Centro de Confianza
Seguridad y Confianza
Upstone LLC se compromete a proteger los datos de sus clientes y a operar sus productos con disciplina. Esta página resume los controles, procesos y compromisos que rigen nuestra infraestructura y la entrega de software.
1. Protección de datos
Todos los datos de los clientes se cifran en tránsito con TLS 1.2 o superior y en reposo con AES-256. Las copias de seguridad de las bases de datos se cifran con el mismo estándar y se almacenan en regiones geográficamente separadas. El acceso a los datos de producción está restringido por rol y se revisa trimestralmente.
2. Alojamiento e infraestructura
Nuestros productos se alojan en una infraestructura en la nube reforzada, con red redundante, conmutación por error automática y monitorización continua. Los sistemas de producción están aislados de los entornos de desarrollo y pruebas mediante políticas de red estrictas.
3. Autenticación y control de acceso
Las cuentas de cliente admiten el hash de contraseñas con algoritmos estándar del sector (bcrypt/argon2) y autenticación de dos factores opcional. El acceso administrativo interno está protegido por 2FA con respaldo de hardware y registrado para auditoría.
4. RGPD y privacidad
Upstone LLC trata los datos personales conforme al Reglamento General de Protección de Datos (RGPD) de la UE y marcos equivalentes. Actuamos como encargado del tratamiento en nombre de nuestros clientes empresariales bajo un Acuerdo de Tratamiento de Datos firmado. Los clientes pueden solicitar la exportación o eliminación de sus datos personales en cualquier momento escribiendo a privacy@upstone.io.
5. Pagos y PCI
Todo el procesamiento de pagos lo gestiona exclusivamente Stripe (proveedor certificado PCI-DSS Nivel 1). Upstone LLC nunca almacena números de tarjeta sin procesar ni códigos CVV en su propia infraestructura.
6. Subencargados
Nos apoyamos en un número reducido de subencargados externos de confianza para el alojamiento, el envío de emails, la analítica y los pagos. La lista actual y sus funciones de tratamiento de datos están disponibles a petición para los clientes bajo un Acuerdo de Tratamiento de Datos.
7. Continuidad del negocio
Los servicios críticos se respaldan a diario, con recuperación a un punto en el tiempo disponible para las bases de datos transaccionales. Los procedimientos de recuperación se prueban periódicamente y los objetivos de recuperación ante desastres se definen por producto.
8. Divulgación de vulnerabilidades
Damos la bienvenida a la divulgación responsable por parte de la comunidad de seguridad. Si crees que has encontrado una vulnerabilidad de seguridad en alguno de nuestros productos o servicios, escribe a security@upstone.io. Procuramos acusar recibo de los informes en 5 días hábiles.
9. Hoja de ruta de cumplimiento
Nuestro programa de cumplimiento está madurando activamente. Seguimos nuestra preparación frente a los marcos SOC 2 Type II e ISO 27001 y priorizamos los controles según la demanda de los clientes y la exposición regulatoria.
¿Necesitas nuestra respuesta al cuestionario de seguridad?
Los clientes empresariales y los equipos de compras pueden solicitar nuestro cuestionario de seguridad estándar, el Acuerdo de Tratamiento de Datos y la lista de subencargados escribiendo a security@upstone.io.