Documento técnico de seguridad
Claform Seguridad Descripción general
Encuestas que la gente termina
Una visión integral de cómo protegemos sus datos en las capas de infraestructura, aplicación, autenticación y operación.
Resumen ejecutivo
Seguridad por diseño
Claform es una plataforma empresarial de encuestas y comentarios que procesa millones de respuestas en más de 190 países a través de 8 canales de distribución. La seguridad no es algo secundario; es un principio de diseño fundamental integrado en cada capa de nuestra arquitectura.
Nuestra filosofía de seguridad se basa en la defensa en profundidad: múltiples controles superpuestos que garantizan que ningún punto único de fallo pueda comprometer la integridad o la confidencialidad de los datos. Combinamos cifrado estándar del sector, controles de acceso estrictos, supervisión continua y auditorías periódicas de terceros para mantener la confianza de las organizaciones que manejan datos de comentarios sensibles.
Este documento ofrece una descripción técnica de nuestros controles de seguridad en seis dominios: infraestructura, aplicación, protección de datos, autenticación, cumplimiento normativo y seguridad operativa.
Seguridad de la infraestructura
Nuestra plataforma se ejecuta en una infraestructura en la nube de nivel empresarial diseñada para alta disponibilidad, tolerancia a fallos y defensa en profundidad.
Alojamiento en la nube
Alojada en AWS con implementaciones multi-AZ en regiones distribuidas geográficamente. Los grupos de escalado automático mantienen el rendimiento bajo cargas máximas.
Aislamiento de red
Virtual Private Cloud (VPC) con subredes privadas, gateways NAT y grupos de seguridad estrictos. Sin acceso directo a Internet a los servidores de aplicaciones.
Protección contra DDoS
AWS Shield Advanced con CloudFront CDN proporciona mitigación de DDoS de múltiples capas. La limitación de velocidad y las reglas del WAF bloquean el tráfico malicioso antes de que llegue a la lógica de la aplicación.
Copias de seguridad y recuperación
Instantáneas diarias automatizadas de la base de datos con retención de 30 días. Recuperación a un momento dado dentro de los últimos 5 minutos. Replicación de copias de seguridad entre regiones para la recuperación ante desastres.
Seguridad de la aplicación
La seguridad está integrada en todo nuestro ciclo de vida de desarrollo, desde la revisión del código hasta la supervisión en producción.
Validación de entradas
Todas las entradas del usuario se validan, depuran y parametrizan en múltiples capas. La verificación estricta de tipos con TypeScript previene categorías enteras de vulnerabilidades en tiempo de ejecución.
Cobertura del OWASP Top 10
Protecciones sistemáticas contra todos los riesgos del OWASP Top 10, incluyendo inyección, autenticación rota, XSS, CSRF, deserialización insegura y configuración de seguridad incorrecta.
Análisis de dependencias
Análisis automatizado de todas las dependencias en cada compilación. Snyk y GitHub Dependabot supervisan en busca de vulnerabilidades conocidas. Los CVE críticos se corrigen en un plazo de 24 horas.
Pruebas de penetración
Pruebas de penetración anuales realizadas por empresas de seguridad certificadas y externas. Análisis continuo y automatizado de vulnerabilidades. Programa de recompensas por errores para la divulgación responsable.
Protección de datos
Todos los datos se cifran en reposo y en tránsito utilizando algoritmos criptográficos estándar del sector y una gestión estricta de claves.
AES-256-GCM en reposo
Todos los datos almacenados, incluidas las respuestas de las encuestas, los archivos cargados y la información de identificación personal, se cifran con AES-256-GCM. El cifrado transparente de datos a nivel de base de datos añade una segunda capa.
TLS 1.3 en tránsito
Toda la comunicación de red utiliza TLS 1.3 con conjuntos de cifrado robustos. Los encabezados HSTS imponen HTTPS. La fijación de certificados en los SDK móviles previene los ataques de intermediario.
Gestión de claves
Las claves de cifrado se gestionan a través de AWS KMS con rotación anual automática. Las claves nunca se almacenan junto a los datos. Los módulos de seguridad de hardware (HSM) protegen las claves maestras.
Detección de PII
La detección automatizada de PII en las respuestas de texto abierto de las encuestas identifica nombres, correos electrónicos, números de teléfono y direcciones. Los datos marcados pueden redactarse automáticamente o requerir revisión.
Autenticación y control de acceso
Gestión de identidades de nivel empresarial con múltiples factores de autenticación, permisos granulares y un control de sesiones integral.
SSO con SAML 2.0
Compatibilidad nativa con Okta, Azure AD, OneLogin, Google Workspace y cualquier proveedor de identidad SAML 2.0. Aprovisionamiento justo a tiempo y asignación automática de roles.
Autenticación multifactor TOTP
MFA con contraseña de un solo uso basada en tiempo y compatibilidad con aplicaciones de autenticación. Puede aplicarse en toda la organización o por rol. Códigos de recuperación con almacenamiento seguro.
Definición del alcance de las claves de API
Claves de API detalladas con permisos por endpoint, límites de velocidad, restricciones de IP y caducidad automática. Registro de auditoría completo del uso de las claves.
Gestión de sesiones y listas de IP permitidas
Tiempos de espera de sesión configurables, límites de sesiones concurrentes, cierre de sesión forzado y listas geográficas de IP permitidas. Supervisión de sesiones en tiempo real y detección de anomalías.
Cumplimiento normativo y certificaciones
Desarrollamos para alinearnos con las normativas globales de protección de datos y satisfacer los requisitos de los sectores regulados.
GDPR con acuerdo de procesamiento de datos
Cumplimiento total del GDPR, incluyendo los derechos del interesado (acceso, rectificación, supresión, portabilidad), la gestión del consentimiento y un acuerdo de procesamiento de datos (DPA) integral.
TCPA y CASL
Cumplimiento integrado para campañas de SMS y voz con seguimiento del consentimiento conforme a la TCPA, gestión de exclusiones y cumplimiento de la Legislación Canadiense Antispam (CASL).
SOC 2 (controles Type II)
Desarrollada en torno a los principios de confianza de SOC 2 Type II: seguridad, disponibilidad y confidencialidad. Los clientes Enterprise pueden solicitar nuestra documentación de seguridad actual bajo NDA.
BAA de HIPAA disponible
Acuerdo de asociado comercial disponible para organizaciones del sector sanitario. Manejo de datos conforme a la HIPAA, controles de acceso y registro de auditoría para la información médica protegida.
Seguridad operativa
La seguridad se extiende más allá de la tecnología hacia nuestras personas, procesos y prácticas organizativas.
Verificación de antecedentes de los empleados
Todos los empleados se someten a verificaciones de antecedentes integrales antes de su contratación. El acceso a los sistemas de producción requiere una autorización de seguridad adicional.
Formación en seguridad
Formación anual obligatoria de concienciación sobre seguridad para todos los empleados. Los ingenieros completan cursos adicionales de codificación segura y simulaciones de phishing.
Respuesta a incidentes
Plan documentado de respuesta a incidentes con funciones definidas, procedimientos de escalado y plantillas de comunicación. Ejercicios teóricos periódicos y revisiones posteriores a los incidentes.
Divulgación de vulnerabilidades
Programa de divulgación responsable con canales de notificación claros. Los investigadores de seguridad pueden informar de vulnerabilidades a security@claform.com con protección de puerto seguro.
Descargue el documento técnico completo
Obtenga el documento técnico de seguridad completo en formato PDF para revisión sin conexión, auditorías de cumplimiento o para compartir con su equipo de seguridad.
Descargar el documento técnico de seguridad (PDF)¿Necesita una revisión más profunda?
Programe una revisión de seguridad con nuestro equipo. Con gusto le explicaremos nuestra arquitectura, compartiremos los informes SOC 2 y responderemos a sus cuestionarios de seguridad.