Seguridad

1. Cifrado

Todo el tráfico entre dispositivos de Suscriptores y el Servicio está cifrado en tránsito utilizando la Seguridad de la Capa de Transporte (TLS) versión 1.2 o superior. El tráfico interno entre nuestra aplicación y nuestra base de datos está cifrado en tránsito y aislado en una red privada.

Los datos en reposo en la base de datos principal de PostgreSQL y en el almacenamiento de objetos asociado están cifrados utilizando cifrado simétrico estándar de la industria. Las claves de cifrado son gestionadas por el servicio de gestión de claves del proveedor de la nube y se rotan en un horario regular.

2. Autenticación

Magic Monkei utiliza una biblioteca de autenticación estándar de la industria. Las contraseñas se almacenan como hashes salados utilizando un algoritmo de hash de contraseña resistente a la memoria; las contraseñas en texto claro nunca se escriben en disco o registros. Soportamos autenticación de clave de acceso (WebAuthn) y verificación por correo electrónico. Limitamos la tasa de los puntos finales de autenticación para mitigar intentos de relleno de credenciales y fuerza bruta.

3. Manejo de datos de pago

Los datos de tarjetas de pago son recopilados y procesados exclusivamente por Stripe, un proveedor de servicios de nivel 1 de PCI DSS. Magic Monkei no recibe, transmite ni almacena números completos de tarjetas, fechas de vencimiento o valores de verificación de tarjetas. Nuestros sistemas solo mantienen un identificador de cliente de Stripe y los metadatos de facturación necesarios para mostrar el historial de facturación y emitir facturas.

4. Infraestructura

El Servicio se ejecuta en un clúster de Kubernetes autogestionado alojado en una región de nube pública líder. Las cargas de trabajo de producción se ejecutan en espacios de nombres dedicados con políticas de red que restringen el tráfico entre servicios. El acceso a la infraestructura de producción está limitado a un pequeño conjunto de operadores nombrados autenticados a través de inicio de sesión único con autenticación multifactor de clave de hardware; el acceso se registra y es auditable.

Los registros operativos y las trazas distribuidas se transmiten a un proveedor de observabilidad de terceros. Los registros se limpian de datos de tarjetas de pago, valores de contraseñas y tokens de sesión antes de la transmisión.

5. Copias de seguridad y continuidad

Las bases de datos principales se respaldan diariamente. Las copias de seguridad están cifradas en reposo y se almacenan en una región separada del clúster principal. Probamos periódicamente los procedimientos de restauración.

6. Respuesta a incidentes y notificación de violaciones

Magic Monkei mantiene un proceso de respuesta a incidentes que incluye detección, triaje, contención, análisis de causa raíz y remediación. En caso de una violación de datos personales que probablemente resulte en un riesgo para los derechos y libertades de los Suscriptores afectados, notificaremos a la autoridad de supervisión competente dentro de setenta y dos (72) horas de haber tomado conocimiento de la violación, y notificaremos a los Suscriptores afectados sin demora indebida donde lo requiera la ley aplicable.

7. Divulgación de vulnerabilidades

Si descubres una vulnerabilidad de seguridad en el Servicio, infórmala confidencialmente a security@magicmonkei.com (o, si no puedes llegar a esa dirección, a legal@magicmonkei.com). Nos comprometemos a reconocer la recepción dentro de cinco (5) días hábiles y a proporcionar una actualización de estado dentro de diez (10) días hábiles.

Actualmente no operamos un programa de recompensas por errores pagado. Agradecemos a los investigadores en nuestro registro de cambios con su permiso. Pedimos que no explotes la vulnerabilidad más allá de lo necesario para demostrarla, no accedas ni modifiques datos que no sean tuyos, y nos des una oportunidad razonable para remediar antes de la divulgación pública.

8. Tus responsabilidades

La seguridad de la cuenta es compartida. Pedimos que elijas una contraseña fuerte y única (o, preferiblemente, registres una clave de acceso), mantengas seguro el dispositivo en el que recibes códigos de verificación, y nos notifiques de inmediato a security@magicmonkei.com si sospechas que tu cuenta ha sido accedida sin tu autorización.