1. Medidas técnicas
Serviconce implementa las siguientes medidas técnicas para proteger sus datos:
🔒
HTTPS obligatorio
Todo el tráfico entre su dispositivo y nuestros servidores viaja cifrado con TLS. HTTP no está permitido.
🔑
Hashing de contraseñas
Las contraseñas se almacenan como hash con bcrypt. Nunca guardamos contraseñas en texto plano.
🛡️
Protección CSRF
Todos los formularios incluyen tokens CSRF únicos por sesión para prevenir ataques de falsificación de solicitud.
💉
Prevención de SQL injection
Usamos consultas preparadas con parámetros (PDO) en todas las interacciones con la base de datos.
🚫
Protección XSS
Toda salida de datos de usuario se escapa con htmlspecialchars() antes de mostrarse en pantalla.
⏱️
Rate limiting
El login y los formularios públicos tienen límite de intentos por IP para prevenir ataques de fuerza bruta.
🍪
Cookies seguras
Las cookies de sesión tienen los flags HttpOnly, Secure y SameSite=Lax activos.
🤖
Panel protegido
La Consola requiere sesión autenticada. La sesión expira automáticamente tras 8 horas de inactividad.
2. Medidas organizacionales
- Acceso mínimo: solo las personas estrictamente necesarias tienen acceso a los datos de producción.
- Separación de ambientes: los entornos de desarrollo y producción están separados. No se usan datos reales en desarrollo.
- Revisión periódica: revisamos regularmente los permisos de acceso y las dependencias del sistema.
- Actualizaciones de seguridad: aplicamos parches y actualizaciones del servidor y del software de manera oportuna.
- Archivos de configuración sensibles: las credenciales de base de datos y claves de API se almacenan en archivos de configuración excluidos del control de versiones.
3. Dónde se almacenan los datos
Los datos de Serviconce se almacenan en servidores de Hostinger, ubicados en Lituania, Unión Europea.
- Hostinger cumple con el Reglamento General de Protección de Datos (GDPR) de la UE.
- Los centros de datos cuentan con acceso físico restringido, energía redundante y sistemas contra incendios.
- La conexión entre nuestra aplicación y la base de datos es interna al servidor (no expuesta a internet).
4. Gestión de contraseñas
- Las contraseñas se transforman con el algoritmo bcrypt (cost factor ≥ 10) antes de almacenarse. Esto hace computacionalmente inviable recuperar la contraseña original.
- Serviconce nunca puede ver su contraseña. Si la olvida, solo puede restablecerla mediante el enlace enviado a su correo.
- Los enlaces de restablecimiento de contraseña son de un solo uso y expiran en 1 hora.
- Recomendamos usar contraseñas únicas de al menos 12 caracteres y un gestor de contraseñas.
5. Acceso y control de sesiones
- Las sesiones de la Consola expiran automáticamente tras 8 horas de inactividad.
- El ID de sesión se regenera al iniciar sesión y ante cambios de plan para prevenir ataques de fijación de sesión.
- Si su plan vence o su cuenta es desactivada, la sesión se cierra inmediatamente en la próxima carga de página.
- El panel de administración está separado del panel de prestadores y requiere credenciales distintas.
6. Pagos seguros
Serviconce no almacena datos de tarjetas de crédito. Todos los pagos del Plan Pro son procesados directamente por Mercado Pago, que opera bajo los más altos estándares de seguridad financiera (certificación PCI DSS).
Nuestra plataforma solo recibe la confirmación del estado del pago (aprobado / rechazado) y un ID de referencia de la transacción, sin datos sensibles de la tarjeta.
Las comunicaciones con la API de Mercado Pago se realizan mediante conexiones HTTPS y se validan con firmas criptográficas (webhooks).
7. Copias de respaldo
- Hostinger realiza copias de seguridad automáticas de los datos del servidor con periodicidad semanal.
- Adicionalmente, realizamos respaldos manuales de la base de datos de forma periódica.
- Las copias de respaldo se almacenan en ubicaciones separadas para garantizar la recuperación ante desastres.
A pesar de estas medidas, ningún sistema de backup es infalible. Le recomendamos exportar periódicamente los datos críticos de su negocio desde la Consola (cotizaciones en PDF, listado de clientes, etc.).
8. Respuesta ante incidentes de seguridad
En caso de detectarse una brecha de seguridad que afecte datos personales, Serviconce se compromete a:
- Contener el incidente a la brevedad posible (objetivo: menos de 24 horas desde la detección).
- Evaluar el alcance: qué datos se vieron comprometidos y cuántos usuarios afectados.
- Notificar a los usuarios afectados por correo electrónico en un plazo máximo de 72 horas desde la confirmación del incidente, detallando qué ocurrió y qué medidas se tomarán.
- Reportar a las autoridades competentes si la normativa chilena o la gravedad del incidente así lo requieren.
- Implementar correcciones y publicar un resumen del incidente y las medidas adoptadas.
9. Responsabilidad del usuario
La seguridad es una responsabilidad compartida. Para proteger su cuenta le recomendamos:
- Usar una contraseña única y segura para Serviconce (no la misma que en otros servicios).
- No compartir sus credenciales de acceso con terceros.
- Asegurarse de hacer logout al usar dispositivos compartidos o públicos.
- Mantener actualizado el sistema operativo y el navegador de su dispositivo.
- Notificarnos de inmediato si sospecha que su cuenta ha sido comprometida, escribiendo a contacto@serviconce.cl.
Serviconce no se responsabiliza por accesos no autorizados derivados de la divulgación voluntaria o negligente de credenciales por parte del usuario.
10. Reporte de vulnerabilidades
Si descubre una vulnerabilidad de seguridad en Serviconce, le pedimos que nos lo informe de manera responsable antes de divulgarlo públicamente:
Correo de seguridad: contacto@serviconce.cl
Asunto:
"Vulnerabilidad de seguridad"
Por favor incluya: descripción del problema, pasos para reproducirlo, impacto potencial y, si está disponible, una posible solución.
Nos comprometemos a responder en un plazo de 5 días hábiles, a investigar el reporte con seriedad y a notificarle cuando el problema sea corregido. Agradecemos profundamente la colaboración de la comunidad en mantener la plataforma segura.