Política de Seguridad de Tracelia
Arquitectura y Estándares
Última actualización: 16 de enero de 2026
En Tracelia, la seguridad no es una ocurrencia tardía, es el fundamento de la plataforma de Pasaporte Digital de Productos que estamos construyendo. Entendemos que nuestros futuros clientes nos confiarán datos críticos de la cadena de suministro. Este documento describe los controles técnicos, administrativos y físicos implementados en nuestra infraestructura y diseño de software.
Nota: Tracelia se encuentra actualmente en una fase de prelanzamiento. Las medidas de seguridad descritas a continuación reflejan la arquitectura de la plataforma SaaS actualmente en desarrollo y prueba. Este documento se proporciona con fines informativos y no constituye un Acuerdo de Nivel de Servicio (SLA) contractual.
1. Infraestructura y Seguridad en la Nube
Operamos sobre una arquitectura "Zero Trust" (Confianza Cero), aprovechando proveedores de nube de clase mundial para garantizar la máxima disponibilidad, redundancia y seguridad.
1.1. Alojamiento y Centros de Datos
- Procesamiento Primario: Nuestra lógica de aplicación está alojada en Render (infraestructura respaldada por AWS), principalmente en la región de Frankfurt (EU-Central-1) para garantizar el cumplimiento del RGPD y baja latencia para los mercados europeos.
- Entrega de Frontend: Utilizamos la Red Edge de Vercel para la entrega global de contenido, asegurando tiempos de carga rápidos y protección contra ataques DDoS.
- Seguridad Física: No poseemos ni operamos centros de datos físicos. Nuestros proveedores de infraestructura mantienen certificaciones estándar de la industria. Tracelia en sí no está certificada actualmente bajo estos estándares, pero confía en proveedores de infraestructura certificados.
1.2. Seguridad de Red
- Proxy de Cloudflare: El tráfico hacia Tracelia pasa a través de Cloudflare, proporcionando un Firewall de Aplicaciones Web (WAF), mitigación automatizada de DDoS y protección contra bots.
- Cifrado en Tránsito: Todos los datos transmitidos entre su dispositivo y nuestros servidores están cifrados utilizando TLS 1.2 o 1.3. Utilizamos HSTS (HTTP Strict Transport Security) para forzar conexiones seguras.
- Cifrado en Reposo: Todas las bases de datos de producción y los buckets de almacenamiento de archivos están cifrados en reposo utilizando estándares AES-256.
2. Seguridad de la Aplicación
Nuestra plataforma está diseñada con principios de "Seguridad por Diseño" para proteger las cuentas de usuario y la integridad de los datos.
2.1. Autenticación y Autorización
- Hashing de Contraseñas: Las contraseñas de usuario nunca se almacenan en texto plano. Utilizamos Argon2id, un algoritmo de hashing de última generación resistente a ataques de fuerza bruta por GPU/ASIC.
- Gestión de Tokens: El acceso a la API está asegurado mediante JWT (JSON Web Tokens) de corta duración para el acceso y Tokens de Actualización rotados de forma segura para la gestión de sesiones.
- RBAC: La arquitectura de la plataforma impone un estricto Control de Acceso Basado en Roles (Propietario, Admin, Editor, Visor) a nivel de API.
- 2FA: La Autenticación de Dos Factores (TOTP) estará disponible tras el lanzamiento comercial.
2.2. Estándares de Desarrollo
- Análisis Estático: Utilizamos herramientas automatizadas (SAST) para escanear el código en busca de vulnerabilidades antes de cada despliegue.
- Seguridad de la Cadena de Suministro: Escaneamos regularmente nuestras dependencias de software en busca de vulnerabilidades conocidas utilizando herramientas automatizadas (por ejemplo, Dependabot, Snyk).
- Aislamiento de Entornos: Mantenemos una estricta separación entre los entornos de Desarrollo, Staging y Producción. Los datos de prueba nunca se utilizan en el entorno de Producción.
3. Protección de Datos y Continuidad
3.1. Seguridad de Base de Datos
- Utilizamos bases de datos PostgreSQL gestionadas con copias de seguridad diarias automatizadas.
- Las copias de seguridad están cifradas y almacenadas en múltiples zonas de disponibilidad para garantizar la durabilidad de los datos.
- Recuperación en el Tiempo (PITR): Nuestra configuración permite restaurar la base de datos a un estado específico en caso de un fallo crítico.
3.2. Almacenamiento de Archivos
- Los certificados de productos y documentos se almacenan en Cloudflare R2 (almacenamiento de objetos compatible con S3).
- URLs Prefirmadas: Los archivos privados se sirven a través de URLs firmadas por tiempo limitado, asegurando que solo los usuarios autorizados puedan acceder a documentos específicos, evitando el scraping masivo no autorizado.
4. Acceso Interno y Operaciones
Como proyecto liderado por el fundador, priorizamos el principio de mínimo privilegio en todos los procedimientos operativos.
- Control de Acceso: El acceso a la infraestructura de producción está restringido únicamente al personal de ingeniería autorizado (actualmente el Fundador) y está protegido por Autenticación Multifactor (MFA/2FA).
- Pistas de Auditoría: Las acciones sensibles dentro del sistema (por ejemplo, cambios en el esquema de la base de datos, disparadores de despliegue) se registran para revisión de seguridad.
- Seguridad de Dispositivos: Las estaciones de trabajo de desarrollo están aseguradas con cifrado de disco (FileVault/BitLocker) y contraseñas seguras.
5. Cumplimiento y Privacidad
5.1. RGPD
Tracelia está diseñada para cumplir plenamente con el Reglamento General de Protección de Datos (RGPD).
- Minimización de Datos: Diseñamos nuestros modelos de datos para recopilar solo lo necesario para el servicio.
- Derecho de Supresión: Nuestra arquitectura admite la eliminación permanente de los datos del cliente previa solicitud (sujeto a las leyes de retención de datos relacionadas con el cumplimiento del producto).
- Procesamiento de Datos: Tras el lanzamiento comercial, ofreceremos un Acuerdo de Procesamiento de Datos (DPA) estándar para nuestros clientes B2B.
5.2. Auditorías de Terceros
Aunque Tracelia actúa como Encargado del Tratamiento (Procesador), confiamos en subprocesadores que poseen certificaciones de primer nivel como ISO 27001, SOC 2 y FedRAMP.
6. Gestión de Vulnerabilidades
6.1. Proceso de Gestión
Tomamos en serio los informes de seguridad.
- Clasificación: Las vulnerabilidades reportadas se revisan y priorizan según su gravedad (CVSS).
- Remediación: Nuestro objetivo es abordar las vulnerabilidades críticas con prioridad, típicamente dentro de las 48 horas, y los problemas de alta gravedad lo más rápido posible.
6.2. Divulgación Responsable
Agradecemos los comentarios de los investigadores de seguridad. Si cree que ha encontrado una vulnerabilidad en Tracelia, infórmenos de manera responsable.
Contacto: security@tracelia.com
Política: Actualmente no ofrecemos un programa de recompensas monetarias (bug bounty), pero reconocemos y apreciamos a los investigadores que nos ayudan a mantener nuestra plataforma segura. Le pedimos que no explote las vulnerabilidades para acceder a los datos de otros clientes o interrumpir nuestros servicios.
Contacto
Para cualquier pregunta o inquietud relacionada con la seguridad, contacte a nuestro Equipo de Seguridad en: security@tracelia.com.