La seguridad de los datos de nuestros usuarios es una prioridad fundamental para PinTeach. Este documento describe las medidas técnicas y organizativas que aplicamos, así como el procedimiento para reportar vulnerabilidades de seguridad.
1. Medidas Técnicas de Seguridad
1.1 Cifrado y Comunicaciones
- Todo el tráfico entre el usuario y PinTeach se cifra mediante TLS 1.2 o superior, garantizando la confidencialidad e integridad de las comunicaciones.
- Las contraseñas se almacenan mediante bcrypt, una función de hash criptográfico con factor de coste adaptable. Nunca se almacenan contraseñas en texto plano.
- Los datos sensibles en reposo se almacenan cifrados mediante AES-256.
1.2 Autenticación y Control de Acceso
- PinTeach soporta autenticación OAuth 2.0 con Google, que delega la gestión de credenciales a Google Identity Platform.
- Se implementa control de acceso basado en roles (RBAC) dentro de la plataforma: cada usuario solo puede acceder a los datos y funciones correspondientes a su rol.
- Las sesiones tienen un tiempo de expiración y se invalidan al cerrar sesión de forma explícita.
- PinTeach utiliza tokens JWT con firma criptográfica para la gestión de sesiones en la API.
1.3 Infraestructura
- La infraestructura de PinTeach se aloja en proveedores cloud con certificaciones de seguridad reconocidas (ISO 27001, SOC 2).
- Los entornos de producción, staging y desarrollo están completamente separados.
- El acceso a los sistemas de producción está restringido al personal técnico autorizado mediante autenticación de doble factor (2FA).
- Se realizan copias de seguridad periódicas con cifrado, verificando regularmente su integridad y la capacidad de restauración.
1.4 Seguridad de la Aplicación
- Las dependencias de software se actualizan y auditan de forma periódica para detectar vulnerabilidades conocidas (CVEs).
- El código pasa por revisiones de seguridad antes de ser desplegado en producción.
- Se aplican protecciones estándar contra vulnerabilidades web comunes: inyección SQL, XSS, CSRF, entre otras.
- Se implementan rate limiting y protecciones contra ataques de fuerza bruta en los endpoints de autenticación.
2. Medidas Organizativas
- El acceso a datos personales de usuarios está restringido al personal con necesidad legítima de acceso para desempeñar sus funciones.
- Todo el personal con acceso a datos personales recibe formación en materia de protección de datos y seguridad de la información.
- PinTeach dispone de un procedimiento documentado de gestión de incidentes de seguridad.
- Los proveedores tecnológicos son evaluados desde una perspectiva de seguridad antes de su incorporación.
3. Gestión de Incidentes
En caso de detectar un incidente de seguridad que pueda afectar a datos personales, PinTeach activará su protocolo de respuesta que incluye:
- Contención y análisis del incidente.
- Evaluación del impacto y del riesgo para los usuarios afectados.
- Notificación a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas, si así lo exige el RGPD.
- Comunicación directa a los usuarios afectados cuando el riesgo sea alto.
- Medidas correctivas y revisión del incidente para prevenir recurrencias.
4. Programa de Divulgación Responsable de Vulnerabilidades
PinTeach agradece la colaboración de la comunidad de seguridad para identificar y corregir vulnerabilidades. Si ha descubierto una posible vulnerabilidad de seguridad en nuestra plataforma, le pedimos que siga el siguiente procedimiento de divulgación responsable.
4.1 Cómo Reportar
Envíe un correo electrónico a security@pinteach.com con la siguiente información:
- Descripción detallada de la vulnerabilidad.
- Pasos para reproducirla.
- Impacto potencial estimado.
- Capturas de pantalla, logs o cualquier evidencia de apoyo (si está disponible).
- Sus datos de contacto (opcional, si desea recibir seguimiento o reconocimiento).
Para información especialmente sensible, puede solicitar nuestra clave PGP pública escribiendo a la misma dirección.
4.2 Nuestro Compromiso
Una vez recibido el reporte:
- Confirmaremos la recepción en un plazo máximo de 48 horas.
- Investigaremos y evaluaremos la vulnerabilidad en un plazo máximo de 10 días hábiles.
- Le mantendremos informado sobre el progreso de la resolución.
- Realizaremos las correcciones necesarias con la mayor celeridad posible, priorizando según la criticidad.
- Reconoceremos públicamente su contribución (con su consentimiento) una vez resuelta la vulnerabilidad.
4.3 Alcance del Programa
El programa cubre los siguientes activos:
- app.pinteach.com (aplicación web)
- pinteach.com (sitio de marketing)
- API de PinTeach (api.pinteach.com)
Quedan fuera del alcance los servicios de terceros integrados (Google, Stripe) y los ataques de ingeniería social dirigidos a empleados.
4.4 Conducta Esperada
Al participar en este programa, le pedimos que:
- No acceda, modifique ni elimine datos de usuarios reales.
- No realice pruebas que puedan degradar la disponibilidad del servicio (DoS/DDoS).
- No revele la vulnerabilidad públicamente hasta que haya sido corregida.
- Actúe de buena fe y con la mínima intrusión necesaria para demostrar la vulnerabilidad.
PinTeach no emprenderá acciones legales contra investigadores que actúen de buena fe y dentro de estas directrices.
5. Actualizaciones de Seguridad
PinTeach publica avisos sobre incidentes de seguridad relevantes que afecten a los usuarios a través del correo electrónico registrado y, cuando proceda, mediante avisos en la plataforma.
6. Contacto
Seguridad: security@pinteach.com
Privacidad: privacy@pinteach.com
General: hello@pinteach.com