Thummim Labs
Seguridad · v1.0

Seguridad y Cumplimiento

Cómo protegemos la información de nuestros clientes y la integridad de los sistemas que construimos. Nuestras prácticas son pragmáticas, transparentes y alineadas con estándares reconocidos de la industria.

Última actualización22 mayo 2026
AlcanceSitio y proyectos
Versión1.0

/ 01Nuestra postura de seguridad

En Thummim Labs entendemos que toda solución digital vale lo que vale su seguridad. Tratamos la seguridad como una propiedad del producto, no como una capa que se añade al final.

Nuestro enfoque se apoya en tres principios:

  • Pragmatismo. Implementamos controles proporcionales al riesgo, sin teatro de seguridad.
  • Transparencia. Documentamos lo que hacemos y lo que no, para que tomes decisiones informadas.
  • Mejora continua. Revisamos y actualizamos nuestras prácticas conforme evolucionan las amenazas y los proyectos.

/ 02Protección de datos

Datos en tránsito

Todo el tráfico entre el navegador, nuestros sistemas y los servicios que usamos viaja cifrado con TLS 1.2 o superior. Forzamos HTTPS en el sitio público y en cualquier sistema que entreguemos a producción.

Datos en reposo

Los datos almacenados se cifran con los mecanismos del proveedor cloud correspondiente (típicamente AES-256 o equivalente). Esto incluye bases de datos, almacenamiento de archivos, backups y volúmenes de máquina.

Secretos y credenciales

Claves API, tokens y contraseñas se almacenan en gestores de secretos (variables de entorno cifradas en el proveedor, AWS Secrets Manager, Vault, etc.). Nunca en código fuente, repositorios o canales de mensajería.

Minimización y retención

Aplicamos minimización de datos: recabamos solo lo necesario y lo conservamos solo el tiempo necesario para cumplir el propósito o la obligación legal. Consulta el Aviso de Privacidad para los plazos específicos.

/ 03Control de accesos

  • Autenticación multifactor (MFA) obligatoria en todas las cuentas de servicios críticos (cloud, GitHub, correo, gestores de secretos).
  • Principio de mínimo privilegio: cada miembro del equipo accede solo a los recursos necesarios para su rol y proyecto.
  • Revisiones periódicas de permisos y limpieza de cuentas inactivas.
  • Rotación regular de claves, tokens y credenciales compartidas, y rotación inmediata ante sospecha de compromiso.
  • Off-boarding inmediato: al término de la colaboración con cualquier miembro, se revocan accesos y se reasigna la propiedad de los recursos.
  • SSO (Single Sign-On) donde el proveedor lo permite, para centralizar autenticación y auditoría.

/ 04Infraestructura y operaciones

Construimos sobre proveedores cloud líderes que mantienen certificaciones reconocidas (ISO 27001, SOC 2, ISO 27017/18). Heredamos los controles físicos, de red y de plataforma de esos proveedores y los complementamos con prácticas operativas propias:

  • Aislamiento de entornos: desarrollo, staging y producción están separados; los datos productivos no se mezclan con entornos de prueba.
  • Monitoreo de disponibilidad, errores y rendimiento con alertas accionables al equipo correspondiente.
  • Logs centralizados con retención adecuada y acceso restringido al equipo autorizado.
  • Backups automáticos mediante snapshots del proveedor, con pruebas periódicas de restauración en proyectos críticos.
  • Parches y actualizaciones regulares del sistema operativo, runtimes y dependencias gestionadas.
  • Endurecimiento (hardening): deshabilitamos servicios y puertos no utilizados; aplicamos configuraciones seguras por defecto.

/ 05Desarrollo seguro (SDLC)

Integramos prácticas de seguridad a lo largo del ciclo de desarrollo:

  • Code review obligatorio mediante pull requests antes de fusionar a la rama principal.
  • Pruebas automatizadas (unitarias, integración y, según el proyecto, end-to-end) ejecutadas en CI.
  • Análisis estático de código (linting, type checking) en cada commit.
  • Escaneo de dependencias para detectar vulnerabilidades conocidas (Dependabot, Snyk, npm audit, equivalentes según el stack).
  • Alineación con OWASP Top 10 y el Application Security Verification Standard (ASVS) como guía para aplicaciones web.
  • Sanitización de entradas y consultas parametrizadas para prevenir inyección y XSS.
  • Validación de salida y políticas de Content Security Policy (CSP) cuando el proyecto lo requiere.
  • Sin secretos en código: usamos archivos .env locales (ignorados por git) o gestores de secretos en producción.

/ 06Proveedores y terceros

Solo trabajamos con proveedores que mantienen estándares de seguridad reconocidos. Antes de incorporar uno nuevo, evaluamos su postura de seguridad, ubicación de datos y términos de tratamiento. Los principales que utilizamos:

Vercel
Hosting · SOC 2 Type II · ISO 27001
AWS / GCP / Azure
Infraestructura · ISO 27001 · SOC 1/2/3 · PCI DSS
GitHub
Versionado · CI/CD · SOC 2 · ISO 27001
Cloudflare
CDN · DDoS · WAF · ISO 27001 · SOC 2
Stripe
Pagos (cuando aplica) · PCI DSS Level 1
Google Workspace
Correo y documentos · ISO 27001 · SOC 2/3

Para proyectos con requisitos específicos, documentamos en el contrato la lista de subprocesadores aplicables y las cláusulas de tratamiento de datos correspondientes.

/ 07Cumplimiento normativo y marcos

Operamos desde México y seguimos primordialmente la legislación mexicana, alineándonos también con marcos internacionales cuando los proyectos lo requieren. Importante: no contamos con certificaciones propias de auditoría externa (ISO 27001, SOC 2, etc.); seguimos sus principios como guía de buenas prácticas.

LFPDPPP
Ley mexicana de protección de datos personales. Cumplimiento pleno para datos que tratamos como responsables.
GDPR
Cuando trabajamos con clientes o usuarios en la UE, aplicamos los principios del Reglamento General de Protección de Datos.
OWASP Top 10 / ASVS
Estándares de referencia para seguridad de aplicaciones web.
NIST Cybersecurity Framework
Guía operativa para identificar, proteger, detectar, responder y recuperarse.
CIS Controls
Conjunto de controles priorizados que aplicamos en proyectos sensibles.
ISO 27001 / SOC 2
Marcos de referencia que seguimos como guía; sin certificación propia a la fecha.

Para clientes con obligaciones regulatorias específicas (HIPAA, PCI DSS, ISO 27001, SOC 2, etc.) trabajamos dentro del marco existente del cliente, firmando los acuerdos correspondientes (BAA, DPA, etc.) y respetando sus controles.

/ 08Continuidad del negocio

  • Backups automatizados gestionados por los proveedores cloud, con pruebas periódicas de restauración para proyectos críticos.
  • Documentación operacional de procedimientos clave para que el conocimiento no dependa de una sola persona.
  • Equipo distribuido sin un único punto de falla geográfico; herramientas que permiten continuar la operación de forma remota.
  • Canales redundantes de comunicación con clientes durante incidentes (correo, mensajería, llamada).
  • Plan de continuidad documentado para proyectos que lo requieran, con objetivos de tiempo y punto de recuperación (RTO/RPO) acordados.

/ 09Respuesta a incidentes

Contamos con un proceso definido para responder a incidentes de seguridad:

  • Detección y triaje: via monitoreo, alertas o reporte interno/externo. Se asigna severidad y propietario.
  • Contención: aislamos los sistemas afectados y bloqueamos vectores activos para limitar el alcance.
  • Erradicación: eliminamos la causa raíz (parche, credencial rotada, configuración corregida).
  • Recuperación: restauramos operaciones desde un estado limpio y verificado.
  • Comunicación: notificamos a clientes y autoridades cuando aplique, conforme a la ley y los contratos vigentes.
  • Aprendizaje: hacemos un post-mortem sin culpa y actualizamos controles para evitar repetición.

En caso de vulneración que afecte datos personales, notificamos al titular en un plazo razonable conforme a la LFPDPPP.

/ 10Divulgación responsable de vulnerabilidades

Apreciamos a la comunidad de investigadores de seguridad. Si descubres una vulnerabilidad en este sitio o en un sistema que hayamos desarrollado, te pedimos seguir el proceso de divulgación responsable:

Reporta una vulnerabilidad

Envía un correo a admin@thummimlabs.com con tantos detalles como puedas: descripción, pasos para reproducir, impacto potencial y, si quieres, tu canal preferido de comunicación.

Lo que puedes esperar

  • Confirmación de recepción en un máximo de 72 horas hábiles.
  • Evaluación y respuesta inicial en máximo 7 días hábiles.
  • Colaboración para entender, reproducir y remediar.
  • Reconocimiento público o privado a tu elección.
  • Sin acciones legales contra investigadores que actúen de buena fe dentro de este programa.

Lo que te pedimos

  • No explotar la vulnerabilidad más allá de lo necesario para confirmarla.
  • No acceder, descargar ni alterar datos que no sean tuyos o de prueba.
  • No realizar ataques de denegación de servicio (DoS) ni pruebas que degraden el servicio.
  • No divulgar la vulnerabilidad públicamente hasta que la hayamos remediado o haya pasado un plazo razonable acordado contigo.
  • No usar ingeniería social contra nuestro equipo o clientes.

No tenemos un programa formal de bug bounty con recompensas monetarias, pero apreciamos profundamente y reconocemos a los investigadores que reportan responsablemente.

/ 11Equipo y entrenamiento

  • Acuerdos de confidencialidad firmados por todos los miembros del equipo y colaboradores externos antes de acceder a información sensible.
  • Sensibilización en phishing, ingeniería social y manejo seguro de credenciales como parte del onboarding y de forma periódica.
  • Capacitación continua en seguridad relevante al rol (OWASP, manejo de secretos, criptografía aplicada, revisión de código).
  • Política de uso aceptable de equipos y servicios, con cifrado de disco obligatorio y bloqueo automático.
  • Canales internos para reportar incidentes o conductas sospechosas sin temor a represalias.

/ 12Contacto de seguridad

Para preguntas sobre seguridad, divulgación de vulnerabilidades o solicitudes de información sobre nuestras prácticas:

Punto de contacto
ResponsableThummim Labs
DomicilioZapopan, Jalisco, México
HorarioLunes a viernes, 9:00 – 18:00 (GMT-6)

Para asuntos de datos personales consulta nuestro Aviso de Privacidad. Para términos contractuales, los Términos y Condiciones.