Declaración de Seguridad

Esta Declaración de Seguridad describe las medidas técnicas y organizativas que Kapsule Group Limited («Kapsule Cloud») implementa para proteger los datos alojados en nuestra plataforma. Se hace referencia a ella en el Acuerdo de Procesamiento de Datos y se actualiza periódicamente para reflejar mejoras en nuestra postura de seguridad.

Nuestro principio fundamental es la defensa en profundidad: implementamos múltiples controles independientes en capas para que ningún fallo único exponga los datos del cliente.

Mantenemos políticas documentadas de seguridad de la información y privacidad, revisadas al menos anualmente y actualizadas cuando cambios materiales en la plataforma o el panorama de amenazas lo requieren.

Un Oficial de Privacidad designado es responsable del cumplimiento de la protección de datos. Las responsabilidades de seguridad se asignan a individuos específicos del equipo de infraestructura.

Todo el personal recibe capacitación en privacidad y seguridad durante la incorporación y anualmente a partir de entonces. El personal con acceso a sistemas de producción está sujeto a verificaciones de antecedentes donde lo permite la ley.

Los incidentes de seguridad y cuasi accidentes se registran, revisan y se utilizan para mejorar los controles de manera continua.

El acceso a los sistemas de producción y los datos de los clientes se rige por controles de acceso estrictos basados en roles, construidos conforme a principios de privilegios mínimos: al personal se le otorga únicamente el acceso que necesita para desempeñar su rol específico.

Se aplica obligatoriamente autenticación de dos factores (2FA) para todo el personal con acceso a la infraestructura de producción, al panel de control de alojamiento, al código fuente y a las consolas del proveedor de nube.

Los derechos de acceso se revisan periódicamente y se revocan con prontitud ante cambios de rol o cese de funciones. Los eventos de acceso y las escaladas de privilegios quedan registrados.

Los entornos de producción y no producción se mantienen estrictamente separados. Los entornos de los clientes están lógicamente aislados entre sí dentro de la plataforma de alojamiento.

Todo acceso administrativo a los servidores de producción se autentica mediante pares de claves SSH; la autenticación SSH basada en contraseña está deshabilitada.

Todos los datos en tránsito entre los clientes y nuestra plataforma se cifran utilizando TLS 1.2 o superior. Los certificados TLS se emiten automáticamente y se renuevan antes de su vencimiento.

Las copias de seguridad fuera del sitio se cifran utilizando restic con AES-256. Las claves de cifrado se almacenan por separado de los datos de copia de seguridad y se respaldan sin conexión. La pérdida de la clave hace que los datos de copia de seguridad sean irrecuperables, por lo que las claves se mantienen en múltiples ubicaciones seguras sin conexión.

Las copias de seguridad cifradas se almacenan en almacenamiento de objetos Cloudflare R2, región Oceanía, proporcionando separación geográfica de nuestra infraestructura principal de Hetzner.

Los datos sensibles de la plataforma (incluidos secretos, claves API y credenciales) se almacenan en sistemas dedicados de gestión de secretos y nunca se incrustan en el código fuente o archivos de configuración registrados en control de versiones.

Los servicios orientados al cliente están protegidos por el cortafuegos de aplicaciones web (WAF) de Cloudflare y la mitigación de DDoS, que absorben los ataques volumétricos y de capa de aplicación antes de que lleguen a nuestra infraestructura.

Los entornos de alojamiento del cliente están segmentados en la red: cada sitio se ejecuta en un contexto aislado y no puede acceder a los datos de otros clientes en la capa de red.

Los sistemas operativos, software de plataforma y dependencias de aplicaciones se actualizan regularmente. Los parches de seguridad críticos se aplican dentro de 24-72 horas después de su lanzamiento. La infraestructura expuesta a Internet se analiza regularmente para detectar vulnerabilidades conocidas.

Las reglas de cortafuegos restringen el acceso entrante a los puertos y servicios mínimos necesarios. Los servicios innecesarios se desactivan de forma predeterminada.

Se realizan pruebas de penetración periódicas por evaluadores independientes calificados. Los hallazgos materiales se remedian y se vuelven a probar.

Los eventos de acceso, cambios de configuración, intentos de autenticación y eventos del sistema relevantes para la seguridad se registran en un sistema de registro centralizado. Los registros se conservan durante un mínimo de 90 días.

La salud de la plataforma y las señales de seguridad se monitorean 24x7. Las alertas se enrutan al personal de guardia para su investigación inmediata.

Mantenemos un plan documentado de respuesta ante incidentes con niveles de gravedad definidos, rutas de escalada y procedimientos de comunicación. El plan se revisa y prueba como mínimo una vez al año.

En caso de una Brecha de Privacidad Notificable confirmada que afecte Información Personal del Cliente, notificaremos a los clientes afectados dentro de 72 horas de haber tomado conocimiento, según lo requerido por la Privacy Act 2020 y el Data Processing Agreement.

Sentry se utiliza para el seguimiento de errores en tiempo real y el monitoreo del desempeño de aplicaciones en toda la pila de plataforma.

Los archivos del sitio del cliente, las bases de datos y los datos de correo electrónico se respaldan diariamente en Cloudflare R2 (región Oceanía) utilizando restic. Los respaldos se cifran en reposo con AES-256.

La retención de respaldos es de un mínimo de 30 días en todos los planes pagos. Los planes superiores incluyen instantáneas semanales y mensuales adicionales. Consulte el Acuerdo de Nivel de Servicio para obtener detalles de retención específicos del plan.

Los procedimientos de restauración se documentan en nuestros runbooks internos y se prueban periódicamente. El equipo de plataforma realiza simulacros de restauración para validar la integridad de los respaldos.

El código base de la plataforma Kapsule Cloud (incluidos los scripts de configuración y aprovisionamiento) se respalda diariamente en repositorios privados de GitHub en la organización kapsulenz, proporcionando una ruta de recuperación independiente para la plataforma en sí.

Los procedimientos de recuperación ante desastres para cada componente de infraestructura (servidor de alojamiento, servidor de correo, portal) se documentan con tiempos de recuperación objetivo de 2 a 4 horas dependiendo del componente y del tamaño de los datos.

Todo el personal con acceso a datos de clientes está obligado por compromisos de confidencialidad, ya sea por contrato o por ley.

Mantenemos acuerdos de tratamiento de datos por escrito con todos los sub-encargados del tratamiento. Estos acuerdos requieren que los sub-encargados implementen protecciones no menos protectoras que las de nuestro Acuerdo de Tratamiento de Datos, incluyendo obligaciones de confidencialidad, seguridad y tratamiento con propósito limitado.

Nuestra lista de sub-encargados del tratamiento se revisa al menos anualmente para evaluar su idoneidad continuada. Los sub-encargados se evalúan conforme a nuestros requisitos de seguridad mínimos antes de su contratación.

La lista actual de sub-encargados del tratamiento se publica en kapsulecloud.com/legal/sub-processors.

Los servidores de producción se operan en centros de datos de Hetzner en Alemania. Las instalaciones de Hetzner tienen una clasificación Tier III o equivalente y proporcionan: acceso físico controlado con autenticación multifactor en los puntos de entrada; personal de seguridad disponible 24x7 en las instalaciones; alimentación redundante (UPS y generadores diésel); sistemas de refrigeración redundantes; detección y supresión de incendios.

El acceso físico al hardware del servidor está restringido al personal autorizado de Hetzner. El personal de Kapsule Cloud no tiene acceso físico rutinario al hardware de producción; todo acceso administrativo se realiza de forma remota a través de canales cifrados.

Los medios de almacenamiento retirados del servicio se borran de forma segura o se destruyen de conformidad con los procedimientos del centro de datos de Hetzner antes de su reutilización o eliminación.

Seguimos un ciclo de vida seguro de desarrollo de software. Todos los cambios de código en producción requieren revisión de código obligatoria por pares antes del despliegue. El análisis automatizado de dependencias se ejecuta en cada compilación para identificar vulnerabilidades conocidas en paquetes de terceros.

Los secretos se gestionan mediante un sistema dedicado de gestión de secretos. No se confirman credenciales, claves API ni valores de configuración sensible en los repositorios de código fuente.

Las pruebas previas al lanzamiento incluyen pruebas funcionales, de regresión y enfocadas en seguridad. Los cambios en los flujos de autenticación, pago o manejo de datos reciben escrutinio adicional.

La entrada del usuario final se valida y desinfecta en todos los límites de la aplicación. Aplicamos defensas estándar contra los riesgos incluidos en OWASP Top 10, incluyendo inyección SQL, secuencias de comandos entre sitios y falsificación de solicitudes entre sitios.

Autenticación de KPanel: las contraseñas se cifran con Argon2id (resistente a memoria, resistente al descifrado por GPU). Las nuevas contraseñas se verifican contra la base de datos Have I Been Pwned mediante búsqueda de prefijo de k-anonimato antes de ser aceptadas. El inicio de sesión admite autenticación de dos factores basada en TOTP, códigos de un solo uso por SMS y llaves de hardware (WebAuthn/FIDO2). El inicio de sesión OAuth se admite a través de Google, GitHub e Apple Sign In, cada uno verificado contra el punto final JWKS del proveedor. El inicio de sesión por enlace mágico por correo electrónico tiene un límite de velocidad de tres solicitudes por hora por dirección y está disponible como método de recuperación. Los tokens de sesión son criptográficamente aleatorios, se almacenan cifrados en la base de datos y vencen después de 30 días de inactividad.

Los datos del cliente se segregan lógicamente en las capas de alojamiento, base de datos y aplicación. Los archivos, bases de datos y cuentas de correo electrónico de cada cliente se aíslan bajo cuentas de sistema separadas sin acceso entre clientes.

Cuando un cliente rescinde su servicio, la Información Personal del Cliente se pone a disposición para exportación durante 30 días, y luego se elimina permanentemente de los sistemas en vivo. Las copias de seguridad cifradas se purgan en el siguiente ciclo de rotación programado, dentro de 30 días después de la eliminación de los sistemas en vivo.

Los procedimientos documentados de eliminación de datos garantizan que los datos se eliminen de todos los sistemas relevantes, incluidas las bases de datos en vivo, cachés y almacenamiento de aplicaciones, no solo del almacén de datos principal.

Los procedimientos para gestionar solicitudes de Asuntos de Datos (acceso, corrección, eliminación) están documentados y probados. Las herramientas de exportación de KPanel permiten a los clientes recuperar sus datos en cualquier momento durante el período de vigencia del servicio.

Si tiene preguntas sobre nuestras prácticas de seguridad o desea informar de una vulnerabilidad sospechada, póngase en contacto con nosotros en [email protected].

Kapsule Group Limited, Christchurch, Nueva Zelanda.