UWOD

Política de seguridad de la información

Versión pública resumida de cómo AppByte Tecnología e Informática SpA protege el Servicio UWOD y los datos del Cliente. Complementa la Política de privacidad, el DPA y el SLA.

1. Principios

Confidencialidad, integridad, disponibilidad y resiliencia razonable, proporcionales al riesgo y al estado de la técnica. AppByte no garantiza seguridad absoluta: las medidas declaradas reflejan la configuración vigente y pueden evolucionar.

2. Medidas técnicas

  • Transporte: cifrado en tránsito conforme a la configuración vigente de Cloudflare y de los demás proveedores listados en Subencargados.
  • Reposo: cifrado en reposo según las capacidades del proveedor de base de datos (MongoDB Atlas) y de almacenamiento de archivos (Cloudinary).
  • Segregación multi-tenant: aislamiento lógico de los datos por Cliente.
  • Ambientes separados: producción, test y desarrollo, cada uno con bases de datos independientes.
  • Control de acceso: principio de mínimo privilegio, autenticación robusta, doble factor cuando esté disponible, control de cuentas privilegiadas.
  • Logs y auditoría: registro de acciones relevantes y retención conforme a la Política de privacidad.
  • Respaldos: rutinas regulares de respaldo y verificación periódica.
  • Vulnerabilidades: monitoreo, parcheo y revisión periódica de dependencias.
  • Observabilidad: monitoreo de errores (Sentry) y métricas internas (Grafana, Uptime Kuma).

3. Medidas organizativas

  • Acuerdos de confidencialidad con el personal autorizado.
  • Capacitación periódica al equipo en buenas prácticas de seguridad y privacidad.
  • Control de accesos por rol y revocación oportuna tras desvinculaciones o cambios de función.
  • Procedimiento documentado de respuesta a incidentes.
  • Revisión y actualización periódica de esta política.

4. Gestión de incidentes

Ante un incidente de seguridad que pueda afectar Datos del Cliente, AppByte notificará al Cliente sin demora indebida y, cuando sea posible, dentro de 72 horas desde la confirmación interna, con el contenido y alcance descritos en el DPA.

5. Responsabilidad compartida

La seguridad es responsabilidad compartida. El Cliente debe administrar adecuadamente sus Usuarios (coaches, recepción y administradores), mantener credenciales seguras y revocadas en tiempo, activar doble factor cuando esté disponible, proteger sus dispositivos y revisar periódicamente permisos y configuraciones, conforme a los Términos del servicio y a la Política de uso aceptable.

6. Reporte responsable de vulnerabilidades

Agradecemos el reporte responsable de vulnerabilidades a security@uwod.app. Para que el reporte sea recibido como divulgación responsable, solicitamos:

  • no divulgar públicamente la vulnerabilidad antes de su razonable resolución;
  • no realizar ataques destructivos, denegación de servicio ni accesos a datos de terceros;
  • no usar la vulnerabilidad para fines ilícitos o lucrativos;
  • proporcionar pasos claros para reproducir el hallazgo;
  • respetar la legalidad aplicable y las condiciones del Servicio.

AppByte responderá razonablemente a los reportes recibidos y reconocerá públicamente la colaboración cuando la persona reportante lo autorice.

Versión 1.0. Última actualización: 2026-06-26.