Seguridad y Privacidad Primero
Protegemos sus datos con los más altos estándares de seguridad y cumplimiento
Última actualización: Noviembre de 2025
Visión General de Seguridad
Fhinck adopta un enfoque de Defense in Depth, implementando múltiples capas de controles de seguridad en toda nuestra infraestructura, aplicaciones y procesos operacionales.
Zero Trust
Privacy by Design
Minimización de Datos
Defensa en profundidad
Transparencia
1. Infraestructura en la Nube
Alojamiento seguro y certificado
Google Cloud Platform (GCP)
Región: Oregón, EE. UU.
Certificaciones del GCP:
- ISO 27001: Gestión de seguridad de la información
- SOC 2 Type II: Controles de seguridad y confidencialidad
- PCI-DSS: Estándar de seguridad de la industria de tarjetas
- GDPR/LGPD Compliant: Cláusulas de protección de datos
SLA y Disponibilidad:
SLA GCP: 99,95%
Compromiso Fhinck: 99,5%
Arquitectura Serverless:
- Cloud Functions & Cloud Run
- Escalabilidad automática
- Parches de seguridad automáticos
Bases de Datos Seguras
BigQuery (Data Warehouse):
- • Cifrado AES-256 en reposo
- • Controles de acceso granulares
- • Auditoría completa de consultas
Firestore (NoSQL):
- • Cifrado automático
- • Reglas de seguridad personalizadas
- • Copia de seguridad diaria automatizada
Segregación de Entornos
Desarrollo
Datos sintéticos o anonimizados
Staging
Pruebas preproducción aisladas
Producción
Entorno protegido y monitorizado
2. Cifrado
Cifrado en Tránsito
TLS 1.3 (Transport Layer Security)
- Todas las comunicaciones mediante HTTPS
- Certificados SSL/TLS renovados automáticamente
- Configuración reforzada (sin cifrados débiles)
- HSTS (HTTP Strict Transport Security)
Cliente → TLS 1.3 → Load Balancer → Internal TLS → Backend
Cifrado en Reposo
AES-256 (Advanced Encryption Standard)
- Datos almacenados cifrados en BigQuery
- Cifrado propietario adicional de Fhinck
- Copias de seguridad cifradas con AES-256-GCM
Gestión de Claves:
- • Google Cloud KMS
- • Rotación automática de claves
- • Separación por cliente (cuando se contrata)
Hash de Contraseñas:
bcrypt (custo 12) - bcrypt (costo 12) — Resistente a ataques de fuerza bruta
Seudonimización y Anonimización
Opciones disponibles para clientes:
Seudonimización
ID reemplazado por hash único
Anonimización Completa
Eliminación de identificadores personales
Agregación
Solo datos agregados
3. Controles de Acceso y Autenticación
3.1. Autenticación Multifactor (MFA)
Obligatoria para todos los accesos críticos:
3.2. Single Sign-On (SSO)
Integraciones Disponibles:
- SAML 2.0: Estándar enterprise
- OIDC: Protocolo moderno de identidad
- Google, Azure AD, Okta, Auth0
Beneficios:
- Gestión centralizada de identidades
- Credenciales únicas para múltiples sistemas
- Políticas de contraseña corporativas aplicadas
- Revocación instantánea de acceso
3.3. Control de Acceso Basado en Roles (RBAC)
Perfiles granulares en el Dashboard:
Visualizador
Acceso solo lectura
Analista
Creación de informes
Gestor
Acceso al departamento
Administrador
Gestión completa
Auditor
Acceso a logs
Principio de Mínimo Privilegio: Cada usuario recibe únicamente los permisos necesarios para sus funciones.
4. Desarrollo Seguro de Software
SAST
Análisis Estático de Código
- • ESLint Security Plugin
- • Semgrep (OWASP/CWE)
- • CodeQL (GitHub)
DAST
Análisis Dinámico de Aplicaciones
- • OWASP ZAP
- • Baseline & Full Scan
- • API Security Scan
Vulnerabilidades
Gestión Proactiva
- • npm audit (semanal)
- • Snyk (contínuo)
- • Dependabot (automático)
Plazos de Corrección de Vulnerabilidades
CRÍTICAS
< 48h
ALTAS
< 10 días
MEDIAS
Próximo sprint
BAJAS
Versión futura
Pruebas de Penetración
Frecuencia
Anual
Última Ejecución
Junio 2025
Resultado
✓ Ninguna vuln. crítica
9. Privacidad y Protección de Datos
Cumplimiento LGPD
Estado: Totalmente Conforme
Funciones y Responsabilidades
Responsable: Cliente
Determina los fines y medios del tratamiento
Encargado: Fhinck
Procesa datos conforme a instrucciones del Responsable
DPO: Michel Zarzour Filho
dpo@fhinck.com
(11) 98367-3803
Minimización de Datos
✓ Recopilamos
- • ID de usuario, hostname
- • Metadatos de apps
- • Tiempos de actividad
✗ NO Recopilamos
- • Capturas de pantalla
- • Keylogging
- • Contenido de documentos
10. Respuesta a Incidentes de Seguridad
Proceso de Respuesta
Detección
0–2 horas
Contención
2–8 horas
Notificación
Hasta 48h
Resolución
Pos-incidente
Equipo de Respuesta a Emergencias (ERT)
13. Auditorías y Certificaciones
Auditorías Internas
Certificaciones
Cumplimiento LGPD
Totalmente conforme
ISO 27001
Alineados
Marco Civil da Internet
Conforme
Portaria MTE 671/2021
Conforme
OWASP Top 10
Mitigaciones implementadas
Infraestructura (GCP)
ISO 27001
SOC 2 Type II
PCI-DSS
18. Contacto y Soporte
Emergencias
Equipo ERT
24/7 para incidentes críticos
Compromiso Final
La seguridad y privacidad de los datos de nuestros clientes y usuarios son prioridades absolutas de Fhinck. Invertimos continuamente en tecnología, procesos y personas para mantener los más altos estándares de protección.
Última actualización: Noviembre de 2025 | Próxima revisión: Junio de 2026