Política de Seguridad

1. Compromiso con la seguridad

En EventyFly, entendemos la importancia de proteger tu información personal y los datos de tus eventos. Esta Política de Seguridad describe las medidas técnicas y organizativas que implementamos para garantizar la seguridad de nuestros sistemas y la protección de tus datos.

Nuestro compromiso con la seguridad es continuo y estamos constantemente actualizando nuestras prácticas para mantenernos al día con las mejores prácticas de la industria y las amenazas emergentes.

2. Medidas de seguridad implementadas

2.1 Cifrado de datos

• Cifrado en tránsito: Todas las comunicaciones entre tu dispositivo y nuestros servidores utilizan TLS 1.2+ (HTTPS).
• Cifrado en reposo: Los datos sensibles se almacenan cifrados en nuestras bases de datos.
• Cifrado de contraseñas: Las contraseñas se almacenan utilizando algoritmos de hash seguros (bcrypt).
• Cifrado de pagos: Los datos de pago se procesan mediante proveedores certificados PCI DSS.

2.2 Seguridad de infraestructura

• Servidores seguros: Hosting en centros de datos de nivel empresarial con certificaciones ISO 27001.
• Firewalls: Múltiples capas de firewalls para proteger nuestra infraestructura.
• Monitoreo 24/7: Sistemas de detección de intrusiones y monitoreo continuo.
• Copias de seguridad: Backups automáticos y redundantes diarios.
• Actualizaciones de seguridad: Aplicación regular de parches y actualizaciones.

2.3 Seguridad de aplicaciones

• Desarrollo seguro: Seguimiento de prácticas OWASP en el desarrollo.
• Pruebas de seguridad: Escaneos regulares de vulnerabilidades y pruebas de penetración.
• Protección contra ataques comunes: Implementación contra XSS, CSRF, SQL injection, etc.
• Validación de entrada: Sanitización y validación rigurosa de todos los datos de entrada.
• Autenticación segura: Múltiples factores de autenticación disponibles.

2.4 Control de acceso

• Principio de mínimo privilegio: Los empleados solo tienen acceso a los datos necesarios para sus funciones.
• Autenticación multifactor: Requerida para acceso administrativo.
• Registro de auditoría: Toda la actividad administrativa es registrada y monitoreada.
• Políticas de contraseñas: Contraseñas fuertes requeridas y expiración periódica.
• Control de sesiones: Sesiones automáticamente cerradas después de períodos de inactividad.

3. Seguridad de pagos

Para procesamientos de pago, utilizamos proveedores de pago de nivel 1 PCI DSS:

• Proveedores certificados: Todos nuestros procesadores de pago cumplen con los más altos estándares de seguridad.
• Datos sensibles: Nunca almacenamos números completos de tarjetas de crédito en nuestros servidores.
• Tokenización: Utilizamos tokens seguros para referencias de pago.
• Monitoreo de fraudes: Sistemas automatizados para detección de transacciones sospechosas.
• Verificación 3D Secure: Soporte para autenticación adicional cuando sea requerido.

4. Tu papel en la seguridad

La seguridad es una responsabilidad compartida. Te recomendamos:

• Contraseñas seguras: Utiliza contraseñas únicas y complejas para tu cuenta.
• Autenticación multifactor: Activa la autenticación en dos pasos cuando esté disponible.
• Dispositivos seguros: Mantén tu sistema operativo y navegador actualizados.
• Conexiones seguras: Evita el uso de redes Wi-Fi públicas para acceder a información sensible.
• Vigilancia de actividad: Revisa regularmente la actividad de tu cuenta.
• Correos sospechosos: No hagas clic en enlaces de correos no solicitados.
• Cierre de sesión: Cierra sesión cuando uses dispositivos compartidos.

5. Respuesta a incidentes de seguridad

Contamos con un protocolo de respuesta a incidentes que incluye:

• Detección: Monitoreo continuo para identificar posibles incidentes.
• Evaluación: Análisis rápido para determinar el alcance y gravedad.
• Contención: Medidas inmediatas para limitar el impacto.
• Erradicación: Eliminación de la causa raíz del incidente.
• Recuperación: Restauración de sistemas y datos afectados.
• Análisis post-incidente: Lecciones aprendidas y mejoras preventivas.
• Notificación: Comunicación transparente con los usuarios afectados cuando sea requerido por ley.

6. Cumplimiento normativo

EventyFly cumple con las principales regulaciones de protección de datos:

• GDPR: Cumplimiento con el Reglamento General de Protección de Datos de la UE.
• Ley de Protección de Datos: Adhesión a las leyes locales de protección de datos.
• Privacidad por diseño: Incorporación de privacidad desde la fase de diseño.
• Evaluaciones de impacto: Realización de análisis de impacto en la protección de datos.
• Contratos de procesamiento: Acuerdos con proveedores que cumplen con estándares de seguridad.

7. Auditorías y pruebas de seguridad

Realizamos regularmente:

• Pruebas de penetración: Evaluaciones periódicas por expertos externos.
• Escaneos de vulnerabilidades: Análisis automatizados semanales.
• Auditorías de código: Revisiones de seguridad del código fuente.
• Evaluaciones de terceros: Verificación de seguridad de proveedores.
• Pruebas de seguridad de APIs: Evaluación de interfaces de programación.

8. Reportar problemas de seguridad

Si descubres una vulnerabilidad de seguridad en EventyFly, apreciamos tu ayuda para mantener nuestro servicio seguro.

Programa de reporte responsable

• Correo de seguridad: security@eventyfly.app
• Asunto: "Reporte de seguridad"
• Información requerida: Describe claramente la vulnerabilidad.
• No divulgación: Por favor, no divulgues públicamente hasta que hayamos tenido oportunidad de resolverla.
• Respuesta: Confirmaremos la recepción en 48 horas y te mantendremos informado.
• Recompensas: Consideramos recompensas para reportes significativos.

9. Cambios en esta política

Actualizamos periódicamente esta Política de Seguridad para reflejar mejoras en nuestras prácticas de seguridad y cambios en la normativa.

Te notificaremos sobre cambios significativos a través de nuestro sitio web o por correo electrónico cuando sea apropiado.