Seguridad

Zero Trust por diseño

Cada servicio asume que ya ha sido comprometido. La confianza a nivel de red nunca se otorga de forma implícita. Toda la comunicación entre servicios está autenticada mutuamente, cifrada en tránsito (TLS 1.2+) y autorizada mediante políticas de acceso granulares.

Identidad y acceso

Todo acceso administrativo requiere autenticación multifactor (TOTP). Las sesiones tienen una duración máxima de 8 horas, se vinculan al rango de IP de origen y se invalidan en el cierre de sesión o ante actividad sospechosa. Se aplica un modelo de control de acceso basado en roles con mínimos privilegios en todos los recursos.

Cifrado de datos

Los datos en reposo se cifran mediante AES-256. Los secretos (claves API, credenciales) se almacenan en un gestor de secretos dedicado y nunca en variables de entorno o repositorios de código. Las copias de seguridad están cifradas y se prueban trimestralmente.

Nuestra plataforma está diseñada y operada conforme a los controles de NIS2, ENS (Esquema Nacional de Seguridad) e ISO 27001. Realizamos evaluaciones de seguridad anuales por terceros independientes. Los clientes de sectores regulados (financiero, sanitario, infraestructuras críticas) pueden solicitar nuestra documentación de cumplimiento bajo acuerdo de confidencialidad.

La seguridad está integrada en cada fase del ciclo de desarrollo. Realizamos análisis estático automatizado (SAST) y escaneado de vulnerabilidades en dependencias en cada commit. Los flujos críticos son revisados manualmente por un ingeniero especializado en seguridad antes de la integración. Mantenemos un registro privado de hallazgos de seguridad con plazos de remediación sujetos a SLA.

Operamos una guardia de seguridad 24/7 para incidentes. En caso de brecha de seguridad confirmada que afecte a datos personales, notificaremos a los clientes afectados y, cuando lo exija el RGPD, a la autoridad supervisora competente (AEPD) en un plazo de 72 horas desde que tengamos conocimiento del incidente. Los informes post-incidente se comparten con los clientes afectados.

Cómo reportar

Si descubres una vulnerabilidad de seguridad en algún servicio de SkyDefended, comunícala a security@nexocyber-networks.com. Cifra la información sensible con nuestra clave PGP (disponible bajo solicitud). Te pedimos que no divulgues públicamente el hallazgo hasta que hayamos tenido la oportunidad de investigarlo y resolverlo.

Nuestros compromisos

Acusaremos recibo de tu informe en 48 horas, proporcionaremos una actualización de estado en 7 días y te notificaremos cuando el problema esté resuelto. No emprendemos acciones legales contra investigadores que actúen de buena fe y sigan esta política. Reconocemos públicamente a los investigadores que divulguen de forma responsable vulnerabilidades válidas, salvo que prefieran permanecer en el anonimato.

Alcance

En alcance: todos los servicios de producción de SkyDefended en *.skydefended.com. Fuera de alcance: ataques de denegación de servicio, ingeniería social sobre el personal, pruebas de seguridad física y spam. No accedas, modifiques ni elimines datos de clientes más allá de lo estrictamente necesario para demostrar la vulnerabilidad.

Para todos los asuntos de seguridad: security@nexocyber-networks.com. Para incidentes urgentes fuera del horario laboral, incluye 'URGENTE' en el asunto y escalaremos al técnico de guardia en menos de una hora.