Seguridad empresarial al alcance de pequeñas empresas

Prácticas de seguridad transparentes, desde la infraestructura hasta la aplicación. Conforme con GDPR/CCPA, aislamiento multitenant, cifrado en reposo y en tránsito.

Consulte nuestras prácticas de seguridad

Seguridad y cumplimiento verificados

Nuestra base de seguridad

Heroku

Alojado en la plataforma Heroku (empresa Salesforce)

AWS

Infraestructura basada en AWS

GDPR

Política de privacidad conforme (derechos de usuario implementados)

CCPA

Conforme con los derechos de privacidad de California

Iubenda

Generación de política de privacidad certificada

Lo que no afirmamos (honestidad en seguridad)

Certificación SOC 2

Aún no — SOC 2 Type II está en nuestra hoja de ruta, sujeto a la demanda de clientes empresariales. Heredamos infraestructura certificada SOC 2 (Heroku/AWS), pero no contamos con nuestra propia auditoría organizacional.

Certificación organizacional ISO 27001

Heredamos la certificación de centro de datos de Heroku/AWS, pero no contamos con nuestra propia certificación organizacional ISO 27001.

Pruebas de penetración

Aún no — las pruebas de penetración profesionales por terceros están en nuestra hoja de ruta, sujetas a la demanda de clientes empresariales.

¿Por qué esta transparencia?

Muchos competidores afirman tener "seguridad de nivel empresarial" sin especificaciones. Creemos que la transparencia genera más confianza que las afirmaciones genéricas. Somos honestos sobre lo que ofrecemos hoy y sobre lo que viene a continuación.

Construido sobre infraestructura empresarial (Heroku/AWS)

Nuestra infraestructura aprovecha la seguridad de nivel empresarial de Heroku (Salesforce) y AWS

Certificaciones de infraestructura

  • Alojamiento: Plataforma Heroku (empresa Salesforce)
  • Centros de datos: Certificación ISO 27001 (certificación heredada de la infraestructura Heroku)
  • Seguridad física: Estándares de cumplimiento AWS (SOC 2, ISO 27001 para centros de datos)
  • Redundancia geográfica: Despliegue multi-AZ de AWS para alta disponibilidad

Cifrado y protección

  • Cifrado en reposo: PostgreSQL con AES-256
  • Cifrado en tránsito: TLS 1.3 para todas las conexiones
  • Protección DDoS: Firewalls de red AWS y CloudFront

Importante: Heredamos las certificaciones de infraestructura de Heroku/AWS. No reclamamos certificación organizacional ISO 27001 ni SOC 2 (estas están en nuestra hoja de ruta según la demanda empresarial).

Más información: Seguridad en Heroku | Cumplimiento AWS

Prácticas de seguridad de la aplicación

Nuestra aplicación implementa controles de seguridad estándar del sector

1. Aislamiento de datos multitenant

  • Lo que esto significa para usted: Los datos de su organización están completamente separados de los de otros clientes
  • Cómo lo garantizamos: Cada acceso a datos se filtra automáticamente a su organización y espacio de trabajo
  • Por qué importa: No existe riesgo de ver los activos o datos de mantenimiento de otra empresa
  • Verificación continua: Las pruebas de seguridad automatizadas validan el aislamiento en cada cambio de código

2. Control de acceso basado en roles

  • Permisos flexibles: Asigne miembros del equipo como Administradores (acceso completo) o Miembros (permisos restringidos)
  • Control de dos niveles: Gestione permisos a nivel de organización y de espacio de trabajo individual
  • Aplicación automática: Los permisos se comprueban en cada acción para evitar accesos no autorizados
  • Seguridad probada: Pruebas automatizadas exhaustivas garantizan el correcto funcionamiento de las reglas de permisos

3. Autenticación

  • Autenticación estándar del sector: Sistema de inicio de sesión seguro utilizado por miles de aplicaciones
  • Opción Google OAuth2: Inicie sesión con Google para mayor comodidad sin contraseña
  • Almacenamiento seguro de contraseñas: Las contraseñas se cifran con hash de mejores prácticas del sector (nunca se almacenan en texto plano)
  • Cierre de sesión automático: Las sesiones caducan tras un período de inactividad para proteger su cuenta

4. Protección contra vulnerabilidades comunes

  • Protección CSRF: Protege contra envíos de formularios no autorizados desde sitios web maliciosos
  • Prevención de inyección SQL: Las consultas a la base de datos se sanean automáticamente para evitar código malicioso
  • Prevención XSS: La entrada de usuarios se limpia automáticamente para evitar scripts maliciosos
  • Política de seguridad de contenido: Las reglas de seguridad del navegador impiden la ejecución de scripts no autorizados

5. Seguridad de sesión

  • Cookies seguras: Los datos de su sesión están protegidos frente al acceso JavaScript y se transmiten de forma segura
  • Tiempo de espera automático: Las sesiones caducan tras un período de inactividad para proteger su cuenta si olvida cerrar sesión
  • Configuración cifrada: Los ajustes sensibles de la aplicación están cifrados y nunca quedan expuestos en el código

6. Análisis de seguridad automatizado

  • Análisis de seguridad de código: El análisis automatizado revisa cada cambio de código en busca de posibles vulnerabilidades antes del despliegue
  • Monitorización de dependencias: Análisis continuo de bibliotecas de terceros en busca de problemas de seguridad conocidos
  • Validación continua: Las comprobaciones de seguridad se ejecutan automáticamente en cada actualización para detectar problemas de forma temprana

Cumplimiento de normativas de privacidad

Implementamos la privacidad por diseño

Conforme con GDPR

Reglamento General de Protección de Datos europeo

  • Política de privacidad: Política de privacidad completa publicada y actualizada regularmente (certificada por Iubenda)
  • Derechos del usuario: Puede acceder, eliminar, exportar y corregir sus datos en cualquier momento
  • Tratamiento legal: Tratamos los datos para prestar nuestro servicio (ejecución de contrato) y con su consentimiento
  • Protección de datos: Las prácticas de seguridad de nivel empresarial protegen su información personal

Conforme con CCPA

Ley de Privacidad del Consumidor de California

  • Derechos de privacidad para residentes de California: acceso, eliminación, exclusión voluntaria
  • La política de privacidad cubre los requisitos CCPA
  • Exportación de datos disponible en cualquier momento (sin bloqueo por proveedor)

Política de cookies

  • Divulgación transparente de cookies (Iubenda)
  • Solo cookies esenciales (autenticación, gestión de sesiones)
  • Sin cookies de seguimiento de terceros

Retención de datos

  • Plan Free: 30 días de historial de actividad
  • Plan Premium: 5 años de historial de actividad

Exportación y portabilidad de datos

  • Exportación CSV en cualquier momento (Activos, Tareas de mantenimiento, Registros de actividad)
  • Sin bloqueo por proveedor — llévese sus datos consigo
  • La REST API para acceso programático está en nuestra hoja de ruta, sujeta a la demanda de los clientes. Hoy en día, la exportación completa de datos está disponible mediante CSV y la API MCP.

Mejoras de seguridad planificadas

Estamos planificando las siguientes funciones de seguridad (los plazos son estimaciones sujetas a cambios según la demanda de los clientes)

Autenticación de dos factores (2FA)

En la hoja de ruta (sujeto a la demanda de los clientes)

  • Enfoque de implementación estándar del sector
  • Opciones de SMS y aplicación de autenticación (Google Authenticator, Authy)

Certificación SOC 2 Type II

En la hoja de ruta (sujeto a la demanda de clientes empresariales)

  • Proceso de certificación de 6 a 9 meses
  • Auditoría profesional por terceros
  • Nota: Esto es un plan, no un compromiso. El calendario depende de la demanda del mercado empresarial y las prioridades del negocio.

Pruebas de penetración

En la hoja de ruta (sujeto a la demanda de clientes empresariales)

  • Prueba de penetración profesional por terceros
  • Remediación de vulnerabilidades e informe público resumido

Registros de auditoría mejorados

En la hoja de ruta (sujeto a la demanda de los clientes)

  • Ampliar el seguimiento de actividad a más tipos de datos (actualmente solo activos)
  • Registro de auditoría integral para todos los cambios

SSO (SAML)

Previsto para una versión futura

  • Inicio de sesión único empresarial para grandes organizaciones
  • Integraciones con Okta, Azure AD, Google Workspace

Avisos legales importantes

  • Los elementos de la hoja de ruta están sujetos a cambios según las necesidades de los clientes y las prioridades del negocio
  • Los plazos son estimaciones, no garantías
  • La certificación SOC 2 está condicionada a la demanda del mercado empresarial (comentarios bienvenidos: [email protected])

Notificación de vulnerabilidades de seguridad

Damos la bienvenida a la investigación de seguridad responsable

Cómo notificar

  • Contacto de seguridad: [email protected]
  • Plazo de respuesta: Confirmación en 48 horas, objetivo de resolución en 30 días (compromiso realista)
  • Alcance: Seguridad de la aplicación, preocupaciones de infraestructura, problemas de privacidad de datos
  • Reconocimiento: Salón de la fama de investigadores de seguridad (previsto para el futuro)
  • Solicitud: Le rogamos que no divulgue públicamente las vulnerabilidades antes de que hayamos tenido tiempo de resolverlas

Qué notificar

En alcance:

  • Vulnerabilidades de inyección SQL, XSS, CSRF
  • Elusión de autenticación o escalada de privilegios
  • Fuga de datos entre tenants
  • Referencias directas a objetos inseguras (IDOR)

Fuera de alcance:

  • Ataques de ingeniería social
  • Seguridad física de nuestras oficinas (somos un equipo remoto)
  • Vulnerabilidades de terceros (Heroku, AWS — notifíqueles directamente)

Por qué importa: Estamos comprometidos con una cultura de seguridad responsable. Su divulgación responsable nos ayuda a proteger a todos los clientes.

Preguntas frecuentes sobre seguridad y cumplimiento normativo

Cómo A4B gestiona el aislamiento de datos, el cumplimiento de privacidad y las certificaciones — con respuestas honestas sobre lo que está implementado y lo que está en el mapa de ruta.

¿A4B tiene certificación SOC 2?
Todavía no. La certificación SOC 2 Tipo II está en nuestro mapa de ruta, sujeta a la demanda de clientes empresariales. Actualmente nos apoyamos en infraestructura con certificación SOC 2 (Heroku, AWS), pero no contamos con nuestra propia auditoría SOC 2 organizacional. Si SOC 2 es fundamental para su organización, envíe un correo a [email protected] para manifestar su interés (la demanda nos ayuda a priorizar).
¿Están los datos de mi organización aislados de otros inquilinos?
Sí. A4B utiliza una arquitectura multitenant estricta en la que cada consulta a la base de datos está limitada al alcance de su organización. Los miembros del espacio de trabajo solo pueden acceder a los datos dentro de los espacios de trabajo a los que están asignados. Este aislamiento se aplica a nivel de base de datos y se valida con pruebas de seguridad automatizadas exhaustivas en cada cambio de código.
¿A4B cumple con el GDPR y el CCPA?
Sí. A4B cumple con el GDPR y el CCPA. Los datos están alojados en infraestructura de Heroku. El correo electrónico transaccional se procesa a través de Brevo (con sede en la UE). Los eventos de análisis utilizan RudderStack con gestión de consentimiento conforme al GDPR — no se realiza seguimiento de datos analíticos sin el consentimiento explícito del usuario. Puede solicitar la exportación o eliminación de sus datos en cualquier momento.
¿Puedo exportar mis datos en cualquier momento?
Sí. La exportación CSV está disponible para Activos, Tareas de mantenimiento y Registros de actividad — sin bloqueo con el proveedor. Exporte desde el Panel de control o desde las vistas de lista de Activos/Mantenimiento.
¿En qué región geográfica se almacenan mis datos?
En centros de datos de AWS a través de la infraestructura de Heroku. Región geográfica: US East (Virginia) de forma predeterminada. Los centros de datos de AWS tienen certificación ISO 27001 y cumplen con SOC 2. Redundancia Multi-AZ para alta disponibilidad.
¿Admiten autenticación de dos factores (2FA)?
Todavía no. La autenticación de dos factores está en nuestro mapa de ruta, sujeta a la demanda de los clientes. Actualmente admitimos Google OAuth2 (autenticación sin contraseña) como alternativa segura a las contraseñas tradicionales. Si la 2FA es fundamental para su organización, envíe un correo a [email protected] para manifestar su interés.

¿Listo para implementar A4B en su organización?

Comience su plan gratuito