Política de Seguridad

Última actualización: 27 de enero de 2025

En Feraloventa, la seguridad de su información es nuestra máxima prioridad. Este documento describe nuestras prácticas, medidas y compromisos para proteger sus datos y garantizar la integridad de nuestros servicios.

---

1. Compromiso con la Seguridad

Implementamos un enfoque integral de seguridad que abarca aspectos técnicos, organizativos y operativos para proteger la confidencialidad, integridad y disponibilidad de la información de nuestros usuarios.

1.1 Principios Fundamentales

• Seguridad por diseño en todos nuestros sistemas y procesos
• Evaluación continua de riesgos y amenazas
• Mejora constante de nuestras medidas de protección
• Transparencia en nuestras prácticas de seguridad
• Cumplimiento de estándares internacionales reconocidos

---

2. Protección de Datos

2.1 Cifrado de Información

Aplicamos cifrado robusto para proteger sus datos:

• Datos en tránsito: Utilizamos protocolos TLS 1.3 o superior para todas las comunicaciones entre su navegador y nuestros servidores
• Datos en reposo: La información almacenada se cifra mediante algoritmos de nivel empresarial
• Información sensible: Datos críticos como contraseñas se procesan mediante funciones hash criptográficas unidireccionales
• Claves de cifrado: Gestión segura de claves con rotación periódica y almacenamiento protegido

2.2 Almacenamiento Seguro

• Servidores ubicados en centros de datos certificados con medidas físicas de seguridad
• Redundancia y respaldos automáticos para garantizar la continuidad del servicio
• Segregación de datos por capas de seguridad
• Controles de acceso estrictos a nivel de infraestructura

2.3 Minimización de Datos

Recopilamos y conservamos únicamente la información necesaria para proporcionar nuestros servicios, eliminando datos cuando ya no son requeridos según nuestras políticas de retención.

---

3. Control de Acceso

3.1 Autenticación de Usuarios

• Contraseñas robustas con requisitos mínimos de complejidad
• Autenticación de múltiples factores disponible para mayor protección
• Sesiones cifradas con tokens de seguridad únicos
• Cierre automático de sesiones inactivas
• Protección contra ataques de fuerza bruta mediante límites de intentos

3.2 Gestión de Contraseñas

Recomendaciones para crear contraseñas seguras:

• Utilice al menos 12 caracteres combinando mayúsculas, minúsculas, números y símbolos
• Evite información personal fácilmente identificable
• No reutilice contraseñas de otras plataformas
• Cambie su contraseña periódicamente
• Considere el uso de gestores de contraseñas confiables

3.3 Acceso Interno

Nuestro personal autorizado tiene acceso limitado según el principio de menor privilegio:

• Acceso otorgado únicamente cuando es estrictamente necesario
• Autenticación reforzada para accesos administrativos
• Registro completo de todas las actividades de acceso
• Revisiones periódicas de permisos y privilegios
• Desactivación inmediata de accesos al finalizar relaciones laborales

---

4. Seguridad de Infraestructura

4.1 Protección de Red

• Firewalls avanzados con reglas estrictas de filtrado
• Sistemas de detección y prevención de intrusiones
• Segmentación de red para aislar componentes críticos
• Monitoreo continuo del tráfico de red
• Protección contra ataques DDoS distribuidos

4.2 Seguridad de Aplicaciones

Nuestras aplicaciones están diseñadas y desarrolladas siguiendo prácticas seguras:

• Validación exhaustiva de todas las entradas de usuario
• Protección contra inyecciones SQL y scripts entre sitios
• Prevención de falsificación de solicitudes entre sitios
• Gestión segura de errores sin exponer información sensible
• Pruebas de seguridad automatizadas en cada actualización

4.3 Actualizaciones y Parches

• Aplicación rápida de actualizaciones de seguridad críticas
• Mantenimiento regular de todos los sistemas y componentes
• Evaluación de vulnerabilidades antes de implementar cambios
• Entorno de pruebas separado para validar actualizaciones

---

5. Monitoreo y Detección

5.1 Vigilancia Continua

Supervisamos nuestros sistemas las 24 horas del día, los 7 días de la semana:

• Detección automática de anomalías y comportamientos sospechosos
• Alertas en tiempo real ante actividades inusuales
• Análisis de registros de seguridad
• Monitoreo de integridad de archivos críticos
• Seguimiento de métricas de rendimiento y disponibilidad

5.2 Registro de Actividades

Mantenemos registros detallados de eventos relevantes para seguridad:

• Intentos de acceso autorizados y no autorizados
• Cambios en configuraciones de seguridad
• Transacciones y operaciones críticas
• Eventos de sistema y aplicaciones
• Conservación de registros según períodos establecidos

---

6. Respuesta a Incidentes

6.1 Plan de Respuesta

Contamos con procedimientos establecidos para gestionar incidentes de seguridad:

• Detección: Identificación rápida mediante sistemas de monitoreo
• Contención: Aislamiento inmediato para limitar el impacto
• Análisis: Investigación exhaustiva para determinar alcance y causas
• Erradicación: Eliminación de la amenaza y vulnerabilidades
• Recuperación: Restauración segura de servicios afectados
• Documentación: Registro completo para prevenir futuros incidentes

6.2 Comunicación de Incidentes

En caso de un incidente de seguridad que pueda afectar sus datos:

• Evaluaremos el impacto de manera inmediata
• Notificaremos a los usuarios afectados sin demora indebida
• Proporcionaremos información clara sobre el incidente y las medidas tomadas
• Ofreceremos orientación sobre acciones recomendadas para protegerse
• Mantendremos actualizados a los usuarios durante la resolución

---

7. Seguridad de Terceros

7.1 Proveedores de Servicios

Cuando trabajamos con terceros que procesan datos en nuestro nombre:

• Realizamos evaluaciones rigurosas de seguridad antes de la contratación
• Establecemos acuerdos contractuales con obligaciones de seguridad específicas
• Limitamos el acceso a la información estrictamente necesaria
• Monitoreamos el cumplimiento de estándares de seguridad
• Revisamos periódicamente las prácticas de nuestros proveedores

7.2 Integraciones Externas

Para servicios integrados de terceros:

• Utilizamos APIs seguras con autenticación robusta
• Transmitimos únicamente datos necesarios para la funcionalidad
• Verificamos certificaciones de seguridad de proveedores
• Implementamos controles adicionales para operaciones sensibles

---

8. Evaluaciones y Auditorías

8.1 Pruebas de Seguridad

Realizamos evaluaciones regulares de nuestros sistemas:

• Escaneos automáticos de vulnerabilidades de forma continua
• Pruebas de penetración por especialistas calificados
• Revisiones de código enfocadas en seguridad
• Evaluaciones de configuraciones y controles
• Simulaciones de respuesta ante incidentes

8.2 Auditorías Externas

Sometemos nuestras prácticas de seguridad a revisión independiente:

• Auditorías periódicas por entidades certificadas
• Evaluaciones de cumplimiento de estándares internacionales
• Implementación de recomendaciones identificadas
• Mantenimiento de certificaciones relevantes del sector

---

9. Formación y Concienciación

9.1 Capacitación del Personal

Nuestro equipo recibe formación continua en seguridad:

• Programas de concienciación sobre amenazas actuales
• Entrenamiento en mejores prácticas de desarrollo seguro
• Simulaciones de ataques de ingeniería social
• Actualización sobre nuevas técnicas y herramientas
• Evaluaciones periódicas de conocimientos

9.2 Cultura de Seguridad

Promovemos una cultura organizacional donde la seguridad es responsabilidad de todos:

• Canales para reportar preocupaciones de seguridad
• Reconocimiento de contribuciones a la seguridad
• Comunicación abierta sobre riesgos y mejoras
• Integración de seguridad en todos los procesos

---

10. Seguridad Física

Nuestros centros de datos y oficinas cuentan con protección física:

• Control de acceso mediante sistemas biométricos o tarjetas
• Vigilancia por video las 24 horas
• Personal de seguridad en instalaciones críticas
• Protección contra incendios y desastres naturales
• Sistemas redundantes de energía y refrigeración
• Destrucción segura de hardware al final de su vida útil

---

11. Continuidad del Negocio

11.1 Respaldos y Recuperación

• Copias de seguridad automáticas y frecuentes de todos los datos
• Almacenamiento de respaldos en ubicaciones geográficamente separadas
• Cifrado de todas las copias de seguridad
• Pruebas regulares de procedimientos de restauración
• Objetivos definidos de tiempo de recuperación

11.2 Alta Disponibilidad

Diseñamos nuestros sistemas para maximizar el tiempo de actividad:

• Arquitectura redundante sin puntos únicos de fallo
• Distribución de carga entre múltiples servidores
• Conmutación automática ante fallos de componentes
• Monitoreo proactivo de salud del sistema

---

12. Privacidad y Cumplimiento

Nuestra seguridad está alineada con nuestro compromiso de privacidad:

• Implementación de controles técnicos y organizativos apropiados
• Procesamiento de datos según principios de protección de datos
• Procedimientos para ejercer derechos de privacidad de manera segura
• Evaluaciones de impacto en privacidad para nuevos proyectos
• Cumplimiento de regulaciones aplicables de protección de datos

---

13. Responsabilidades del Usuario

La seguridad es una responsabilidad compartida. Le recomendamos:

13.1 Protección de Credenciales

• Mantenga su contraseña confidencial y no la comparta
• Utilice contraseñas únicas y complejas
• Active la autenticación de múltiples factores cuando esté disponible
• Cierre sesión al terminar de usar el servicio
• No guarde contraseñas en navegadores de dispositivos compartidos

13.2 Uso Seguro del Servicio

• Acceda desde dispositivos y redes confiables
• Mantenga actualizado su sistema operativo y navegador
• Utilice software antivirus y antimalware actualizado
• Desconfíe de correos electrónicos o mensajes sospechosos
• Verifique la legitimidad de comunicaciones que soliciten información

13.3 Reporte de Problemas

Si detecta actividad sospechosa o problemas de seguridad:

• Notifíquenos inmediatamente a través de nuestros canales de soporte
• Cambie su contraseña si sospecha que ha sido comprometida
• Revise la actividad reciente en su cuenta
• No intente explotar vulnerabilidades descubiertas

---

14. Programa de Divulgación Responsable

Valoramos la colaboración de investigadores de seguridad:

• Aceptamos reportes de vulnerabilidades de forma confidencial
• Proporcionamos un canal dedicado para divulgación responsable
• Nos comprometemos a responder y actuar sobre reportes legítimos
• Reconocemos las contribuciones de investigadores cuando corresponda
• No emprenderemos acciones legales contra investigaciones éticas

Para reportar una vulnerabilidad, envíe un correo detallado a: security@feraloventa.org

---

15. Mejora Continua

La seguridad es un proceso en evolución constante:

• Monitoreamos el panorama de amenazas emergentes
• Adoptamos nuevas tecnologías y mejores prácticas
• Aprendemos de incidentes propios y del sector
• Invertimos continuamente en capacidades de seguridad
• Solicitamos retroalimentación de usuarios y expertos

---

16. Contacto de Seguridad

Para consultas relacionadas con seguridad:

Correo electrónico de seguridad: security@feraloventa.org

Correo general: info@feraloventa.org

Dirección postal:
Feraloventa
C. Princesa, 9
30002 Murcia
España

Teléfono: +34957237927

Nuestro equipo de seguridad está disponible para atender sus preocupaciones y trabajar hacia la protección continua de su información.

---

17. Actualizaciones de esta Política

Revisamos y actualizamos esta política de seguridad periódicamente para reflejar:

• Cambios en nuestras prácticas de seguridad
• Evolución del panorama de amenazas
• Nuevas tecnologías y capacidades implementadas
• Requisitos regulatorios actualizados
• Retroalimentación de auditorías y evaluaciones

Cuando realicemos cambios significativos, se actualizará la fecha de "Última actualización" al inicio de este documento. Le recomendamos revisar esta política periódicamente para mantenerse informado sobre cómo protegemos su información.

---

Gracias por confiar en Feraloventa. Su seguridad es nuestra prioridad.