Política de Seguridad

Última Actualización: 1 de diciembre de 2024

En Apilium Corp OU, la seguridad es fundamental para todo lo que construimos. Como desarrolladores nosotros mismos, entendemos la importancia crítica de proteger su código y datos. Esta Política de Seguridad describe nuestro enfoque integral para asegurar Apilium Forge IDE y todos los servicios relacionados.

1. Nuestro Compromiso de Seguridad

Estamos comprometidos a:

  • Proteger la confidencialidad, integridad y disponibilidad de su código y datos
  • Nunca usar su código para entrenar modelos de IA sin consentimiento explícito
  • Implementar controles de seguridad líderes en la industria y mejores prácticas
  • Proporcionar transparencia sobre nuestras prácticas de seguridad a través de esta política
  • Monitorear, probar y mejorar continuamente nuestra postura de seguridad
  • Responder de manera rápida y transparente a incidentes de seguridad

Certificaciones y Evaluaciones

Mantenemos las siguientes certificaciones de seguridad y nos sometemos a evaluaciones regulares:

  • Certificación SOC 2 Tipo II (en progreso)
  • Pruebas de penetración anuales por terceros
  • Escaneo continuo de vulnerabilidades
  • Auditorías de seguridad regulares por firmas independientes

Los informes de seguridad detallados están disponibles en apilium.com/security

2. Seguridad de Infraestructura

Flujo de Datos de Código

Cuando usa Apilium Forge IDE, su código fluye a través de nuestra infraestructura segura:

  • Su código se cifra en tránsito usando TLS 1.3
  • Las solicitudes se procesan a través de nuestros servidores backend alojados en AWS
  • El procesamiento de IA se realiza por nuestros proveedores de modelos con acuerdos de retención cero
  • Con el Modo Privacidad habilitado, no se almacena código en texto plano después de completar la solicitud

Socios de Infraestructura

Infraestructura Primaria

  • AWS (Amazon Web Services) - Infraestructura principal en la nube (regiones de EE.UU. y UE)
  • Cloudflare - Protección DDoS, WAF y servicios CDN
  • Google Cloud Platform - Infraestructura secundaria/de respaldo

Proveedores de Modelos de IA

Nos asociamos con proveedores líderes de IA, todos con acuerdos de retención cero de datos para usuarios del Modo Privacidad:

  • Anthropic (modelos Claude)
  • OpenAI (modelos GPT)
  • Modelos personalizados ajustados en infraestructura segura

3. Medidas Técnicas de Seguridad

Cifrado

Datos en Tránsito: Todos los datos transmitidos entre Apilium Forge y nuestros servidores están cifrados usando TLS 1.3 con suites de cifrado fuertes

Datos en Reposo: Todos los datos almacenados están cifrados usando cifrado AES-256-GCM

Las claves de cifrado se gestionan usando AWS KMS con rotación automática cada 90 días

Para clientes Empresariales, ofrecemos cifrado de extremo a extremo donde solo usted posee las claves de descifrado

Controles de Acceso

  • Autenticación multifactor (MFA) requerida para todas las cuentas de empleados
  • Claves de seguridad de hardware (FIDO2/WebAuthn) para acceso privilegiado
  • Control de acceso basado en roles (RBAC) con principio de menor privilegio
  • Aprovisionamiento de acceso justo a tiempo para sistemas de producción
  • Revisiones de acceso trimestrales y desaprovisionamiento inmediato al cesar
  • Lista blanca de IP y requisitos de VPN para acceso administrativo

Seguridad de Red

  • Firewall de Aplicaciones Web (WAF) con conjuntos de reglas personalizadas
  • Mitigación de DDoS de grado empresarial (Cloudflare Magic Transit)
  • Segmentación de red con subredes privadas para servicios sensibles
  • Sistemas de Detección/Prevención de Intrusiones (IDS/IPS)
  • Monitoreo continuo del tráfico de red y detección de anomalías
  • Pruebas de penetración externas e internas regulares

Seguridad de Aplicaciones

  • Ciclo de Vida de Desarrollo de Software Seguro (SSDLC) con puertas de seguridad
  • Revisiones de código obligatorias con lista de verificación enfocada en seguridad
  • Pruebas de Seguridad de Aplicaciones Estáticas (SAST) en pipeline CI/CD
  • Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) para aplicaciones desplegadas
  • Análisis de Composición de Software (SCA) para vulnerabilidades de dependencias
  • Capacitación de seguridad regular para todos los desarrolladores
  • Protección contra las 10 vulnerabilidades principales de OWASP y Top 25 de SANS

Seguridad del Cliente (IDE)

Apilium Forge IDE está construido con la seguridad en mente:

  • Binarios firmados con código para todas las plataformas (Windows, macOS, Linux)
  • Actualizaciones de seguridad automáticas con capacidad de reversión
  • Entorno de ejecución de extensiones en sandbox
  • Cifrado local de datos en caché y credenciales
  • Acceso de red configurable con dominios permitidos
  • Soporte para .apiliumignore para excluir archivos sensibles del procesamiento de IA

4. Seguridad Organizacional

Capacitación de Seguridad para Empleados

Todos los empleados de Apilium reciben capacitación integral de seguridad:

  • Capacitación de concientización sobre seguridad durante la incorporación
  • Actualizaciones de capacitación de seguridad trimestrales y evaluaciones
  • Ejercicios de simulación de phishing mensuales
  • Capacitación de seguridad específica por rol para ingenieros
  • Ejercicios de mesa de respuesta a incidentes anuales

Políticas de Seguridad

Mantenemos y aplicamos políticas de seguridad integrales:

  • Política y Estándares de Seguridad de la Información
  • Políticas de Uso Aceptable y Control de Acceso
  • Plan de Respuesta a Incidentes y Comunicación
  • Plan de Continuidad del Negocio y Recuperación ante Desastres
  • Requisitos de Evaluación de Seguridad de Proveedores
  • Directrices de Clasificación y Manejo de Datos
  • Gestión de Cambios y Procedimientos de Liberación

Verificación de Empleados

Todos los empleados con acceso a datos de clientes se someten a verificaciones de antecedentes apropiadas a su rol y jurisdicción, y firman acuerdos de confidencialidad.

5. Garantías de Seguridad del Modo Privacidad

Cuando el Modo Privacidad está habilitado en Apilium Forge (habilitado por defecto), proporcionamos las siguientes garantías de seguridad:

  • Cero retención de datos por todos los proveedores de modelos de IA
  • Ningún código en texto plano almacenado en nuestros servidores más allá del procesamiento inmediato de la solicitud
  • Su código nunca se usa para entrenar modelos de IA
  • Todas las solicitudes de IA incluyen encabezados de privacidad aplicados (x-privacy-mode)
  • Las solicitudes adoptan comportamiento de preservación de privacidad por defecto si faltan encabezados
  • La indexación del código base almacena solo embeddings ofuscados, no código en texto plano

Opciones de Privacidad Empresarial

  • Implementación local para soberanía de datos completa
  • Infraestructura dedicada aislada de otros clientes
  • Requisitos de residencia de datos personalizados (solo UE, regiones específicas)
  • Cifrado con su propia clave (BYOK)
  • Conectividad de red privada (AWS PrivateLink, VPN)

6. Protección de Datos

Clasificación de Datos

Clasificamos todos los datos según su nivel de sensibilidad:

  • Público: Materiales de marketing, documentación pública
  • Interno: Procesos internos, datos comerciales no sensibles
  • Confidencial: Datos de cuentas de clientes, comunicaciones de soporte
  • Restringido: Código de clientes, credenciales, configuraciones de seguridad

Respaldo y Recuperación

Mantenemos capacidades robustas de respaldo y recuperación ante desastres:

  • Respaldos cifrados y distribuidos geográficamente
  • Recuperación de punto en el tiempo para bases de datos (hasta 35 días)
  • Objetivo de Tiempo de Recuperación (RTO): 4 horas
  • Objetivo de Punto de Recuperación (RPO): 1 hora
  • Pruebas de recuperación ante desastres trimestrales
  • Capacidad de failover multi-región

7. Respuesta a Incidentes de Seguridad

Proceso de Respuesta a Incidentes

Seguimos un proceso de respuesta a incidentes estructurado:

  • Detección: Monitoreo automatizado y alertas 24/7
  • Triaje: Evaluación del equipo de seguridad dentro de 15 minutos
  • Contención: Aislamiento inmediato de sistemas afectados
  • Investigación: Análisis de causa raíz y evaluación de impacto
  • Erradicación: Eliminación de la amenaza y fortalecimiento del sistema
  • Recuperación: Restauración controlada de servicios
  • Post-mortem: Lecciones aprendidas y mejoras de procesos

Notificación de Violaciones

En caso de una violación de seguridad que afecte sus datos, nos comprometemos a:

  • Notificar a los usuarios afectados dentro de las 72 horas de confirmar la violación
  • Proporcionar detalles claros sobre qué datos fueron afectados
  • Explicar las acciones que estamos tomando para abordar el incidente
  • Ofrecer orientación sobre los pasos que puede tomar para protegerse
  • Notificar a las autoridades reguladoras pertinentes según lo requiera la ley
  • Proporcionar actualizaciones regulares hasta que el incidente se resuelva

8. Programa de Divulgación de Vulnerabilidades

Mantenemos un programa de divulgación responsable y damos la bienvenida a la investigación de seguridad.

Alcance

  • Apilium Forge IDE (todas las plataformas)
  • api.apilium.com y todos los subdominios
  • portal.apilium.com (Portal del Cliente)
  • apilium.com (Sitio Web)

Cómo Reportar

Si descubre una vulnerabilidad de seguridad:

  • Envíe un correo electrónico a [email protected] con información detallada de la vulnerabilidad
  • Incluya pasos para reproducir, impacto potencial y cualquier prueba de concepto
  • Para informes sensibles, use nuestra clave PGP (disponible en nuestra página de seguridad)
  • Permita hasta 90 días para la remediación antes de la divulgación pública

Nuestro Compromiso

Nos comprometemos con los investigadores de seguridad:

  • Acusar recibo dentro de las 24 horas
  • Proporcionar evaluación inicial dentro de 5 días hábiles
  • Mantenerlo informado del progreso de remediación
  • Acreditarlo en nuestros reconocimientos de seguridad (a menos que prefiera el anonimato)
  • No emprender acciones legales por investigación de seguridad de buena fe

Ofrecemos recompensas por vulnerabilidades que califiquen. Contáctenos para detalles del programa actual.

9. Seguridad de Terceros

Requisitos de Seguridad de Proveedores

Todos los proveedores con acceso a datos de clientes deben cumplir nuestros requisitos de seguridad:

  • Completar cuestionario de seguridad y evaluación de riesgos
  • Certificación SOC 2 Tipo II o equivalente
  • Acuerdo de Procesamiento de Datos (DPA) con cláusulas conformes al RGPD
  • Revisión de seguridad anual y re-certificación
  • Requisitos de notificación inmediata de violaciones

Subprocesadores

Subprocesadores actuales con acceso a datos de clientes:

  • AWS (Infraestructura) - EE.UU./UE
  • Anthropic, OpenAI (Modelos de IA) - EE.UU. con retención cero
  • Stripe (Procesamiento de Pagos) - EE.UU./UE
  • Cloudflare (CDN/Seguridad) - Global
  • MongoDB Atlas (Base de Datos) - UE
  • SendGrid (Correo Electrónico) - EE.UU.

Notificamos a los clientes 30 días antes de agregar nuevos subprocesadores. Lista actual disponible en apilium.com/compliance

10. Seguridad Física

Nuestra infraestructura está alojada en centros de datos de grado empresarial con seguridad física integral:

  • Personal de seguridad y vigilancia por video 24/7/365
  • Controles de acceso físico multifactor (biométrico + tarjeta)
  • Sistemas de entrada con mantrap y requisitos de escolta para visitantes
  • Controles ambientales (supresión de incendios, control climático, UPS, generadores)
  • Instalaciones certificadas SOC 2 Tipo II
  • Auditorías regulares de seguridad física

11. Actualizaciones de Política

Revisamos esta Política de Seguridad trimestralmente y la actualizamos para reflejar cambios en nuestras prácticas de seguridad, tecnología y regulaciones. Los cambios importantes se comunican por correo electrónico a todos los usuarios.

12. Información de Contacto

Para preguntas relacionadas con seguridad o para reportar problemas de seguridad:

Company: Apilium Corp OU

Address: Tallinn, Estonia

Equipo de Seguridad: [email protected]

Clave PGP: Disponible en apilium.com/security

Centro de Confianza: apilium.com/security

Consultas Generales: [email protected]