Amor en Páginas
Volver

Política de Seguridad

Última actualización: 12 de noviembre de 2025

1. Introducción

En Amor en Páginas tomamos la seguridad en serio. Esta política describe las medidas técnicas y organizativas que implementamos para proteger los sitios web que creamos para nuestros clientes, así como el proceso de divulgación responsable de vulnerabilidades.

2. Alcance

Esta política aplica a:

  • El sitio principal de marketing (amorenpaginas.ar o dominio similar)
  • Las páginas web personalizadas que creamos para clientes
  • La infraestructura de hosting y servicios asociados bajo nuestro control

Exclusiones: servicios de terceros elegidos por el cliente (redes sociales, formularios externos, servicios de almacenamiento no gestionados por nosotros) quedan fuera de nuestro control directo.

3. Medidas de seguridad implementadas

3.1. Cifrado y transporte seguro

  • Todos los sitios se sirven exclusivamente por HTTPS con certificados TLS 1.2 o superior
  • Habilitamos HSTS (HTTP Strict Transport Security) cuando el proveedor de hosting lo permite
  • Forzamos redirección automática de HTTP a HTTPS en la configuración del servidor

3.2. Control de accesos

  • Aplicamos el principio de mínimo privilegio en todas las cuentas y servicios
  • Habilitamos autenticación de dos factores (2FA) en todas las cuentas críticas: GitHub, hosting, servicios de email, CDN
  • Revocamos inmediatamente credenciales al cesar relación con colaboradores
  • Rotación periódica de tokens de API y credenciales sensibles
  • Las páginas con contenido sensible se entregan con enlaces privados (URLs no indexables)

3.3. Gestión de dependencias

  • Monitoreo de vulnerabilidades en dependencias mediante herramientas automatizadas
  • Actualización regular de librerías (Bootstrap, fuentes, scripts de terceros)
  • Uso de Subresource Integrity (SRI) cuando se cargan recursos de CDN externos
  • Preferencia por proveedores reconocidos: Google Fonts, jsDelivr, CDN oficiales de Bootstrap

3.4. Protección de datos personales

  • Minimización de datos: solo recopilamos información estrictamente necesaria
  • No almacenamos contraseñas de usuarios finales (las páginas de regalo no tienen sistema de login tradicional)
  • Los formularios de contacto incluyen protecciones anti-spam: campo honeypot, verificación de timing, validación de formato
  • Datos de contacto de clientes se usan únicamente para la gestión del proyecto
  • No compartimos información con terceros sin consentimiento explícito

3.5. Hardening de código

  • Sanitización de entradas en formularios antes del procesamiento
  • Validación tanto en cliente como en servidor (cuando aplique)
  • Headers de seguridad configurados: X-Content-Type-Options, X-Frame-Options, Referrer-Policy
  • Política de Content Security Policy (CSP) en evolución hacia una implementación más restrictiva

3.6. Backups y continuidad

  • Repositorios de código alojados en GitHub con historial completo
  • Resguardo de assets originales (imágenes, videos, textos provistos) durante ejecución del proyecto y ventana post-entrega
  • Backups automáticos del hosting con retención de 30 días (según plan contratado)
  • Plan de recuperación ante desastres con tiempos estimados de restablecimiento

4. Gestión de vulnerabilidades

Monitoreamos proactivamente la seguridad de nuestros proyectos:

  • Escaneo automatizado de dependencias vulnerables en repositorios GitHub
  • Revisión manual periódica de código en busca de patrones inseguros
  • Parcheo de vulnerabilidades críticas dentro de 48 horas de identificación
  • Vulnerabilidades medias y bajas según plan de mitigación documentado

5. Divulgación responsable de vulnerabilidades

Si encontraste una vulnerabilidad de seguridad en alguno de nuestros sitios, te pedimos que nos lo reportes de forma responsable:

Proceso de reporte:

  1. Enviá los detalles a través del formulario de contacto o directamente a amundarainp@gmail.com
  2. Incluí:
    • URL afectada
    • Descripción detallada de la vulnerabilidad
    • Pasos para reproducir el problema
    • Impacto estimado (baja/media/alta/crítica)
    • Proof of concept (PoC) si corresponde — sin ejecutar en producción
  3. Esperá 72 horas antes de divulgar públicamente para darnos tiempo de evaluar y mitigar

Compromiso del Estudio:

  • Confirmación de recepción del reporte en un plazo de 48 horas hábiles
  • Evaluación y priorización dentro de 5 días hábiles
  • Actualización de estado cada 7 días durante la remediación
  • Reconocimiento público (si lo deseás) una vez mitigada la vulnerabilidad
  • No tomaremos acciones legales contra investigadores de seguridad que actúen de buena fe

Qué NO hacer:

  • Acceder, modificar o eliminar datos que no te pertenecen
  • Ejecutar ataques de denegación de servicio (DoS/DDoS)
  • Realizar ingeniería social o phishing contra nuestros clientes o equipo
  • Divulgar públicamente antes del período de gracia

6. Respuesta a incidentes

En caso de un incidente de seguridad que afecte datos o servicios de clientes:

  1. Detección y contención (0-4 horas): identificación del alcance, aislamiento del sistema afectado, preservación de evidencia
  2. Análisis y erradicación (4-24 horas): determinación de la causa raíz, eliminación del vector de ataque, parcheo de sistemas
  3. Recuperación (24-48 horas): restauración de servicios, verificación de integridad, monitoreo intensivo
  4. Notificación (dentro de 72 horas): informamos a clientes afectados por email con detalles del incidente, datos comprometidos (si aplica) y medidas tomadas
  5. Post-mortem (7 días): análisis retrospectivo, identificación de mejoras, actualización de procedimientos

7. Seguridad física y operativa

  • Equipos de desarrollo con cifrado de disco completo y contraseñas fuertes
  • Software antimalware actualizado en todos los dispositivos
  • Uso de VPN para acceso a servicios críticos en redes públicas
  • Capacitación del equipo en mejores prácticas de seguridad
  • Procedimiento de salida de personal: revocación inmediata de accesos

8. Terceros y proveedores

Trabajamos únicamente con proveedores reconocidos:

  • Hosting: GitHub Pages, Vercel o Netlify (según proyecto) — todos con certificados SSL automáticos y configuraciones de seguridad robustas
  • CDN: jsDelivr, Google Fonts — verificados con SRI cuando es posible
  • Email: proveedores con soporte DKIM, SPF y DMARC
  • Repositorios: GitHub con protección de ramas, revisión de código y escaneo de secretos

Evaluamos periódicamente la postura de seguridad de nuestros proveedores y consideramos alternativas si detectamos deficiencias.

9. Mejora continua

Esta política es un documento vivo. Revisamos y actualizamos nuestras prácticas de seguridad al menos cada 6 meses, o antes si surgen nuevas amenazas o recomendaciones de la industria. Las actualizaciones significativas se comunican a través de nuestro sitio principal.

10. Acuerdos específicos

Si tu proyecto requiere medidas de seguridad adicionales (auditorías de código, certificaciones, SLA específicos, compliance con regulaciones particulares), podemos documentarlas como anexo al contrato. Contactanos para discutir tus requerimientos.

11. Contacto de seguridad

Email de seguridad: amundarainp@gmail.com

Formulario de contacto: amorenpaginas.ar/#contacto

PGP/GPG: disponible bajo solicitud para comunicaciones sensibles