Seguridad y Cumplimiento
Cómo protegemos la información de nuestros clientes y la integridad de los sistemas que construimos. Nuestras prácticas son pragmáticas, transparentes y alineadas con estándares reconocidos de la industria.
/ 01Nuestra postura de seguridad
En Thummim Labs entendemos que toda solución digital vale lo que vale su seguridad. Tratamos la seguridad como una propiedad del producto, no como una capa que se añade al final.
Nuestro enfoque se apoya en tres principios:
- Pragmatismo. Implementamos controles proporcionales al riesgo, sin teatro de seguridad.
- Transparencia. Documentamos lo que hacemos y lo que no, para que tomes decisiones informadas.
- Mejora continua. Revisamos y actualizamos nuestras prácticas conforme evolucionan las amenazas y los proyectos.
/ 02Protección de datos
Datos en tránsito
Todo el tráfico entre el navegador, nuestros sistemas y los servicios que usamos viaja cifrado con TLS 1.2 o superior. Forzamos HTTPS en el sitio público y en cualquier sistema que entreguemos a producción.
Datos en reposo
Los datos almacenados se cifran con los mecanismos del proveedor cloud correspondiente (típicamente AES-256 o equivalente). Esto incluye bases de datos, almacenamiento de archivos, backups y volúmenes de máquina.
Secretos y credenciales
Claves API, tokens y contraseñas se almacenan en gestores de secretos (variables de entorno cifradas en el proveedor, AWS Secrets Manager, Vault, etc.). Nunca en código fuente, repositorios o canales de mensajería.
Minimización y retención
Aplicamos minimización de datos: recabamos solo lo necesario y lo conservamos solo el tiempo necesario para cumplir el propósito o la obligación legal. Consulta el Aviso de Privacidad para los plazos específicos.
/ 03Control de accesos
- Autenticación multifactor (MFA) obligatoria en todas las cuentas de servicios críticos (cloud, GitHub, correo, gestores de secretos).
- Principio de mínimo privilegio: cada miembro del equipo accede solo a los recursos necesarios para su rol y proyecto.
- Revisiones periódicas de permisos y limpieza de cuentas inactivas.
- Rotación regular de claves, tokens y credenciales compartidas, y rotación inmediata ante sospecha de compromiso.
- Off-boarding inmediato: al término de la colaboración con cualquier miembro, se revocan accesos y se reasigna la propiedad de los recursos.
- SSO (Single Sign-On) donde el proveedor lo permite, para centralizar autenticación y auditoría.
/ 04Infraestructura y operaciones
Construimos sobre proveedores cloud líderes que mantienen certificaciones reconocidas (ISO 27001, SOC 2, ISO 27017/18). Heredamos los controles físicos, de red y de plataforma de esos proveedores y los complementamos con prácticas operativas propias:
- Aislamiento de entornos: desarrollo, staging y producción están separados; los datos productivos no se mezclan con entornos de prueba.
- Monitoreo de disponibilidad, errores y rendimiento con alertas accionables al equipo correspondiente.
- Logs centralizados con retención adecuada y acceso restringido al equipo autorizado.
- Backups automáticos mediante snapshots del proveedor, con pruebas periódicas de restauración en proyectos críticos.
- Parches y actualizaciones regulares del sistema operativo, runtimes y dependencias gestionadas.
- Endurecimiento (hardening): deshabilitamos servicios y puertos no utilizados; aplicamos configuraciones seguras por defecto.
/ 05Desarrollo seguro (SDLC)
Integramos prácticas de seguridad a lo largo del ciclo de desarrollo:
- Code review obligatorio mediante pull requests antes de fusionar a la rama principal.
- Pruebas automatizadas (unitarias, integración y, según el proyecto, end-to-end) ejecutadas en CI.
- Análisis estático de código (linting, type checking) en cada commit.
- Escaneo de dependencias para detectar vulnerabilidades conocidas (Dependabot, Snyk, npm audit, equivalentes según el stack).
- Alineación con OWASP Top 10 y el Application Security Verification Standard (ASVS) como guía para aplicaciones web.
- Sanitización de entradas y consultas parametrizadas para prevenir inyección y XSS.
- Validación de salida y políticas de Content Security Policy (CSP) cuando el proyecto lo requiere.
- Sin secretos en código: usamos archivos
.envlocales (ignorados por git) o gestores de secretos en producción.
/ 06Proveedores y terceros
Solo trabajamos con proveedores que mantienen estándares de seguridad reconocidos. Antes de incorporar uno nuevo, evaluamos su postura de seguridad, ubicación de datos y términos de tratamiento. Los principales que utilizamos:
Para proyectos con requisitos específicos, documentamos en el contrato la lista de subprocesadores aplicables y las cláusulas de tratamiento de datos correspondientes.
/ 07Cumplimiento normativo y marcos
Operamos desde México y seguimos primordialmente la legislación mexicana, alineándonos también con marcos internacionales cuando los proyectos lo requieren. Importante: no contamos con certificaciones propias de auditoría externa (ISO 27001, SOC 2, etc.); seguimos sus principios como guía de buenas prácticas.
Para clientes con obligaciones regulatorias específicas (HIPAA, PCI DSS, ISO 27001, SOC 2, etc.) trabajamos dentro del marco existente del cliente, firmando los acuerdos correspondientes (BAA, DPA, etc.) y respetando sus controles.
/ 08Continuidad del negocio
- Backups automatizados gestionados por los proveedores cloud, con pruebas periódicas de restauración para proyectos críticos.
- Documentación operacional de procedimientos clave para que el conocimiento no dependa de una sola persona.
- Equipo distribuido sin un único punto de falla geográfico; herramientas que permiten continuar la operación de forma remota.
- Canales redundantes de comunicación con clientes durante incidentes (correo, mensajería, llamada).
- Plan de continuidad documentado para proyectos que lo requieran, con objetivos de tiempo y punto de recuperación (RTO/RPO) acordados.
/ 09Respuesta a incidentes
Contamos con un proceso definido para responder a incidentes de seguridad:
- Detección y triaje: via monitoreo, alertas o reporte interno/externo. Se asigna severidad y propietario.
- Contención: aislamos los sistemas afectados y bloqueamos vectores activos para limitar el alcance.
- Erradicación: eliminamos la causa raíz (parche, credencial rotada, configuración corregida).
- Recuperación: restauramos operaciones desde un estado limpio y verificado.
- Comunicación: notificamos a clientes y autoridades cuando aplique, conforme a la ley y los contratos vigentes.
- Aprendizaje: hacemos un post-mortem sin culpa y actualizamos controles para evitar repetición.
En caso de vulneración que afecte datos personales, notificamos al titular en un plazo razonable conforme a la LFPDPPP.
/ 10Divulgación responsable de vulnerabilidades
Apreciamos a la comunidad de investigadores de seguridad. Si descubres una vulnerabilidad en este sitio o en un sistema que hayamos desarrollado, te pedimos seguir el proceso de divulgación responsable:
Envía un correo a admin@thummimlabs.com con tantos detalles como puedas: descripción, pasos para reproducir, impacto potencial y, si quieres, tu canal preferido de comunicación.
admin@thummimlabs.comLo que puedes esperar
- Confirmación de recepción en un máximo de 72 horas hábiles.
- Evaluación y respuesta inicial en máximo 7 días hábiles.
- Colaboración para entender, reproducir y remediar.
- Reconocimiento público o privado a tu elección.
- Sin acciones legales contra investigadores que actúen de buena fe dentro de este programa.
Lo que te pedimos
- No explotar la vulnerabilidad más allá de lo necesario para confirmarla.
- No acceder, descargar ni alterar datos que no sean tuyos o de prueba.
- No realizar ataques de denegación de servicio (DoS) ni pruebas que degraden el servicio.
- No divulgar la vulnerabilidad públicamente hasta que la hayamos remediado o haya pasado un plazo razonable acordado contigo.
- No usar ingeniería social contra nuestro equipo o clientes.
No tenemos un programa formal de bug bounty con recompensas monetarias, pero apreciamos profundamente y reconocemos a los investigadores que reportan responsablemente.
/ 11Equipo y entrenamiento
- Acuerdos de confidencialidad firmados por todos los miembros del equipo y colaboradores externos antes de acceder a información sensible.
- Sensibilización en phishing, ingeniería social y manejo seguro de credenciales como parte del onboarding y de forma periódica.
- Capacitación continua en seguridad relevante al rol (OWASP, manejo de secretos, criptografía aplicada, revisión de código).
- Política de uso aceptable de equipos y servicios, con cifrado de disco obligatorio y bloqueo automático.
- Canales internos para reportar incidentes o conductas sospechosas sin temor a represalias.
/ 12Contacto de seguridad
Para preguntas sobre seguridad, divulgación de vulnerabilidades o solicitudes de información sobre nuestras prácticas:
Para asuntos de datos personales consulta nuestro Aviso de Privacidad. Para términos contractuales, los Términos y Condiciones.