Seguridad

Esta Política de Seguridad constituye un acuerdo legalmente vinculante entre usted ("Cliente", "Usuario") y GitScrum ("Empresa", "nosotros", "nuestro"). Al acceder o utilizar los servicios de GitScrum, usted reconoce que ha leído, comprendido y acepta las prácticas y compromisos de seguridad aquí descritos.

1. Nuestro Compromiso con la Seguridad

GitScrum está comprometido a mantener los más altos estándares de seguridad de la información para proteger la confidencialidad, integridad y disponibilidad de sus datos. La seguridad está integrada en todo nuestro ciclo de desarrollo, procedimientos operativos y cultura organizacional. Evolucionamos continuamente nuestra postura de seguridad para enfrentar amenazas emergentes y mantener el cumplimiento de las regulaciones de protección de datos aplicables.

2. Cifrado de Datos

2.1 Cifrado en Tránsito

Todos los datos transmitidos entre sus dispositivos y los servidores de GitScrum están cifrados utilizando protocolos Transport Layer Security (TLS) 1.2 o superiores. Este cifrado estándar de la industria protege su información contra la interceptación y el acceso no autorizado durante la transmisión.

2.2 Cifrado en Reposo

Todos los datos sensibles almacenados en la infraestructura de GitScrum están cifrados en reposo utilizando algoritmos de cifrado AES-256. Las claves de cifrado se gestionan a través de sistemas seguros de gestión de claves con controles de acceso estrictos, cronogramas de rotación regulares y procedimientos de respaldo seguros.

2.3 Gestión de Claves

Implementamos las mejores prácticas de la industria para la gestión del ciclo de vida de claves criptográficas, incluyendo generación segura, almacenamiento en sistemas dedicados de gestión de claves o Módulos de Seguridad de Hardware (HSMs), rotación periódica y registro de auditoría completo de todos los eventos de acceso a claves.

3. Seguridad de Infraestructura y Centro de Datos

3.1 Infraestructura Global

GitScrum opera centros de datos en múltiples regiones geográficas para garantizar la disponibilidad del servicio, redundancia y capacidades de recuperación ante desastres. Nuestros socios de infraestructura mantienen certificaciones que incluyen ISO 27001, SOC 2 y otros estándares de seguridad reconocidos por la industria.

3.2 Seguridad Física

Los centros de datos que alojan la infraestructura de GitScrum emplean controles de seguridad física integrales, incluyendo vigilancia 24/7, controles de acceso biométrico, monitoreo ambiental y sistemas redundantes de energía y refrigeración.

3.3 Seguridad de Red

Implementamos múltiples capas de seguridad de red, incluyendo firewalls, sistemas de detección y prevención de intrusiones (IDS/IPS), mitigación de DDoS y segmentación de red para proteger contra accesos no autorizados y actividades maliciosas.

4. Controles de Acceso y Autenticación

4.1 Mecanismos de Autenticación

GitScrum requiere políticas de contraseñas fuertes y soporta autenticación multifactor (MFA) para una protección mejorada de la cuenta. Recomendamos encarecidamente habilitar MFA para todas las cuentas de usuario, particularmente aquellas con privilegios administrativos.

4.2 Autorización y Privilegio Mínimo

El acceso a los datos del cliente y recursos del sistema sigue el principio de privilegio mínimo. Los controles de acceso basados en roles (RBAC) garantizan que los usuarios solo puedan acceder a los recursos necesarios para sus propósitos comerciales legítimos.

4.3 Gestión de Sesiones

Implementamos prácticas seguras de gestión de sesiones, incluyendo tiempos de espera de sesión, manejo seguro de tokens y terminación inmediata de sesión tras el cierre de sesión o anomalías detectadas.

5. Seguridad de Aplicaciones

5.1 Ciclo de Desarrollo Seguro

La seguridad está integrada en todo nuestro ciclo de desarrollo de software. Nuestras prácticas de ingeniería incluyen:

• Estándares de codificación segura alineados con las directrices de OWASP
• Revisiones regulares de código con enfoque en seguridad
• Pruebas automatizadas de seguridad de aplicaciones estáticas y dinámicas (SAST/DAST)
• Escaneo de dependencias y gestión de vulnerabilidades
• Validación de entrada y codificación de salida para prevenir ataques de inyección

5.2 Gestión de Vulnerabilidades

Realizamos evaluaciones regulares de vulnerabilidades y pruebas de penetración por profesionales de seguridad calificados. Las vulnerabilidades identificadas se priorizan según su severidad y se remedian de acuerdo con cronogramas documentados.

5.3 Parches de Seguridad

Los parches críticos de seguridad se aplican rápidamente tras procedimientos de prueba completos. Los parches de rutina siguen ventanas de mantenimiento programadas con notificación anticipada al cliente cuando se anticipa impacto en el servicio.

6. Monitoreo de Seguridad y Respuesta a Incidentes

6.1 Monitoreo Continuo

GitScrum emplea monitoreo de seguridad 24/7 utilizando sistemas de Gestión de Información y Eventos de Seguridad (SIEM) para detectar, analizar y responder a eventos de seguridad en tiempo real.

6.2 Plan de Respuesta a Incidentes

Mantenemos un plan integral de respuesta a incidentes que define procedimientos para:

• Detección: Identificación de posibles incidentes de seguridad a través de mecanismos automatizados de monitoreo y reporte
• Contención: Aislamiento de sistemas afectados para prevenir la escalada del incidente
• Erradicación: Eliminación de la causa raíz del incidente
• Recuperación: Restauración de operaciones normales e integridad de datos
• Análisis Post-Incidente: Realización de revisiones exhaustivas para mejorar respuestas futuras

6.3 Notificación de Brechas

En caso de una brecha de datos personales que presente riesgo para los derechos y libertades de los individuos, GitScrum notificará a la autoridad supervisora relevante dentro de las 72 horas posteriores a tener conocimiento de la brecha, según lo exigido por el Artículo 33 del GDPR. Los clientes afectados y los interesados serán notificados sin demora indebida cuando sea legalmente requerido o cuando determinemos que la notificación es apropiada.

7. Cumplimiento Regulatorio

7.1 Cumplimiento del GDPR

Como empresa que opera en Europa, GitScrum cumple con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad del procesamiento de datos, incluyendo:

• Bases legales para el procesamiento de datos personales
• Facilitación de los derechos de los interesados (acceso, rectificación, eliminación, portabilidad)
• Acuerdos de Procesamiento de Datos con clientes que actúan como controladores de datos
• Principios de privacidad por diseño y por defecto
• Evaluaciones de Impacto de Protección de Datos para actividades de procesamiento de alto riesgo

7.2 Alineación Regulatoria Adicional

Aunque no reclamamos certificaciones específicas más allá de las que hemos logrado, nuestros controles de seguridad están alineados con marcos reconocidos internacionalmente, incluyendo ISO 27001, Criterios de Servicio de Confianza SOC 2 y Marco de Ciberseguridad NIST.

8. Seguridad del Personal

8.1 Verificación de Antecedentes

Todos los empleados de GitScrum con acceso a datos de clientes pasan por verificación de antecedentes apropiada para su rol y consistente con las leyes aplicables.

8.2 Capacitación en Seguridad

El personal recibe capacitación integral de concientización en seguridad al momento de la contratación y capacitación continua sobre principios de protección de datos, regulaciones de privacidad, prácticas de desarrollo seguro y escenarios de amenazas emergentes. Los roles especializados reciben capacitación adicional específica para sus responsabilidades.

8.3 Obligaciones de Confidencialidad

Todos los empleados, contratistas y terceros con acceso a información confidencial están vinculados por obligaciones contractuales de confidencialidad y protección de datos.

9. Gestión de Riesgos de Terceros

9.1 Evaluación de Proveedores

Realizamos evaluaciones de seguridad exhaustivas de proveedores y prestadores de servicios externos antes del compromiso. Las evaluaciones evalúan los controles de seguridad de los proveedores, postura de cumplimiento, prácticas de manejo de datos y capacidades de respuesta a incidentes.

9.2 Requisitos Contractuales

Los acuerdos con procesadores externos incluyen disposiciones para:

• Obligaciones de protección de datos consistentes con los requisitos del GDPR
• Estándares de seguridad y derechos de auditoría
• Procedimientos de notificación de brechas
• Eliminación o devolución de datos tras la terminación del contrato

9.3 Monitoreo Continuo

Revisamos periódicamente la postura de seguridad de terceros y mantenemos el derecho de auditar el cumplimiento de los subprocesadores con las obligaciones contractuales de seguridad.

10. Retención y Eliminación de Datos

GitScrum retiene los datos de clientes solo durante el tiempo necesario para proporcionar servicios, cumplir con obligaciones legales o según lo especificado en nuestro Acuerdo de Procesamiento de Datos. Tras la terminación o a solicitud del cliente, eliminamos o devolvemos los datos de clientes de forma segura de acuerdo con procedimientos documentados y requisitos regulatorios aplicables.

11. Continuidad del Negocio y Recuperación ante Desastres

Mantenemos planes de continuidad del negocio y recuperación ante desastres diseñados para garantizar la resiliencia del servicio y la disponibilidad de datos en caso de fallas del sistema, desastres naturales u otras interrupciones. Estos planes incluyen:

• Copias de seguridad regulares de datos con cifrado y almacenamiento externo
• Objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) documentados
• Pruebas periódicas y actualizaciones de planes

12. Auditorías y Evaluaciones de Seguridad

GitScrum contrata expertos independientes de seguridad de terceros para realizar auditorías de seguridad regulares, pruebas de penetración y evaluaciones de vulnerabilidades. Los hallazgos se revisan, priorizan y remedian de acuerdo con la severidad del riesgo. Aunque los informes de auditoría específicos pueden ser confidenciales, la información resumida puede estar disponible para clientes empresariales bajo acuerdos de no divulgación apropiados.

13. Responsabilidades de Seguridad del Cliente

Aunque GitScrum implementa controles de seguridad integrales, los clientes comparten responsabilidad por:

• Mantener contraseñas fuertes y habilitar MFA
• Configurar adecuadamente los permisos de acceso para sus usuarios
• Monitorear actividades sospechosas en sus cuentas
• Reportar prontamente incidentes de seguridad sospechosos a GitScrum
• Asegurar que sus propios dispositivos y redes estén seguros

14. Actualizaciones de Política y Transparencia

GitScrum se reserva el derecho de actualizar esta Política de Seguridad para reflejar mejoras en nuestra postura de seguridad, cambios en requisitos regulatorios o mejores prácticas de la industria en evolución. Los cambios materiales se comunicarán a los clientes con aviso previo razonable.

15. Información de Contacto

Para consultas relacionadas con la seguridad, preguntas sobre esta política o para reportar incidentes de seguridad sospechosos, contacte:

Equipo de Seguridad GitScrum
Email: security@gitscrum.com
Tiempo de Respuesta: Reconocemos reportes de seguridad dentro de 24 horas

Para consultas generales de privacidad, consulte nuestra Política de Privacidad.

16. Conclusión

La seguridad y privacidad son fundamentales para la confianza que nuestros clientes depositan en GitScrum. Estamos comprometidos con la mejora continua de nuestro programa de seguridad, comunicación transparente y asociación con nuestros clientes para proteger los datos confiados a nuestra plataforma.