Centro de seguridad
Cómo Bombyx protege sus datos y mantiene la integridad de la plataforma.
Última actualización: 29 de junio de 2026
Nuestro compromiso con la seguridad
En Bombyx, la seguridad no es una ocurrencia tardía: es fundamental para todo lo que construimos. Manejamos datos logísticos confidenciales, flujos de trabajo operativos e información comercial crítica en nombre de nuestros clientes, y tomamos esa responsabilidad en serio. Este Centro de seguridad describe las medidas técnicas y organizativas que implementamos para proteger la confidencialidad, integridad y disponibilidad de sus datos.
Cifrado
Datos cifrados en tránsito y en reposo mediante protocolos estándar de la industria.
Control de acceso
Controles de acceso basados en roles y autenticación multifactor aplicados en toda la plataforma.
Monitoreo
Supervisión continua de seguridad y detección de anomalías, 24 horas al día, 7 días a la semana.
Respuesta a incidentes
Procedimientos definidos para una rápida identificación, contención y recuperación.
Seguridad de la infraestructura
La plataforma Bombyx está alojada en una infraestructura en la nube de nivel empresarial con múltiples capas de controles de seguridad físicos y lógicos:
- Centros de datos con proveedores de nube certificados SOC 2 Tipo II e ISO 27001;
- Redundancia geográfica y conmutación por error automática para garantizar una alta disponibilidad;
- Segmentación de red con cortafuegos, sistemas de detección de intrusiones (IDS) y cortafuegos de aplicaciones web (WAF);
- Escaneo regular de vulnerabilidades de infraestructura y pruebas de penetración;
- Gestión automatizada de parches para el software y las dependencias del sistema.
Cifrado de datos
Aplicamos un cifrado robusto para proteger sus datos en cada etapa:
- En tránsito: Todos los datos transmitidos entre su navegador o aplicación y nuestros servidores se cifran mediante TLS 1.2 o superior. Aplicamos HTTPS en todos los puntos finales.
- En reposo: Todos los datos almacenados se cifran mediante cifrado AES-256. Las copias de seguridad de las bases de datos también están cifradas.
- Datos de pago: los detalles de la tarjeta nunca se transmiten ni se almacenan en los servidores de Bombyx. Todo el procesamiento de pagos está a cargo de Stripe, que posee la certificación PCI DSS Nivel 1, el estándar más alto en la industria de las tarjetas de pago.
Controles de acceso y autenticación
Aplicamos estrictos controles de acceso para minimizar el riesgo de acceso no autorizado:
- Control de acceso basado en roles (RBAC): A los usuarios se les concede el nivel mínimo de acceso necesario para su rol (principio de mínimo privilegio);
- Autenticación multifactor (MFA): MFA está disponible y se recomienda para todas las cuentas de usuario;
- Gestión de sesiones: Tiempos de espera de sesión automáticos y gestión segura de tokens de sesión;
- Acceso interno: Los empleados de Bombyx acceden a los sistemas de producción únicamente a través de una VPN segura con autenticación multifactor (MFA). Todo el acceso interno se registra y se audita.
Monitoreo y detección de seguridad
Bombyx mantiene una monitorización continua de nuestra infraestructura y plataforma:
- Agregación y análisis de registros en tiempo real mediante herramientas de gestión de información y eventos de seguridad (SIEM);
- Alertas automatizadas para actividades sospechosas, incluidas anomalías de inicio de sesión, acceso inusual a datos y cambios de configuración;
- Revisión periódica de los registros de acceso y las pistas de auditoría;
- Análisis de seguridad de terceros y pruebas de penetración periódicas.
Respuesta a incidentes
Bombyx mantiene un Plan de respuesta a incidentes (IRP) formal para manejar los eventos de seguridad de manera eficiente:
- Detección: detección automática y manual de posibles incidentes de seguridad;
- Contención: Aislamiento inmediato de los sistemas afectados para prevenir la propagación;
- Investigación: Análisis de la causa raíz y revisión forense;
- Recuperación: Restauración del sistema a partir de copias de seguridad seguras con verificación de integridad;
- Notificación: En caso de una violación de datos personales, notificaremos a los usuarios afectados y a las autoridades reguladoras pertinentes según lo exija la ley aplicable (en un plazo de 72 horas conforme al RGPD).
Seguridad del empleado
Nuestro equipo es un componente fundamental de nuestra postura de seguridad:
- Todos los empleados se someten a verificaciones de antecedentes antes de ser contratados;
- La capacitación sobre concientización sobre seguridad se lleva a cabo durante la incorporación y posteriormente anualmente;
- Los empleados con acceso a datos sensibles están sujetos a acuerdos de confidencialidad;
- El acceso a los datos de los clientes está restringido estrictamente a quienes necesitan conocerlos y se registra.
Seguridad de proveedores y terceros
Adoptamos un enfoque basado en el riesgo para la seguridad de terceros:
- Se evalúa la postura de seguridad de todos los subprocesadores y proveedores críticos antes de la participación;
- Los Acuerdos de Procesamiento de Datos (APD) se suscriben con todos los proveedores que procesan datos personales;
- El acceso de los proveedores a los sistemas Bombyx está controlado, monitoreado y tiene una duración limitada.
Continuidad del negocio y recuperación ante desastres
Mantenemos planes integrales para garantizar la continuidad del servicio:
- Copias de seguridad automatizadas realizadas diariamente con almacenamiento cifrado y replicación externa;
- Objetivo de punto de recuperación (RPO): máximo 24 horas de pérdida de datos en un evento catastrófico;
- Objetivo de tiempo de recuperación (RTO): objetivo de restauración en 4 horas;
- Los procedimientos de recuperación ante desastres se prueban periódicamente.
Política de divulgación responsable
Bombyx agradece los informes de investigadores de seguridad y de la comunidad en general. Si descubre una posible vulnerabilidad en nuestra plataforma, infórmenos de forma responsable:
- No explote ni intente explotar las vulnerabilidades que descubra;
- No acceda, modifique ni elimine los datos del usuario;
- Informe los resultados a support@bom-byx.com con una descripción detallada;
- Permítanos un tiempo razonable para investigar y remediar antes de la divulgación pública.
Reconocemos todos los informes dentro de las 48 horas y lo mantendremos informado de nuestro progreso. No emprendemos acciones legales contra investigadores de seguridad de buena fe.