Saltar al contenido principal
Alumnia

Política de Seguridad

Última actualización: 27 de octubre de 2025

1. Nuestro Compromiso con la Seguridad

En Alumnia, la seguridad de tus datos personales y la protección de tu información es nuestra máxima prioridad. Implementamos las mejores prácticas de la industria y medidas de seguridad robustas para garantizar que tu experiencia en nuestra plataforma sea segura y confiable.

2. Infraestructura y Protección de Datos

2.1 Cifrado de Datos

  • Cifrado en tránsito: Todas las comunicaciones entre tu navegador y nuestros servidores están protegidas mediante TLS 1.3 (Transport Layer Security)
  • Cifrado en reposo: Los datos almacenados en nuestras bases de datos están cifrados usando algoritmos de cifrado estándar de la industria (AES-256)
  • Contraseñas: Todas las contraseñas se almacenan utilizando funciones hash criptográficas modernas (bcrypt) con salts únicos

2.2 Infraestructura en la Nube

Nuestra plataforma está alojada en proveedores de servicios en la nube de primer nivel que cumplen con estándares internacionales de seguridad:

  • Certificación ISO 27001 (Gestión de Seguridad de la Información)
  • Certificación SOC 2 Type II
  • Cumplimiento con GDPR (Reglamento General de Protección de Datos)
  • Centros de datos con controles físicos y ambientales estrictos
  • Redundancia geográfica y copias de seguridad automáticas

2.3 Copias de Seguridad

  • Copias de seguridad automáticas diarias de todas las bases de datos
  • Retención de backups por 30 días
  • Almacenamiento cifrado de copias de seguridad en múltiples ubicaciones geográficas
  • Pruebas periódicas de recuperación ante desastres

3. Seguridad de Cuentas y Autenticación

3.1 Autenticación Segura

  • Autenticación mediante Supabase Auth con tokens JWT seguros
  • Soporte para autenticación de dos factores (2FA) mediante aplicaciones autenticadoras
  • Inicio de sesión social seguro (Google, etc.) usando OAuth 2.0
  • Tokens de sesión con expiración automática
  • Protección contra ataques de fuerza bruta con límites de intentos de inicio de sesión

3.2 Gestión de Contraseñas

  • Requisitos mínimos de complejidad para contraseñas
  • Validación contra contraseñas comprometidas conocidas
  • Proceso seguro de recuperación de contraseña mediante email
  • Notificaciones de cambios de contraseña y actividad sospechosa

3.3 Protección de Sesiones

  • Cierre automático de sesión por inactividad
  • Opción para cerrar sesión en todos los dispositivos
  • Registro de actividad de inicio de sesión
  • Detección de acceso desde ubicaciones o dispositivos inusuales

4. Seguridad de la Aplicación

4.1 Protección contra Amenazas Web

  • Protección contra Cross-Site Scripting (XSS)
  • Prevención de Cross-Site Request Forgery (CSRF)
  • Protección contra inyección SQL mediante consultas parametrizadas
  • Validación y sanitización de todas las entradas de usuario
  • Content Security Policy (CSP) headers configurados
  • Protección contra clickjacking mediante X-Frame-Options

4.2 Actualizaciones y Parches

  • Monitoreo continuo de vulnerabilidades en dependencias
  • Actualizaciones regulares de seguridad del sistema
  • Proceso de gestión de parches críticos en menos de 24 horas
  • Análisis automatizado de código para detectar vulnerabilidades

4.3 Firewall y Protección DDoS

  • Firewall de aplicaciones web (WAF) configurado
  • Protección contra ataques de denegación de servicio distribuido (DDoS)
  • Rate limiting en endpoints de API
  • Filtrado de tráfico malicioso a nivel de red

5. Privacidad y Acceso a Datos

5.1 Control de Acceso

  • Principio de mínimo privilegio para acceso a datos
  • Control de acceso basado en roles (RBAC)
  • Autenticación multifactor obligatoria para personal administrativo
  • Auditoría de todos los accesos a datos sensibles
  • Revisión periódica de permisos de acceso

5.2 Separación de Datos

  • Aislamiento lógico de datos entre usuarios mediante Row Level Security (RLS)
  • Separación de entornos de desarrollo, prueba y producción
  • Anonimización de datos para entornos de desarrollo y pruebas

6. Procesamiento de Pagos

La seguridad de tus transacciones financieras es fundamental:

  • Procesamiento de pagos a través de proveedores certificados PCI DSS Level 1 (Stripe, PayPal)
  • No almacenamos información completa de tarjetas de crédito en nuestros servidores
  • Tokenización de datos de pago para seguridad adicional
  • Cifrado end-to-end para todas las transacciones financieras
  • Monitoreo de fraude en tiempo real
  • Cumplimiento con 3D Secure para autenticación adicional

7. Monitoreo y Respuesta a Incidentes

7.1 Monitoreo Continuo

  • Monitoreo 24/7 de sistemas y aplicaciones
  • Detección automática de comportamientos anómalos
  • Logging centralizado de eventos de seguridad
  • Alertas en tiempo real para incidentes de seguridad
  • Análisis de logs para identificar patrones de ataque

7.2 Plan de Respuesta a Incidentes

  • Protocolo documentado de respuesta a incidentes de seguridad
  • Equipo de seguridad designado disponible 24/7
  • Proceso de escalamiento según severidad del incidente
  • Comunicación transparente con usuarios afectados en caso de brechas
  • Análisis post-mortem y mejoras continuas

8. Seguridad del Personal

  • Verificación de antecedentes para empleados con acceso a datos sensibles
  • Capacitación regular en seguridad y protección de datos
  • Acuerdos de confidencialidad (NDA) firmados por todo el personal
  • Programa de concientización sobre phishing y ingeniería social
  • Política de escritorio limpio y pantalla bloqueada
  • Revocación inmediata de accesos cuando termina la relación laboral

9. Seguridad de Terceros

Seleccionamos cuidadosamente a nuestros proveedores y socios:

  • Evaluación de seguridad de todos los proveedores externos
  • Acuerdos de procesamiento de datos (DPA) con proveedores
  • Auditorías periódicas de seguridad de terceros
  • Requisitos mínimos de seguridad para integraciones
  • Monitoreo continuo del cumplimiento de estándares de seguridad

10. Cumplimiento Normativo

Alumnia cumple con las principales regulaciones de protección de datos:

  • GDPR (Reglamento General de Protección de Datos de la UE)
  • Ley N° 19.628 sobre Protección de la Vida Privada (Chile)
  • CCPA (California Consumer Privacy Act) cuando sea aplicable
  • Estándares PCI DSS para procesamiento de pagos
  • Principios de privacidad by design y by default

11. Auditorías y Certificaciones

  • Auditorías de seguridad internas trimestrales
  • Pruebas de penetración anuales por empresas independientes
  • Análisis de vulnerabilidades automatizados semanales
  • Revisión de código de seguridad en cada despliegue
  • Plan de certificación ISO 27001 en proceso

12. Mejores Prácticas para Usuarios

Tu seguridad también depende de ti. Te recomendamos:

  • Usar contraseñas únicas y complejas para tu cuenta de Alumnia
  • Habilitar la autenticación de dos factores (2FA)
  • No compartir tu contraseña con nadie
  • Cerrar sesión cuando uses dispositivos compartidos
  • Mantener actualizado tu navegador y sistema operativo
  • Tener cuidado con correos electrónicos de phishing que simulen ser de Alumnia
  • Reportar inmediatamente cualquier actividad sospechosa en tu cuenta
  • Revisar regularmente la actividad de tu cuenta

13. Divulgación Responsable de Vulnerabilidades

Si descubres una vulnerabilidad de seguridad en Alumnia, te pedimos que:

  • Nos notifiques inmediatamente a seguridad@alumnia.cl
  • Proporciones detalles técnicos suficientes para reproducir el problema
  • Nos des tiempo razonable para resolver el problema antes de hacerlo público
  • No accedas, modifiques o elimines datos de otros usuarios
  • No realices ataques que puedan afectar la disponibilidad del servicio

Agradecemos a los investigadores de seguridad que reportan vulnerabilidades de manera responsable y reconocemos públicamente sus contribuciones (con su consentimiento).

14. Transparencia y Notificación de Brechas

En el caso improbable de una brecha de seguridad que afecte tus datos personales:

  • Te notificaremos dentro de las 72 horas posteriores al descubrimiento
  • Proporcionaremos información clara sobre qué datos se vieron afectados
  • Explicaremos las medidas que estamos tomando para remediar la situación
  • Ofreceremos orientación sobre cómo protegerte
  • Cumpliremos con todas las obligaciones de notificación regulatorias

15. Contacto de Seguridad

Para consultas, reportes o inquietudes relacionadas con la seguridad:

Email de Seguridad: seguridad@alumnia.cl

Para divulgación de vulnerabilidades: seguridad@alumnia.cl

Tiempo de respuesta: Dentro de 24 horas hábiles para reportes de seguridad

16. Actualizaciones de Esta Política

Esta Política de Seguridad puede actualizarse periódicamente para reflejar mejoras en nuestras prácticas de seguridad o cambios en regulaciones. Te notificaremos de cambios significativos mediante email o un aviso en la plataforma. La fecha de última actualización siempre estará visible en la parte superior de esta página.