Política de Seguridad
Última actualización: 1 de diciembre de 2024
SEGURIDAD PRIMERO: Whispie implementa medidas de seguridad líderes en la industria para proteger los datos sensibles del bebé y la familia. Nuestro programa de seguridad está diseñado para cumplir o superar los estándares de seguridad globales.
1. Filosofía de Seguridad
En Whispie, la seguridad es fundamental para nuestra misión de proteger la información más sensible de las familias. Implementamos una estrategia de defensa en profundidad con múltiples capas de controles de seguridad para garantizar una protección integral de todos los datos que nos confían.
Nuestra filosofía de seguridad se basa en tres principios fundamentales:
- Privacidad por Diseño: Las consideraciones de seguridad y privacidad se integran en cada etapa del desarrollo
- Arquitectura de Confianza Cero: Verificar explícitamente, usar acceso de mínimo privilegio y asumir que habrá brechas
- Mejora Continua: Evaluaciones de seguridad regulares y monitoreo proactivo de amenazas
2. Certificaciones y Cumplimiento de Seguridad
2.1 Marcos de Cumplimiento
Whispie se alinea con múltiples estándares y marcos de seguridad internacionales:
| Marco | Estado | Alcance |
| SOC 2 Tipo II | En Progreso | Seguridad, Disponibilidad, Confidencialidad |
| ISO 27001 | Previsto para 2025 | Gestión de Seguridad de la Información |
| GDPR | Cumplidor | Protección de Datos y Privacidad |
| CCPA/CPRA | Cumplidor | Privacidad de California |
| KVKK | Cumplidor | Protección de Datos de Turquía |
| HIPAA | Directrices Seguidas | Privacidad de Información de Salud |
2.2 Cumplimiento Regional
Whispie mantiene el cumplimiento con las regulaciones de protección de datos en todas las regiones donde opera:
- Unión Europea: Cumplimiento con GDPR con Representante en la UE
- Reino Unido: Cumplimiento con UK-GDPR
- Estados Unidos: Leyes de privacidad específicas de cada estado incluyendo CCPA, CPA, VCDPA
- Turquía: Cumplimiento con KVKK con registro en VERBIS
- Oriente Medio: Cumplimiento con PDPL (KSA), Ley de Datos de UAE
- Asia-Pacífico: Cumplimiento con PDPA (Singapur), APPI (Japón)
3. Controles Técnicos de Seguridad
3.1 Seguridad de Infraestructura
| Área de Control | Implementación | Proveedor |
| Infraestructura en la Nube | Arquitectura en la nube segura y escalable con redundancia multi-zona | AWS, Supabase |
| Seguridad de Red | VPC, grupos de seguridad, WAF, protección DDoS | Cloudflare, AWS |
| Cifrado | TLS 1.3 en tránsito, AES-256 en reposo | Supabase, AWS |
| Respaldo y Recuperación | Respaldos diarios automatizados, retención de 30 días | Supabase, AWS |
3.2 Seguridad de Aplicaciones
Ciclo de Vida de Desarrollo Seguro (SDL):
- Modelado de amenazas durante la fase de diseño
- Análisis de código estático y dinámico
- Escaneo de dependencias de terceros
- Requisitos de revisión de código seguro
- Pruebas de penetración semestrales
Autenticación y Autorización:
- Aplicación de autenticación multifactor (MFA)
- Control de acceso basado en roles (RBAC)
- Principio de mínimo privilegio
- Gestión de sesiones con tiempo de espera seguro
- Aplicación de políticas de contraseñas
3.3 Seguridad de Datos
Clasificación de Datos:
| Clasificación | Ejemplos | Nivel de Protección |
| Altamente Sensible | Datos de salud, registros de vacunación | Cifrado máximo, controles de acceso estrictos |
| Sensible | Información personal, datos de contacto | Cifrado fuerte, acceso basado en roles |
| Interno | Registros de aplicaciones, datos analíticos | Cifrado, registro de acceso |
Cifrado de Datos:
- En Tránsito: TLS 1.2+ para todas las transmisiones de datos
- En Reposo: Cifrado AES-256 para bases de datos y almacenamiento
- Gestión de Claves: AWS KMS con rotación regular de claves
- Cifrado de Extremo a Extremo: Para el intercambio de datos de salud sensibles
4. Seguridad Organizacional
4.1 Seguridad de Empleados
- Verificaciones de Antecedentes: Investigación previa al empleo para todos los empleados
- Capacitación en Seguridad: Capacitación anual de concienciación sobre seguridad
- Acuerdos de Confidencialidad: Firmados por todos los empleados y contratistas
- Revisiones de Acceso: Revisiones trimestrales de derechos de acceso
- Capacitación en Respuesta a Incidentes: Ejercicios regulares de simulación
4.2 Políticas de Seguridad
- Política de Uso Aceptable: Directrices para el uso apropiado del sistema
- Política de Manejo de Datos: Procedimientos para la clasificación y protección de datos
- Plan de Respuesta a Incidentes: Procedimientos documentados para incidentes de seguridad
- Plan de Continuidad del Negocio: Procedimientos de recuperación ante desastres y continuidad del negocio
- Política de Seguridad de Proveedores: Requisitos para proveedores externos
5. Seguridad de Terceros
5.1 Evaluación de Seguridad de Proveedores
Todos los proveedores externos se someten a evaluación de seguridad antes de la integración:
| Proveedor | Servicio | Certificaciones de Seguridad | Procesamiento de Datos |
| Supabase | Base de Datos y Autenticación | SOC 2, GDPR | Subencargado |
| Stripe | Pagos | PCI DSS Nivel 1, SOC 2 | Procesador de Pagos |
| Twilio | SMS | SOC 2, ISO 27001 | Subencargado |
| Cloudflare | Seguridad y DNS | SOC 2, ISO 27001 | Infraestructura |
| Sentry | Seguimiento de Errores | SOC 2, GDPR | Subencargado |
5.2 Gestión de Subencargados
Mantenemos Addendums de Procesamiento de Datos (APDs) con todos los subencargados y revisamos regularmente su postura de seguridad.
6. Respuesta a Incidentes
6.1 Plan de Respuesta a Incidentes
Nuestro plan de respuesta a incidentes sigue el marco NIST:
- Preparación: Procedimientos documentados y equipo capacitado
- Detección y Análisis: Sistemas de monitoreo y alertas
- Contención: Acción inmediata para limitar el impacto
- Erradicación: Eliminación de las causas de la amenaza
- Recuperación: Restauración de sistemas y servicios
- Actividad Post-Incidente: Lecciones aprendidas y mejoras
6.2 Notificación de Violaciones
En caso de una violación de datos, Whispie:
- Notificará a los usuarios afectados dentro de las 72 horas de su descubrimiento
- Cooperará con las autoridades reguladoras según sea necesario
- Proporcionará información clara sobre la violación y las medidas tomadas
- Ofrecerá servicios de monitoreo de crédito si corresponde
7. Monitoreo y Pruebas de Seguridad
7.1 Monitoreo Continuo
- SIEM: Monitoreo de Información y Eventos de Seguridad
- IDS/IPS: Sistemas de Detección y Prevención de Intrusiones
- Escaneo de Vulnerabilidades: Escaneo automatizado regular
- Análisis de Registros: Registro centralizado y análisis
- Inteligencia de Amenazas: Monitoreo proactivo de amenazas
7.2 Pruebas de Seguridad
- Pruebas de Penetración: Pruebas de penetración externas anuales
- Programa de Divulgación Responsable: Programa de divulgación responsable
- Revisión de Código: Todo el código se somete a revisión de seguridad
- Escaneo de Dependencias: Escaneo automatizado de vulnerabilidades
- Auditorías de Seguridad: Auditorías internas y externas regulares
8. Seguridad Física y Ambiental
8.1 Seguridad del Centro de Datos
Whispie utiliza centros de datos de nivel empresarial con:
- Seguridad física y monitoreo las 24/7
- Controles de acceso biométrico
- Sistemas redundantes de energía y refrigeración
- Sistemas de detección y supresión de incendios
- Monitoreo ambiental
8.2 Seguridad de Oficinas
Nuestras oficinas corporativas implementan:
- Sistemas de control de acceso
- Procedimientos de gestión de visitantes
- Eliminación segura de documentos
- Política de escritorio limpio
- Requisitos de cifrado de dispositivos
9. Continuidad del Negocio y Recuperación ante Desastres
9.1 Plan de Continuidad del Negocio
- RTO (Objetivo de Tiempo de Recuperación): 4 horas para sistemas críticos
- RPO (Objetivo de Punto de Recuperación): 1 hora para datos críticos
- Estrategia de Respaldo: Respaldos diarios automatizados con georredundancia
- Recuperación ante Desastres: Procedimientos documentados de DR y pruebas regulares
9.2 Alta Disponibilidad
Whispie mantiene un tiempo de actividad del 99.9% mediante:
- Balanceo de carga y escalado automático
- Implementación en múltiples zonas
- Replicación de bases de datos y conmutación por error
- CDN para entrega de contenido estático
10. Capacitación en Concienciación sobre Seguridad
10.1 Capacitación de Empleados
Todos los empleados completan una capacitación exhaustiva en seguridad que incluye:
- Principios de protección de datos y privacidad
- Concienciación sobre phishing e ingeniería social
- Seguridad de contraseñas y MFA
- Procedimientos de notificación de incidentes
- Prácticas de desarrollo seguro
10.2 Educación Continua
- Actualizaciones trimestrales de concienciación sobre seguridad
- Ejercicios de simulación de phishing
- Boletines y circulares de seguridad
- Requisitos anuales de certificación en seguridad
11. Gobernanza de la Política
11.1 Revisión de la Política
Esta Política de Seguridad se revisa y actualiza:
- Anualmente como parte de nuestra revisión del programa de seguridad
- Después de incidentes de seguridad significativos
- Cuando se introducen nuevas regulaciones o estándares
- Después de cambios importantes en el sistema o la infraestructura
11.2 Monitoreo de Cumplimiento
Monitoreamos continuamente el cumplimiento mediante:
- Herramientas automatizadas de verificación de cumplimiento
- Auditorías internas regulares
- Evaluaciones externas de seguridad
- Monitoreo de cambios regulatorios
12. Contacto e Informes
12.1 Contactos de Seguridad
Para consultas relacionadas con la seguridad o para informar sobre problemas de seguridad:
Equipo de Seguridad: [email protected]
Equipo de Privacidad: [email protected]
Informes de Abuso: [email protected]
12.2 Notificación de Vulnerabilidades
Agradecemos las divulgaciones responsables de vulnerabilidades. Por favor, informe las vulnerabilidades de seguridad a [email protected] con:
- Descripción detallada de la vulnerabilidad
- Pasos para reproducirla
- Evaluación del impacto potencial
- Su información de contacto
COMPROMISO DE SEGURIDAD: Whispie se compromete a mantener los más altos estándares de seguridad para proteger la información sensible de nuestros usuarios. Invertimos continuamente en medidas de seguridad y actualizamos regularmente nuestras prácticas para abordar las amenazas en evolución.