Confianza

·English →

Seguridad en Anvil

Última actualización: 19 de abril de 2026

⚠️ Traducción no oficial de referencia / Unofficial Reference Translation

Este documento es una traducción de referencia al español. En caso de discrepancia con la versión en inglés (anvilhk.com/security), prevalecerá la versión en inglés. Recomendamos consultar con un abogado local antes de operar en su jurisdicción.

Anvil es el sistema de registro de tu pipeline de ingresos. Tomamos esa responsabilidad en serio. Esta página describe, en lenguaje claro, los controles de seguridad, certificaciones y prácticas que protegen los datos de los clientes. Para la versión contractual, consulta nuestro Adendum de Tratamiento de Datos.

Cifrado por defecto

TLS 1.3 en tránsito, AES-256-GCM en reposo. Claves en KMS respaldado por hardware con cifrado envolvente.

Acceso de mínimo privilegio

Cero acceso a producción para ingenieros sin sesión aprobada activa. MFA + SSO para cada administrador.

Incidentes transparentes

Notificación de brecha en 48 horas, post-mortems públicos para incidentes materiales, página de estado en vivo.

1. Protección de datos

Cifrado en tránsito

Todo el tráfico entre usuarios y Anvil se sirve sobre HTTPS con TLS 1.3. Forzamos HSTS con max-age de 1 año y estamos en la lista preload. El tráfico interno entre servicios se cifra dentro de nuestra red privada.

Cifrado en reposo

PostgreSQL, MongoDB, persistencia de Redis y almacenamiento de objetos están todos cifrados con AES-256-GCM. Las copias de seguridad se cifran con claves distintas y se almacenan en una región geográficamente distinta.

Gestión de claves

Las claves de cifrado de datos se envuelven con claves maestras guardadas en un KMS respaldado por hardware. Las claves rotan según calendario; ningún humano tiene acceso en texto plano a las DEK.

Secretos

Los secretos de aplicación se almacenan en un almacén cifrado, se inyectan en tiempo de ejecución y nunca se confirman al control de versiones. El escaneo de secretos corre en cada push.

Aislamiento de tenants

Cada fila de cada tabla con tenant lleva un identificador de tenant. La autorización se aplica en la capa de aplicación y se ejecutan pruebas de regresión entre tenants en cada despliegue. Las rutas de almacenamiento están namespaceadas.

Residencia de datos

Los datos del cliente se alojan principalmente en Hong Kong SAR. Los clientes Enterprise pueden solicitar residencia exclusiva en UE o EE.UU.; contáctanos para precios.

2. Autenticación y acceso

Autenticación del usuario final

Correo + contraseña, Google OAuth y SAML/OIDC SSO (Enterprise). Las contraseñas se hashean con Argon2id y sales por usuario. Las cuentas se bloquean tras intentos fallidos repetidos.

MFA

Se admiten TOTP y WebAuthn/passkeys en todos los planes. El MFA está obligatorio para los roles OWNER y ADMIN.

Sesiones

Los tokens de acceso son JWT de corta duración (15 min) firmados con RS256; los refresh tokens rotan y se almacenan en cookies HttpOnly con prefijo __Host. El CSRF se mitiga con tokens de doble envío y cookies SameSite=Lax.

RBAC

Roles integrados: OWNER, ADMIN, MANAGER, MEMBER, VIEWER. Los permisos se aplican del lado del servidor; la UI oculta lo que el usuario no puede hacer pero no depende de eso para la seguridad.

Acceso del personal

Los ingenieros no tienen acceso permanente a producción. El acceso break-glass es limitado en tiempo, requiere aprobación de pares y se registra en su totalidad. Todo acceso usa llaves de seguridad de hardware y un proxy zero-trust gestionado.

Claves API y webhooks

Las claves API tienen alcance, son revocables, tienen límite de tasa y están hasheadas en reposo. Los webhooks se firman con un secreto HMAC; incluyen marcas de tiempo y protección contra replay.

3. Seguridad de infraestructura

Red

Cloudflare en el borde provee mitigación DDoS, WAF, gestión de bots y terminación TLS. El origen es accesible solo mediante túneles autenticados — la IP real no es enrutable públicamente.

Segmentación

Los servicios se agrupan en zonas de confianza. El tráfico entre servicios usa mTLS service-mesh cuando está disponible y redes privadas en otros casos. Las bases de datos no tienen ingreso público.

Hardening

Los hosts ejecutan imágenes base mínimas y parcheadas regularmente. Las imágenes de contenedor se construyen sobre bases distroless cuando es factible y se escanean en busca de CVEs en cada build. Los despliegues se niegan a enviar si hay CVEs CRITICAL.

Gestión de configuración

Toda la infraestructura se define como código. La desviación se detecta y se señala. Los cambios manuales son la excepción y se revisan por pares.

Cadena de suministro

Las dependencias se fijan y revisan antes de actualizar. Nos suscribimos a fuentes de aviso de cada ecosistema de lenguaje y publicamos actualizaciones dentro de SLAs acordados por severidad.

Pipeline de build

CI corre en runners efímeros con permisos mínimos. Los artefactos están firmados; los despliegues verifican firmas antes del rollout.

4. Desarrollo seguro

  • Revisión de código requerida en cada cambio; no se permiten auto-merges a ramas de producción.
  • Escaneo SAST, DAST, de dependencias, de secretos y de contenedores en CI; los hallazgos se triagean y se siguen por SLA.
  • Modelado de amenazas para sistemas nuevos que tocan auth, pagos o PII.
  • Pentest anual por tercero (de alcance completo). Resumen disponible bajo NDA.
  • Programa de bug bounty / divulgación responsable — ver abajo.
  • Campeones de seguridad: al menos uno capacitado por escuadra.

5. Monitorización y detección

  • Almacenamiento de logs centralizado y a prueba de manipulación, con al menos 1 año de retención para eventos de seguridad.
  • Alertas en tiempo real sobre anomalías de autenticación, escalamientos de permisos, picos de volumen de exportación y señales del WAF.
  • Sentry para errores de aplicación; trazas y métricas OpenTelemetry para rendimiento.
  • Logs de auditoría de base de datos para operaciones administrativas y lecturas/escrituras entre tenants.
  • Revisión semanal por el equipo de seguridad de eventos de alto riesgo.

6. Respuesta a incidentes

Runbook

Procedimiento documentado con niveles de severidad, roles nombrados (comandante de incidente, líder de comunicación, escriba) y plantillas de comunicación preconstruidas.

Guardia 24/7

Ingeniería en guardia rotatoria. Los incidentes de seguridad alertan al líder de seguridad además de la guardia de ingeniería.

SLA de notificación

Dentro de las 48 horas de confirmada una brecha de Datos Personales, notificamos al contacto de seguridad registrado del cliente conforme a nuestro DPA.

Post-mortems

Los incidentes materiales reciben análisis de causa raíz sin culpas. Los resúmenes que no exponen datos de otros clientes se publican en la página de estado.

7. Resiliencia, copias de seguridad y recuperación ante desastres

  • Copias de seguridad: completas diarias cifradas + incrementales horarias para PostgreSQL; el almacenamiento de objetos está versionado y replicado entre regiones.
  • Retención: 35 días rodantes. Retención por hold legal y plazos más largos disponibles en planes Enterprise.
  • Pruebas de restauración: ejecutamos una restauración completa de base de datos a un entorno limpio al menos trimestralmente y verificamos la integridad de los datos.
  • Objetivos: RPO ≤ 1 hora, RTO ≤ 4 horas para la base de datos primaria. Cifras reales medidas disponibles para clientes bajo NDA.
  • Multi-zona: los servicios sin estado corren activo-activo entre zonas. Los servicios con estado realizan failover automático con control de health-check.

8. Personas y proveedores

  • Verificaciones de antecedentes donde lo permita la ley.
  • Política de confidencialidad y uso aceptable firmada al contratar.
  • Formación anual de concienciación sobre seguridad y simulación de phishing.
  • Postura de dispositivo gestionada (cifrado de disco, bloqueo de pantalla, EDR) requerida para cualquier dispositivo que acceda a producción.
  • Revisión de proveedor antes de contratar cualquier encargado con acceso a datos del cliente. Ver la lista de subencargados.
  • Proceso de alta / cambio / baja para aprovisionamiento y revocación de acceso.

9. Cumplimiento y certificaciones

Activo

RGPD y UK GDPR

Obligaciones de responsable y encargado, SCCs (Módulo Dos), UK IDTA, soporte de DPIA.

Activo

LOPDGDD (España)

Cumplimiento de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales. Declaración ante la AEPD si aplica.

Activo

LFPDPPP (México)

Ley Federal de Protección de Datos Personales en Posesión de los Particulares; aviso de privacidad conforme al Art. 16 y derechos ARCO ante INAI.

Activo

Ley 25.326 (Argentina)

Ley de Protección de Datos Personales; inscripción ante AAIP cuando corresponda.

Activo

Ley 1581 (Colombia)

Protección de Datos Personales bajo Ley 1581 de 2012 y Decreto 1377 de 2013; registro ante SIC.

Activo

PDPO (Hong Kong)

Obligaciones de Data User bajo la Personal Data (Privacy) Ordinance — nuestra jurisdicción de origen.

Activo

CCPA / CPRA

Rol de proveedor de servicios, sin venta ni compartición de información personal, respeta señales GPC.

Activo

PIPL

Ruta de contrato estándar para transferencias transfronterizas desde China continental en planes Enterprise.

Planificado Q4 2026

SOC 2 Type II

La ventana de observación abre en Q2 2026. Evaluación de brechas completa; remediación en curso.

Planificado 2027

ISO 27001:2022

Implementación alineada con los controles del Anexo A de 2022. Auditoría etapa 1 prevista en 2027.

Los clientes en planes Enterprise pueden solicitar nuestro SIG-Lite, CAIQ o cuestionario de proveedor bajo NDA.

10. Retención y eliminación de datos

  • Las solicitudes de eliminación de usuarios finales se honran en 30 días (o antes si lo exige la ley).
  • Al terminar la cuenta, los datos se conservan por una ventana de exportación de 30 días, y luego se eliminan o anonimizan en un plazo adicional de 60 días, conforme al DPA.
  • Las copias de seguridad que contengan datos eliminados se purgan en la rotación estándar (≤ 35 días). No editamos copias a mano.
  • Un certificado de eliminación está disponible a pedido.

11. Divulgación responsable

Damos la bienvenida a los reportes de investigadores de seguridad. Escribe a security@anvilhk.com (reenviado a 738888@proton.me) con:

  • Descripción clara del problema y el activo afectado.
  • Pasos de prueba de concepto, minimizados para evitar tocar datos reales de clientes.
  • Tu nombre o handle si deseas crédito.

Nos comprometemos a:

  • Acusar recibo en 2 días hábiles.
  • Proporcionar una evaluación inicial en 5 días hábiles.
  • No emprender acciones legales contra investigadores que actúen de buena fe dentro del alcance de nuestro security.txt.
  • Dar crédito a los investigadores (con consentimiento) en un salón de la fama.

Se está definiendo un programa pagado de bug bounty para 2026. Hasta su lanzamiento, pagamos a nuestra discreción por hallazgos de alto impacto.

12. Estado y transparencia

  • Estado en vivo en status.anvilhk.com.
  • El mantenimiento programado se anuncia con al menos 72 horas de antelación en la página de estado.
  • Publicamos anualmente un informe de transparencia que resume los volúmenes de solicitudes de datos por parte de fuerzas del orden y organismos gubernamentales.

13. Contacto

Todas las direcciones alias actualmente reenvían a 738888@proton.me mientras completamos la migración de correo corporativo.