Seguridad
en cada capa.

Todos los datos que entran y salen de la plataforma Vowly Event se cifran mediante algoritmos estándar del sector. Utilizamos TLS 1.3 con confidencialidad directa perfecta para los datos en tránsito y AES-256 en modo GCM para los datos en reposo en nuestra base de datos principal, el almacenamiento de archivos y las copias de seguridad.

• TLS 1.3 para todas las conexiones cliente-servidor; inclusión en la lista de precarga HSTS
• Cifrado AES-256-GCM en reposo para Firestore, Cloud Storage y copias de seguridad
• Almacenamiento cifrado de credenciales con bcrypt (factor de trabajo 12) y Argon2id para las cuentas más recientes
• Gestión de claves criptográficas a través de Google Cloud KMS con rotación anual de claves

Seguimos el principio de mínimo privilegio en todos los sistemas. El acceso a producción está restringido a un pequeño grupo de ingenieros, requiere autenticación multifactor y toda acción privilegiada se registra con fines de auditoría.

• Control de acceso basado en roles (RBAC) aplicado en todas las herramientas internas
• Claves de seguridad de hardware obligatorias (FIDO2/WebAuthn) para el acceso a producción
• Concesiones de acceso «justo a tiempo» con caducidad automática (normalmente 4 horas)
• Registro de auditoría exhaustivo de todas las acciones administrativas
• Revisiones de acceso trimestrales y baja automatizada en un plazo de 1 hora tras un cambio de rol

Vowly Event se ejecuta en Google Cloud Platform, con la infraestructura principal en la región europe-west3 (Fráncfort) y replicación multirregión por toda la UE. Nuestra infraestructura está diseñada para ofrecer resiliencia, escalabilidad y cumplimiento normativo con los requisitos de residencia de datos de la UE y del Reino Unido.

• Proveedor de la nube: Google Cloud Platform (ISO 27001, SOC 2 Type II, ISO 27017, ISO 27018)
• Región principal: europe-west3 (Fráncfort, Alemania)
• Base de datos: Cloud Firestore con replicación multirregión (eur3)
• CDN y protección DDoS: Cloudflare con limitación de velocidad y mitigación de bots
• Copias de seguridad cifradas diarias con conservación de 35 días y simulacros de restauración trimestrales

Supervisamos la plataforma las 24 horas, todos los días, con alertas automatizadas ante anomalías, eventos de seguridad y degradaciones del rendimiento. Nuestro equipo de respuesta a incidentes está de guardia para abordar las incidencias críticas en cuestión de minutos.

• Supervisión de seguridad en tiempo real ante patrones de inicio de sesión inusuales e intentos de relleno de credenciales
• Supervisión del rendimiento de aplicaciones (APM) con detección de anomalías
• Cortafuegos de aplicaciones web (WAF) y limitación de velocidad en todos los puntos finales públicos
• Análisis continuo de vulnerabilidades en las dependencias (npm audit, Snyk)
• Pruebas de penetración anuales realizadas por terceros con acreditación CREST

La seguridad está integrada en cada etapa de nuestro ciclo de vida de desarrollo de software. Seguimos las mejores prácticas de OWASP y exigimos que todos los cambios de código superen comprobaciones de seguridad automatizadas antes de su despliegue en producción.

• Revisión de código por pares obligatoria para todos los cambios; sin commits directos a las ramas de producción
• Pruebas estáticas de seguridad de aplicaciones (SAST) en cada solicitud de incorporación de cambios
• Análisis de composición de software (SCA) para identificar dependencias vulnerables
• Cabeceras de seguridad automatizadas (CSP, X-Frame-Options, Referrer-Policy)
• Análisis y prevención de secretos mediante hooks de pre-commit de git

A pesar de nuestros mayores esfuerzos, ninguna plataforma es inmune a los incidentes de seguridad. Si detectamos una violación de datos personales, seguimos un plan de respuesta a incidentes documentado y notificaremos a los usuarios afectados y a la ICO del Reino Unido en un plazo de 72 horas, de conformidad con el artículo 33 del RGPD del Reino Unido.

• Plan de respuesta a incidentes documentado con niveles de gravedad definidos
• Rotación de guardias con un SLA de respuesta de 15 minutos para incidentes críticos
• Análisis post mortem y subsanación obligatorios para todos los incidentes P0/P1
• Compromiso de notificación de brechas en 72 horas a las autoridades de control y a los usuarios afectados

Vowly Event está construido sobre una infraestructura con certificaciones de seguridad líderes y está diseñado para cumplir los requisitos de múltiples marcos de privacidad y seguridad.

• RGPD del Reino Unido y RGPD de la UE: cumplimiento total, incluidos los registros del artículo 30 y las EIPD
• Ley de Protección de Datos del Reino Unido de 2018
• PCI DSS: Stripe gestiona todos los datos de pago; nosotros mantenemos un alcance SAQ-A
• Revisiones de seguridad periódicas, auditorías de dependencias y refuerzo de nuestra infraestructura
• SOC 2 Type II: certificación del proveedor de infraestructura (Google Cloud)

Agradecemos la ayuda de la comunidad de seguridad para mantener nuestra plataforma a salvo. Si descubres una vulnerabilidad, infórmala a security@vowly.co con una descripción clara, los pasos para reproducirla y tus datos de contacto. Nos comprometemos a acusar recibo de los informes en un plazo de 48 horas y a colaborar contigo en los plazos de divulgación responsable.