3 meses
  • Respaldos mensuales: retenidos por 1 año
• Almacenamiento Distribuido Geográficamente: Réplicas en diferentes regiones para protección contra desastres
• Encriptación: Todos los respaldos encriptados con AES-256
• Pruebas de Restauración: Pruebas mensuales para validar la integridad del respaldo

5.2. Plan de Continuidad del Negocio (BCP)

Mantenemos un Plan de Continuidad del Negocio y Recuperación ante Desastres (BCP/DR) documentado y probado regularmente:

• RTO (Recovery Time Objective): Máximo 4 horas para restauración completa
• RPO (Recovery Point Objective): Pérdida máxima de datos de hasta 1 hora
• Equipo de Respuesta: Equipo dedicado capacitado para escenarios de emergencia
• Simulaciones: Ejercicios de recuperación ante desastres semestrales

6. Monitoreo y Detección de Amenazas

6.1. Monitoreo Continuo 24/7

• SIEM (Security Information and Event Management): Correlación de eventos de seguridad en tiempo real
• Registros Centralizados: Registros de todas las actividades críticas (acceso, autenticación, cambios, errores)
• Alertas Automáticas: Notificaciones inmediatas sobre actividades sospechosas o anormales
• Monitoreo de Integridad: Detección de cambios no autorizados en archivos del sistema
• Análisis de Comportamiento: Machine Learning para identificar patrones anómalos

6.2. Detección y Prevención de Intrusiones

• IDS/IPS (Sistema de Detección/Prevención de Intrusiones): Sistemas que detectan y bloquean intentos de intrusión
• Honeypots: Sistemas señuelo para atraer y estudiar atacantes
• Inteligencia de Amenazas: Integración con fuentes globales de inteligencia de amenazas
• Escaneo de Vulnerabilidades: Escaneos automatizados semanales de vulnerabilidades

7. Pruebas de Seguridad y Auditorías

7.1. Pruebas de Penetración (Pentests)

• Frecuencia: Pentests externos realizados semestralmente por empresas especializadas independientes
• Alcance: Aplicaciones web, APIs, aplicaciones móviles, infraestructura de red
• Remediación: Vulnerabilidades críticas corregidas dentro de 48 horas; altas dentro de 7 días

7.2. Auditorías de Seguridad

• Auditorías Internas: Revisión trimestral de controles de seguridad y cumplimiento
• Auditorías Externas: Evaluación anual por auditores independientes
• Auditorías de Código: Revisión especializada del código fuente crítico

7.3. Programa Bug Bounty

Estamos desarrollando un programa de recompensas por vulnerabilidades (Bug Bounty) para incentivar a investigadores de seguridad a reportar vulnerabilidades de forma responsable.

8. Respuesta a Incidentes

8.1. Plan de Respuesta a Incidentes (IRP)

Mantenemos un proceso estructurado de respuesta a incidentes de seguridad:

1. Detección e Identificación: El monitoreo continuo identifica incidentes en tiempo real
2. Contención: Aislamiento inmediato de los sistemas afectados para prevenir la propagación
3. Erradicación: Eliminación completa de la amenaza y cierre de vulnerabilidades
4. Recuperación: Restauración segura del servicio y validación de integridad
5. Análisis Post-Mortem: Investigación detallada de la causa raíz y lecciones aprendidas
6. Comunicación: Notificación a usuarios afectados y autoridades según la LGPD

8.2. Comunicación de Incidentes

De conformidad con la LGPD (Art. 48), en caso de incidente de seguridad que pueda representar riesgo o daño relevante para los titulares:

• Comunicación a la ANPD: En un plazo razonable (generalmente 72 horas)
• Notificación a Usuarios Afectados: Información clara sobre la naturaleza del incidente, datos afectados y medidas tomadas
• Transparencia: Actualizaciones públicas cuando sea apropiado

8.3. Canal de Reporte

Si identifica una vulnerabilidad de seguridad o comportamiento sospechoso:

Solicitamos divulgación responsable: por favor no divulgue públicamente las vulnerabilidades antes de darnos la oportunidad de corregirlas.

9. Capacitación y Concienciación

9.1. Capacitación del Equipo

• Onboarding de Seguridad: Todos los nuevos empleados reciben capacitación obligatoria sobre seguridad y privacidad
• Capacitación Periódica: Actualizaciones anuales sobre mejores prácticas, nuevas amenazas y cumplimiento de la LGPD
• Simulaciones de Phishing: Pruebas periódicas para evaluar y mejorar la concienciación del equipo
• Cultura de Seguridad: Incentivo para reportar incidentes sin temor a represalias (cultura sin culpa)

9.2. Concienciación del Usuario

Producimos contenido educativo para ayudar a los usuarios a proteger sus cuentas:

• Guías para crear contraseñas fuertes
• Cómo identificar intentos de phishing
• Importancia de la autenticación multifactor
• Mejores prácticas de seguridad en dispositivos móviles

10. Seguridad de Terceros

10.1. Debida Diligencia de Proveedores

Todos los proveedores de servicios que procesan datos en nuestro nombre son evaluados rigurosamente:

• Evaluación de Seguridad: Cuestionarios detallados antes de la contratación
• Certificaciones Requeridas: ISO 27001, SOC 2 Tipo II, o equivalentes
• Cláusulas Contractuales: Acuerdos de Procesamiento de Datos (DPA) con obligaciones claras
• Monitoreo Continuo: Reevaluación anual de proveedores críticos
• Derechos de Auditoría: Nos reservamos el derecho de auditar las prácticas de seguridad del proveedor

10.2. Integraciones y APIs

• APIs Seguras: OAuth 2.0 para autenticación de integraciones
• Rate Limiting: Límites de solicitudes por clave de API
• Registros de API: Registro de todas las llamadas API para auditoría
• Revisión de Integraciones: Aprobación previa y revisión de seguridad para nuevas integraciones

11. Seguridad de Aplicaciones Móviles

• Almacenamiento Local Seguro: Uso de Keychain (iOS) y Keystore (Android) para credenciales
• Ofuscación de Código: Protección contra ingeniería inversa
• Certificate Pinning: Validación de certificados SSL para prevenir man-in-the-middle
• Biometría Local: Autenticación biométrica (huella, Face ID) cuando está disponible
• Detección de Jailbreak/Root: Alertas sobre dispositivos comprometidos
• Limpieza de Memoria: Datos sensibles borrados de la memoria después del uso

12. Cumplimiento y Certificaciones

Nos comprometemos con las mejores prácticas y el cumplimiento regulatorio:

• LGPD (Ley 13.709/2018): Cumplimiento total de la Ley General de Protección de Datos
• Marco Civil de Internet (Ley 12.965/2014): Cumplimiento de las obligaciones respecto a registros y privacidad
• ISO 27001 (en proceso): Implementación de SGSI (Sistema de Gestión de Seguridad de la Información)
• OWASP: Alineación con OWASP Top 10 y estándares de seguridad ASVS
• Cumplimiento PCI DSS: Cumplimiento a través de pasarela de pagos certificada (Stripe)

13. Responsabilidad Compartida

Aunque adoptamos medidas robustas, la seguridad es una responsabilidad compartida. Recomendamos a los usuarios:

• Usar contraseñas fuertes y únicas para las cuentas
• Habilitar la autenticación multifactor (MFA)
• Mantener sistemas operativos y aplicaciones actualizados
• No compartir credenciales con terceros
• Usar redes Wi-Fi seguras (evitar redes públicas para transacciones financieras)
• Desconfiar de correos electrónicos o mensajes sospechosos que soliciten datos personales (phishing)
• Cerrar sesión al usar dispositivos compartidos
• Reportar inmediatamente actividades sospechosas

14. Mejora Continua

La seguridad no es un estado final sino un proceso continuo. Nos comprometemos a:

• Monitoreo de Tendencias: Seguimiento constante de nuevas amenazas y vulnerabilidades
• Actualizaciones Regulares: Parches de seguridad aplicados proactivamente
• Evolución de Controles: Implementación de nuevos controles a medida que la tecnología evoluciona
• Retroalimentación del Usuario: Incorporación de sugerencias de la comunidad
• Benchmarking: Comparación con estándares de la industria y mejores prácticas

15. Contacto - Equipo de Seguridad

Nuestro equipo de seguridad monitorea estos canales 24/7 y responde a incidentes críticos inmediatamente.