1. Nuestro Compromiso de Seguridad
Guiza Media LLC reconoce que la seguridad es fundamental para mantener la confianza de nuestros clientes y socios. Estamos comprometidos con proteger la confidencialidad, integridad y disponibilidad de todos los datos confiados a nosotros a través de medidas de seguridad integrales, mejora continua y transparencia.
Principios de Seguridad
- Defensa en Profundidad: Múltiples capas de controles de seguridad a lo largo de nuestra infraestructura
- Mínimo Privilegio: Los usuarios y sistemas tienen solo el acceso mínimo necesario
- Mejora Continua: Evaluaciones de seguridad regulares y actualizaciones a nuestras prácticas
- Transparencia: Comunicación abierta sobre nuestra postura de seguridad y cualquier incidente
- Privacidad por Diseño: Consideraciones de seguridad y privacidad integradas en nuestros procesos desde el inicio
Gobernanza de Seguridad
Nuestro programa de seguridad está supervisado por el liderazgo de la empresa e incluye: capacitación de seguridad regular para todos los miembros del equipo, políticas y procedimientos de seguridad documentados, auditorías de seguridad periódicas y evaluaciones, y planificación y prueba de respuesta a incidentes.
2. Seguridad de Infraestructura
2.1 Infraestructura en la Nube
Nuestra infraestructura está alojada en plataformas de nube líderes en la industria que mantienen certificaciones de seguridad robustas:
| Proveedor | Servicio | Certificaciones de Seguridad |
|---|---|---|
| Vercel | Web Hosting & Edge Network | SOC 2 Type II, ISO 27001 |
| AWS | Infraestructura Cloud | SOC 2, ISO 27001, PCI DSS |
2.2 Seguridad de Red
Nuestras medidas de seguridad de red incluyen: Encriptación en Tránsito (todos los datos transmitidos entre usuarios y nuestros servicios usan encriptación TLS 1.3), Protección DDoS (protección automatizada contra ataques de denegación de servicio distribuidos), Firewall de Aplicaciones Web (WAF) (protección contra vulnerabilidades web comunes), Segmentación de Red (aislamiento de sistemas y datos críticos), y Detección/Prevención de Intrusiones (monitoreo continuo de actividad de red sospechosa).
2.3 Seguridad Física
Como empresa completamente remota con infraestructura basada en la nube, confiamos en los controles de seguridad física de nuestros proveedores de servicios, que incluyen: personal de seguridad en el sitio 24/7/365, controles de acceso biométricos, videovigilancia, controles ambientales (supresión de incendios, control climático), y auditorías de seguridad regulares.
3. Protección de Datos
3.1 Clasificación de Datos
Clasificamos los datos según su sensibilidad y aplicamos medidas de protección apropiadas:
| Clasificación | Descripción | Ejemplos |
|---|---|---|
| Confidencial | Datos altamente sensibles que requieren máxima protección | Credenciales de login de clientes, información de pago, datos comerciales propietarios |
| Interno | Datos comerciales solo para uso interno | Información de contacto de clientes, detalles de proyectos, datos de analítica |
| Público | Información destinada a divulgación pública | Contenido de marketing, estudios de caso publicados, contenido público del sitio web |
3.2 Encriptación
Empleamos encriptación para proteger los datos: Datos en Tránsito (todas las comunicaciones usan TLS 1.3 con suites de cifrado fuertes), Datos en Reposo (los datos sensibles están encriptados usando encriptación AES-256), y Gestión de Claves (las claves de encriptación se gestionan de forma segura con rotación regular).
3.3 Retención y Eliminación de Datos
Retenemos los datos solo el tiempo necesario y los eliminamos de forma segura: los períodos de retención de datos se definen en nuestra Política de Privacidad; cuando los datos ya no son necesarios, se eliminan de forma segura o se anonimizan; los métodos de eliminación segura aseguran que los datos no puedan recuperarse.
3.4 Respaldos
Mantenemos respaldos regulares para asegurar la disponibilidad de datos: respaldos diarios automatizados de datos críticos, encriptación de respaldo usando algoritmos estándar de la industria, pruebas regulares de restauración de respaldos, y redundancia geográfica para recuperación ante desastres.
4. Control de Acceso
4.1 Autenticación
Implementamos mecanismos de autenticación fuertes: Requisitos de Contraseña (políticas de contraseñas fuertes que requieren complejidad mínima), Autenticación Multifactor (MFA) (requerida para todo acceso administrativo y a sistemas sensibles), Inicio de Sesión Único (SSO) (donde esté disponible, para reducir la fatiga de contraseñas), y Gestión de Sesiones (tiempo de espera automático de sesión después de períodos de inactividad).
4.2 Autorización
El acceso a sistemas y datos se rige por: Control de Acceso Basado en Roles (RBAC) (acceso basado en responsabilidades laborales), Principio de Mínimo Privilegio (acceso mínimo necesario para cada rol), Revisiones de Acceso Regulares (revisión y validación periódica de derechos de acceso de usuarios), y Revocación Inmediata (eliminación rápida de acceso ante cambio de rol o terminación).
4.3 Seguridad de Cuentas
Para cuentas de clientes e integraciones: almacenamiento seguro de credenciales usando hashing estándar de la industria, no almacenamos contraseñas en texto plano, gestión segura de claves API, y rotación regular de credenciales de cuentas de servicio.
5. Seguridad de Aplicaciones
5.1 Desarrollo Seguro
La seguridad está integrada a lo largo de nuestro ciclo de vida de desarrollo: Requisitos de Seguridad (consideraciones de seguridad incluidas en la planificación), Revisiones de Código (proceso de revisión por pares para identificar problemas de seguridad), Análisis Estático (escaneo automatizado de seguridad de código), y Gestión de Dependencias (actualizaciones regulares y escaneo de vulnerabilidades de componentes de terceros).
5.2 Pruebas de Seguridad
Realizamos varias evaluaciones de seguridad: Pruebas de Penetración (evaluaciones de seguridad regulares por terceros), Escaneo de Vulnerabilidades (escaneo automatizado de vulnerabilidades conocidas), y Auditorías de Seguridad (revisiones de seguridad integrales periódicas).
5.3 Protecciones contra Vulnerabilidades Comunes
Nuestras aplicaciones están protegidas contra vulnerabilidades de seguridad comunes: prevención de Inyección SQL a través de consultas parametrizadas, protección contra Cross-Site Scripting (XSS) mediante codificación de salida, protección contra Cross-Site Request Forgery (CSRF) mediante tokens, protección contra Clickjacking mediante opciones de frame, e implementación de Content Security Policy (CSP).
6. Monitoreo y Respuesta a Incidentes
6.1 Monitoreo de Seguridad
Mantenemos monitoreo de seguridad continuo: monitoreo y alertas de infraestructura 24/7, agregación y análisis de logs, detección de anomalías para actividad sospechosa, y revisión regular de métricas de seguridad.
6.2 Respuesta a Incidentes
Tenemos procedimientos establecidos de respuesta a incidentes:
| Fase | Actividades |
|---|---|
| Detección | Identificar y confirmar incidentes de seguridad a través de monitoreo y reportes |
| Contención | Limitar el alcance e impacto del incidente |
| Erradicación | Eliminar la causa del incidente |
| Recuperación | Restaurar sistemas y datos afectados |
| Lecciones Aprendidas | Documentar hallazgos y mejorar procesos |
6.3 Notificación de Brechas
En caso de una brecha de seguridad que afecte datos personales: notificaremos a las personas afectadas sin demora indebida, las autoridades regulatorias serán notificadas según lo requiera la ley (dentro de 72 horas para GDPR), y la notificación incluirá detalles de la brecha, datos afectados y pasos de remediación. Consulta nuestra Política de Privacidad para más detalles sobre procedimientos de notificación de brechas.
7. Cumplimiento y Certificaciones
7.1 Cumplimiento Regulatorio
Mantenemos cumplimiento con regulaciones de seguridad y privacidad aplicables: GDPR (Reglamento General de Protección de Datos de la Unión Europea), CCPA/CPRA (Ley de Privacidad del Consumidor de California y Ley de Derechos de Privacidad), y Estándares de la Industria (siguiendo mejores prácticas y marcos de seguridad).
7.2 Marcos de Seguridad
Nuestro programa de seguridad se alinea con marcos establecidos: Marco de Ciberseguridad NIST, principios ISO 27001 (trabajando hacia la certificación), y Controles CIS.
7.3 Certificaciones
Nuestros proveedores de infraestructura mantienen certificaciones de seguridad actuales incluyendo: SOC 2 Type II, ISO 27001, y PCI DSS (para procesamiento de pagos).
8. Seguridad de Terceros
8.1 Evaluación de Proveedores
Evaluamos las prácticas de seguridad de todos los proveedores de servicios de terceros: cuestionario y evaluación de seguridad antes del compromiso, revisión de certificaciones de seguridad y cumplimiento, requisitos de seguridad en contratos de proveedores, y reevaluación periódica de seguridad de proveedores.
8.2 Acuerdos de Tratamiento de Datos
Tenemos acuerdos apropiados en lugar con procesadores de datos: Acuerdos de Tratamiento de Datos (DPAs) para cumplimiento GDPR, Acuerdos de Asociado Comercial (BAAs) donde se requiera, y definición clara de responsabilidades de seguridad.
8.3 Subprocesadores
Nuestros subprocesadores principales incluyen: Vercel (hosting web), AWS (infraestructura cloud), Stripe (procesamiento de pagos), y Google Analytics (analítica). Una lista completa de subprocesadores está disponible bajo solicitud.
9. Reportar Problemas de Seguridad
Fomentamos la divulgación responsable de vulnerabilidades de seguridad. Si crees que has descubierto un problema de seguridad en nuestros sistemas, por favor repórtalo a nosotros inmediatamente.
Cómo Reportar
Email: info@guizamedia.com (Asunto: Problema de Seguridad)
Por Favor Incluye:
Descripción de la vulnerabilidad, pasos para reproducir el problema, impacto potencial, remediación sugerida (si la hay), y tu información de contacto para seguimiento.
Nuestro Compromiso
- Reconoceremos la recepción de tu reporte dentro de 48 horas
- Investigaremos todos los reportes legítimos y tomaremos acción apropiada
- No tomaremos acción legal contra investigadores de seguridad que sigan prácticas de divulgación responsable
- Reconoceremos a los contribuyentes que ayuden a mejorar nuestra seguridad (con permiso)
Directrices de Divulgación Responsable
Al reportar problemas de seguridad, por favor: danos tiempo razonable para abordar el problema antes de la divulgación pública, no accedas, modifiques o elimines datos que no te pertenezcan, no realices acciones que puedan degradar nuestros servicios, y no compartas la vulnerabilidad con otros hasta que haya sido resuelta.
10. Información de Contacto
Para consultas relacionadas con seguridad o para reportar inquietudes de seguridad, contáctanos:
Attn: Equipo de Seguridad
1209 Mountain Road Pl NE Ste N
Albuquerque, NM 87110
Estados Unidos
Email: info@guizamedia.com
Sitio Web: https://guizamedia.com
Para asuntos de seguridad urgentes, por favor incluye "URGENTE: Seguridad" en el asunto.
Recursos Adicionales
- Política de Privacidad - Información sobre protección de datos
- Cumplimiento GDPR - Derechos de protección de datos de la UE
- Términos del Servicio - Términos legales de uso