Seguridad

La seguridad es fundamental en BusyBot. Esta página describe las medidas técnicas y organizativas que tomamos para proteger tus datos y mantener la integridad del Servicio. Si descubres una vulnerabilidad de seguridad, consulta nuestro proceso de divulgación responsable más abajo.

1. Seguridad de la infraestructura

1.1 Alojamiento en la nube

BusyBot está alojado en Amazon Web Services (AWS) en la región us-east-1, con capacidad de conmutación en us-west-2. AWS mantiene una suite completa de certificaciones de cumplimiento incluyendo SOC 1/2/3, ISO 27001 y PCI DSS. El acceso físico a los centros de datos está estrictamente controlado por AWS.

1.2 Seguridad de red

• Todos los servicios se ejecutan dentro de Virtual Private Clouds (VPC) privadas con reglas estrictas de grupos de seguridad.
• Los endpoints de cara al público están protegidos por AWS Web Application Firewall (WAF) y AWS Shield Standard para mitigación de DDoS.
• La comunicación interna entre servicios está restringida por ACL de red y nunca se expone a la internet pública.
• El acceso SSH a servidores de producción está prohibido; todos los cambios se despliegan vía pipelines CI/CD automatizados.

1.3 Disponibilidad y uptime

Apuntamos a 99,9% de uptime para el Servicio. Nuestra infraestructura usa grupos de autoescalado, balanceadores de carga y despliegues de base de datos multi-AZ para garantizar la resiliencia. Las ventanas de mantenimiento planificadas se comunican a través de nuestra página de estado en status.busybot.ai.

2. Cifrado de datos

2.1 Cifrado en tránsito

Todos los datos transmitidos entre tu navegador, el panel de BusyBot, el widget embebido y nuestros servidores están cifrados con TLS 1.2 o TLS 1.3. Imponemos HTTPS en todos los endpoints y usamos HTTP Strict Transport Security (HSTS) con un max-age mínimo de 1 año. Las suites de cifrado débiles y SSLv3/TLS 1.0/1.1 están deshabilitadas.

2.2 Cifrado en reposo

Todos los datos del cliente — incluidos historial de conversaciones, archivos subidos a la base de conocimiento e información de cuenta — se cifran en reposo con AES-256. Los volúmenes de base de datos (Amazon RDS) y el almacenamiento de objetos (S3) se cifran usando AWS Key Management Service (KMS) con rotación de claves gestionadas por el cliente.

2.3 Gestión de secretos

Los secretos de aplicación, claves API y credenciales de base de datos se almacenan en AWS Secrets Manager y se rotan automáticamente. Los secretos nunca se comprometen al control de código fuente ni se incluyen en imágenes de contenedor.

3. Controles de acceso

3.1 Principio de mínimo privilegio

A todos los empleados y sistemas de BusyBot se les conceden solo los permisos mínimos necesarios para realizar su función. Los roles y políticas IAM se revisan trimestralmente y se auditan vía AWS Access Analyzer.

3.2 Acceso de empleados a datos del cliente

Los empleados de BusyBot no acceden a los datos de conversación del cliente ni al contenido de la cuenta a menos que sea necesario para resolver una solicitud de soporte específica con tu consentimiento explícito, o según lo exija la ley. Todos esos eventos de acceso se registran y revisan.

3.3 Autenticación multifactor

La MFA es obligatoria para todas las cuentas de empleados de BusyBot y el acceso a la consola AWS. Animamos a todos los clientes a habilitar MFA en sus cuentas de BusyBot, que se puede configurar en Cuenta → Configuración de seguridad en el panel.

3.4 Inicio de sesión único (SSO)

Los clientes del plan Scale pueden configurar SSO SAML 2.0 para gestionar el acceso a través de su proveedor de identidad existente (p. ej., Okta, Azure AD, Google Workspace).

4. Seguridad de la aplicación

4.1 Ciclo de desarrollo seguro

La seguridad está integrada en cada etapa de nuestro proceso de desarrollo:

• Se requieren revisiones de código para todos los cambios antes de fusionar a producción.
• El análisis estático automatizado (SAST) y el escaneo de vulnerabilidades de dependencias se ejecutan en cada pull request.
• Las dependencias de terceros se monitorean continuamente vía Dependabot y Snyk.
• Las imágenes de contenedor se escanean en busca de vulnerabilidades conocidas antes del despliegue.

4.2 Pruebas de penetración

Contratamos firmas de seguridad independientes para realizar pruebas de penetración anuales de nuestra aplicación web e infraestructura. Los hallazgos se triagean por severidad y se remedian dentro de SLAs definidos: críticos en 24 horas, altos en 7 días, medios en 30 días.

4.3 Protecciones frente a vulnerabilidades comunes

Nuestra aplicación está diseñada para mitigar el Top 10 de OWASP e incluye protecciones contra:

• Inyección SQL e inyección NoSQL vía consultas parametrizadas y uso de ORM.
• Cross-site scripting (XSS) vía codificación de salida y cabeceras Content Security Policy (CSP).
• Cross-site request forgery (CSRF) vía tokens CSRF en todas las operaciones que modifican estado.
• Autenticación rota vía rate limiting, bloqueo de cuenta y aplicación de MFA.
• Referencias directas a objetos inseguras vía verificaciones de autorización en el lado del servidor en todos los recursos.

5. Copias de seguridad y recuperación

Los datos del cliente se respaldan continuamente usando recuperación a un punto en el tiempo para nuestras bases de datos relacionales (RDS), con una ventana de retención de 35 días. Los buckets S3 que contienen archivos subidos se replican a una región secundaria. Nuestro Objetivo de Tiempo de Recuperación (RTO) es de 4 horas y el Objetivo de Punto de Recuperación (RPO) es de 1 hora.

6. Cumplimiento

El programa de seguridad de BusyBot está diseñado para soportar el cumplimiento de:

• RGPD (Reglamento General de Protección de Datos UE) — como encargado del tratamiento para los datos de tus usuarios finales.
• CCPA (California Consumer Privacy Act) — para residentes de California.
• SOC 2 Tipo II — actualmente estamos sometiéndonos a nuestra auditoría SOC 2 Tipo II. Los clientes empresariales pueden solicitar nuestro informe SOC 2 Tipo I bajo NDA.

Una copia de nuestro Acuerdo de Procesamiento de Datos (DPA) está disponible para los clientes que necesiten uno para el cumplimiento del RGPD. Contacta a legal@busybot.ai para solicitar un DPA.

7. Respuesta a incidentes

Mantenemos un plan documentado de respuesta a incidentes que incluye fases de detección, contención, erradicación, recuperación y revisión posterior al incidente. En caso de una brecha de datos confirmada que afecte a tu cuenta, te notificaremos dentro de las 72 horas de tener conocimiento, según lo exige el Artículo 33 del RGPD.

8. Divulgación responsable

Damos la bienvenida a los informes de investigadores de seguridad. Si descubres una posible vulnerabilidad de seguridad en BusyBot, repórtala responsablemente:

• Email: security@busybot.ai (clave PGP disponible bajo petición)
• No divulgues públicamente el problema hasta que hayamos tenido una oportunidad razonable de investigar y remediar.
• No accedas, modifiques ni elimines datos pertenecientes a otros usuarios.
• Proporciona una descripción clara de la vulnerabilidad y los pasos para reproducirla.

Apuntamos a confirmar todos los informes en 2 días hábiles y te mantendremos informado del progreso de nuestra investigación. Actualmente no operamos un programa pagado de bug bounty, pero estamos felices de proporcionar reconocimiento público para hallazgos válidos bajo petición.