Skip to content
Seguridad

Cómo protegemos tus datos y los de tus clientes

Seguridad por diseño en cada capa de Nuvlyx: cifrado, aislamiento multi-tenant, control de accesos, respuesta a incidentes y cumplimiento normativo.

1. Nuestro compromiso

En Nuvlyx, operada por Moshipp SAS, tratamos la seguridad de la información como un pilar del servicio, no como un add-on. Nuestro modelo se basa en principios de defensa en profundidad, mínimo privilegio y cero confianza implícita, aplicados en infraestructura, aplicación y procesos. Este documento describe las medidas técnicas y organizativas que aplicamos para proteger la información de los Owners y sus clientes finales.

2. Cifrado y transmisión

  • En reposo: todos los datos sensibles se cifran con AES-256. Las credenciales y tokens se almacenan usando algoritmos resistentes a colisiones y no se guardan nunca en texto plano.
  • En tránsito: toda la comunicación cliente-servidor utiliza TLS 1.3 con perfect forward secrecy. Redirigimos automáticamente HTTP a HTTPS y aplicamos políticas HSTS.
  • Secretos: las claves y credenciales de integraciones (por ejemplo, Bancolombia OAuth2) se almacenan en un almacén de secretos tipo Vault con control granular de acceso y rotación.

3. Aislamiento multi-tenant

La arquitectura de Nuvlyx es multi-tenant: cada Owner opera en su propio tenant lógico. Protegemos ese aislamiento con Row Level Security (RLS) a nivel de base de datos, de modo que la regla de aislamiento no dependa de la aplicación: aun en caso de error lógico o intento de fuga, la base de datos rechaza consultas cruzadas entre tenants.

Las capas de cache, colas y almacenamiento de archivos también aplican claves de tenant para mantener el aislamiento fuera de la capa transaccional.

4. Control de accesos

  • Autenticación: inicio de sesión con email y contraseña robusta, con soporte para autenticación multifactor (MFA) y proveedores OAuth según plan.
  • Autorización: modelo basado en roles (RBAC) para cuentas de staff dentro del Owner, con el principio de mínimo privilegio.
  • Sesiones: los tokens expiran tras un período de inactividad, se rotan tras cambios de contraseña y pueden ser revocados en tiempo real desde el panel.
  • Rate limiting: límites de solicitudes a nivel de IP, usuario y endpoint para mitigar credential stuffing, brute force y abuso de API.
  • Accesos internos: sólo personal autorizado accede a datos de producción, con segregación de funciones, auditoría y autenticación multifactor obligatoria.

5. Infraestructura

Utilizamos proveedores cloud reconocidos con certificaciones de seguridad de clase mundial (por ejemplo, ISO 27001, SOC 2). Los servicios se despliegan sobre redes privadas con firewalls, segmentación por capas y reglas deny-by-default. El tráfico de entrada pasa por un CDN con mitigación de DDoS y reglas WAF para patrones de ataque conocidos.

Las dependencias de código se mantienen actualizadas mediante escaneos automáticos de vulnerabilidades y revisiones periódicas.

6. Respaldos y recuperación

  • Copias automáticas de las bases de datos, almacenadas en una región distinta a la región primaria.
  • Retención mínima de 30 días, con versiones point-in-time para recuperación fina.
  • Pruebas de restauración periódicas para validar la integridad de los respaldos.
  • Plan Custom/Scale: ofrecemos backups dedicados con frecuencias personalizadas y SLA de recuperación.

7. Monitoreo y auditoría

Registramos eventos de autenticación, modificaciones administrativas, acciones críticas y errores del sistema. Los registros son inmutables dentro de su período de retención y se usan tanto para investigación de incidentes como para auditoría operativa. Las alertas se disparan automáticamente ante patrones anómalos (por ejemplo, volúmenes inusuales de login fallidos o picos de consumo inexplicables).

8. Gestión de vulnerabilidades

Aplicamos un ciclo continuo de identificación, priorización y remediación de vulnerabilidades:

  • Escaneos automáticos en el pipeline de despliegue (SAST y SCA).
  • Revisión manual de código para cambios sensibles.
  • Pruebas periódicas de penetración (pentest) en componentes críticos.
  • Parcheo oportuno de dependencias y sistemas operativos.

9. Respuesta a incidentes

Disponemos de un plan de respuesta a incidentes que incluye detección, contención, erradicación, recuperación y lecciones aprendidas. Cuando un incidente impacte datos personales, notificaremos a los Owners y, cuando corresponda, a la autoridad competente (Superintendencia de Industria y Comercio en Colombia) dentro de los plazos legales aplicables.

10. Cumplimiento

Operamos en Colombia bajo la Ley 1581 de 2012 y el Decreto 1377 de 2013, y alineamos nuestras prácticas con marcos internacionales reconocidos. Detalles específicos de certificaciones y auditorías vigentes pueden solicitarse a hola@nuvlyx.com.

11. Reportar un problema de seguridad

Si descubres una vulnerabilidad o sospechas de un incidente, por favor escríbenos a hola@nuvlyx.com con el mayor detalle posible (pasos para reproducir, impacto estimado, evidencia). Investigamos todos los reportes de buena fe y, cuando corresponda, reconocemos públicamente a quienes contribuyen a mejorar la seguridad de la plataforma. Agradecemos que no divulgues públicamente el hallazgo hasta haber coordinado con nosotros una ventana razonable de remediación.