Política de Seguridad

01 Compromiso de seguridad

HUB NEGOCIOS CREATIVOS S.A.C. adopta un enfoque de seguridad por diseño (security by design) y por defecto (security by default) en el desarrollo y operación de Nova Contracts. Esto significa que la seguridad se considera en cada decisión de diseño, arquitectura y proceso operativo, no como una capa añadida a posteriori.

Nuestras prácticas de seguridad están alineadas con los marcos de referencia ISO/IEC 27001 e ISO/IEC 27002, así como con las recomendaciones del OWASP Top 10 para el desarrollo de aplicaciones web seguras.

02 Infraestructura y arquitectura

2.1 Proveedor de infraestructura

Nova Contracts opera sobre infraestructura de DigitalOcean, proveedor de servicios en la nube con certificaciones SOC 2 Type II e ISO 27001. Los centros de datos utilizados cuentan con controles de seguridad física de nivel empresarial.

2.2 Aislamiento multi-tenant

La arquitectura de Nova Contracts garantiza el aislamiento completo entre tenants (empresas). Cada workspace tiene sus propios identificadores únicos y acceso segregado a datos. A nivel de base de datos, los registros de cada tenant están separados lógicamente con controles de acceso que previenen cualquier consulta cruzada entre empresas.

2.3 Red y perímetro

• Acceso a servidores de producción restringido mediante listas de IPs autorizadas y claves SSH.
• Firewall configurado con política de denegación por defecto (deny-all) y reglas de excepción específicas.
• Separación de entornos: producción, staging y desarrollo están en redes completamente separadas.
• Monitoreo continuo de tráfico de red para detección de anomalías.

03 Cifrado de datos

3.1 Datos en tránsito

• Todo el tráfico entre el navegador del usuario y la plataforma está cifrado con TLS 1.2 o superior.
• HTTPS es obligatorio en todos los endpoints; las solicitudes HTTP son redirigidas automáticamente a HTTPS.
• Los certificados SSL/TLS son emitidos por autoridades de certificación reconocidas y se renuevan automáticamente.
• Se aplica HTTP Strict Transport Security (HSTS) para prevenir ataques de degradación de protocolo.

3.2 Datos en reposo

• Los archivos de contratos y documentos almacenados en DigitalOcean Spaces están cifrados en reposo usando AES-256.
• Las contraseñas de usuario nunca se almacenan en texto plano; se usa bcrypt con factor de costo ajustado.
• Los tokens de sesión y tokens de API se generan con fuentes de entropía criptográficamente seguras.

3.3 Datos de pago

Nova Contracts no almacena datos de tarjetas de crédito. El procesamiento de pagos se delega íntegramente a pasarelas de pago certificadas PCI-DSS.

04 Control de acceso

4.1 Acceso de usuarios

• Autenticación basada en correo electrónico y contraseña con verificación de fortaleza.
• Soporte para autenticación de dos factores (2FA) en el roadmap de v2.
• Las sesiones expiran automáticamente tras un período de inactividad configurable.
• Control de acceso basado en roles (RBAC) dentro de cada workspace: Admin, Usuario, Aprobador, Viewer.

4.2 Acceso del equipo de Nova Contracts

• El acceso del personal de Nova Contracts a la infraestructura de producción está restringido al mínimo necesario (principio de mínimo privilegio).
• Se requiere autenticación de múltiples factores para el acceso a sistemas de producción.
• Todos los accesos del equipo a datos de producción quedan registrados en logs de auditoría.
• El acceso a datos de clientes por parte del equipo se realiza exclusivamente para resolución de incidencias técnicas confirmadas y con conocimiento del cliente cuando corresponda.

4.3 Log de auditoría del workspace

Cada acción relevante realizada sobre contratos dentro de un workspace queda registrada en un log de auditoría inmutable: quién realizó la acción, qué acción fue, cuándo y sobre qué contrato. Este log está disponible para el administrador del workspace en el plan Pro y superiores.

05 Seguridad del desarrollo

• Code review: Todo cambio en el código de producción pasa por revisión de pares antes de ser desplegado.
• OWASP Top 10: Las prácticas de desarrollo consideran las vulnerabilidades más críticas de aplicaciones web: inyección SQL, XSS, CSRF, exposición de datos sensibles, entre otras.
• Dependencias: Las dependencias de terceros se monitorizan para identificar vulnerabilidades conocidas (CVEs) y se actualizan de forma regular.
• Entornos separados: Nunca se usan datos reales de producción en entornos de desarrollo o pruebas.
• Secrets management: Las credenciales y claves de API nunca se almacenan en el código fuente; se gestionan mediante variables de entorno y sistemas de gestión de secretos.

06 Subprocesadores y terceros

Los proveedores de servicios (subprocesadores) utilizados por Nova Contracts están sujetos a una evaluación de seguridad previa a su incorporación y a acuerdos contractuales que exigen estándares equivalentes de seguridad y protección de datos.

Los subprocesadores principales son:

• DigitalOcean: Infraestructura cloud — certificado SOC 2 Type II, ISO 27001.
• MailerSend / Resend: Correo transaccional — cifrado en tránsito, acceso restringido.

La lista completa y actualizada de subprocesadores está disponible a solicitud en seguridad@novacontracts.io.

07 Copias de seguridad

• Los datos de la plataforma se respaldan de forma automática con una frecuencia mínima de una vez al día.
• Las copias de seguridad se almacenan en una ubicación geográficamente separada del servidor de producción principal.
• La integridad de los backups se verifica periódicamente mediante pruebas de restauración.
• Los backups se conservan por un período mínimo de 30 días.

08 Gestión de incidentes

8.1 Proceso de respuesta

Ante la detección de un incidente de seguridad, Nova Contracts activa el siguiente proceso:

1. Detección y clasificación: Identificación y evaluación de la severidad del incidente.
2. Contención: Acciones inmediatas para limitar el impacto y prevenir su propagación.
3. Investigación: Análisis de causa raíz y alcance del incidente.
4. Erradicación: Eliminación de la causa del incidente y restauración del sistema.
5. Notificación: Comunicación a las partes afectadas y a la ANPDP conforme al DS 016-2024-JUS (dentro de 48 horas para incidentes con datos personales).
6. Lecciones aprendidas: Documentación del incidente y mejoras preventivas.

8.2 Comunicación a clientes

En caso de un incidente que afecte la disponibilidad del servicio o la seguridad de datos de clientes, notificaremos a los afectados por correo electrónico a la brevedad posible, con información sobre la naturaleza del incidente, el impacto potencial y las medidas adoptadas.

09 Continuidad del negocio

• Nova Contracts mantiene un objetivo de disponibilidad del 99.9% mensual para el servicio productivo.
• Los mantenimientos programados que impliquen interrupción se comunican con al menos 48 horas de anticipación.
• La infraestructura está diseñada para tolerar fallos de componentes individuales sin interrupción del servicio.
• Se realizan simulacros periódicos de recuperación ante desastres para validar los procedimientos y tiempos de recuperación.

10 Responsabilidades del cliente

La seguridad de Nova Contracts es un modelo de responsabilidad compartida. Nova Contracts es responsable de la seguridad de la plataforma; el Cliente es responsable de:

• Mantener la confidencialidad de las credenciales de acceso de los usuarios de su workspace.
• Gestionar adecuadamente los permisos y roles de sus usuarios (otorgar solo el acceso necesario).
• Desactivar de forma oportuna las cuentas de usuarios que ya no requieren acceso (empleados que dejan la empresa, etc.).
• Reportar de inmediato cualquier uso sospechoso o no autorizado de su cuenta a seguridad@novacontracts.io.
• Garantizar que el contenido que carga en la plataforma no infringe la legislación aplicable ni los derechos de terceros.

11 Reporte de vulnerabilidades

Agradecemos la colaboración de investigadores de seguridad y usuarios que detecten posibles vulnerabilidades en nuestra plataforma. Si encuentras una vulnerabilidad de seguridad, te pedimos:

• Reportarla de forma responsable a seguridad@novacontracts.io antes de divulgarla públicamente.
• No explotar la vulnerabilidad ni acceder a datos de otros usuarios.
• Proporcionar suficiente información para reproducir el problema.

Nos comprometemos a acusar recibo de tu reporte en un plazo de 5 días hábiles, a investigar la vulnerabilidad con prioridad y a mantenerte informado del progreso. Agradecemos el reporte responsable.