Seguridad — WeblyChat

Sección 1

Nuestro compromiso

En WeblyChat, proteger los datos de nuestros clientes es una responsabilidad fundamental, no una consideración secundaria. Somos un equipo pequeño y enfocado, y adoptamos un enfoque pragmático de defensa en profundidad: utilizamos infraestructura gestionada de confianza, mantenemos una superficie de ataque reducida y aplicamos el principio de mínimo privilegio en toda la arquitectura.

Esta página describe las medidas técnicas y organizativas que tenemos en marcha para mantener seguro el servicio de WeblyChat y tus datos. Si descubres una vulnerabilidad o tienes alguna preocupación de seguridad, consulta la Sección 6 (Divulgación de vulnerabilidades).

Sección 2

Seguridad de la infraestructura

El servicio de WeblyChat se ejecuta íntegramente en infraestructura cloud gestionada por Cloudflare y otros proveedores de reconocido prestigio. No operamos servidores físicos propios.

Cloudflare

El sitio web de marketing y el portal de cuenta de cliente de WeblyChat están alojados en Cloudflare Pages. Todo el tráfico se sirve a través de la red global de Cloudflare, que proporciona mitigación automática de DDoS, protección mediante Web Application Firewall (WAF) y terminación TLS.

API y backend

La API de backend se despliega en infraestructura cloud gestionada con escalado automático y sin acceso SSH público permanente. Todos los despliegues son automatizados y no requieren accesos manuales al servidor. El acceso a la infraestructura de producción está restringido al personal autorizado y requiere autenticación robusta.

Aislamiento de red

La base de datos y los servicios internos no están expuestos a internet público. La comunicación interna entre servicios se realiza a través de redes privadas. Las reglas de firewall se mantienen tan restrictivas como sea posible y se revisan periódicamente.

Sección 3

Cifrado de datos

En tránsito

Todas las comunicaciones entre tu navegador y el servicio de WeblyChat están cifradas mediante TLS 1.2 o superior. Aplicamos HTTPS en todos los endpoints; las solicitudes HTTP sin cifrar se redirigen a HTTPS. Utilizamos cabeceras HSTS (HTTP Strict Transport Security) para indicar a los navegadores que siempre se conecten de forma segura.

En reposo

Los datos almacenados en nuestra base de datos están cifrados en reposo mediante las capacidades de cifrado proporcionadas por el servicio de base de datos gestionada subyacente. Las copias de seguridad también están cifradas.

Tokens de sesión

Los tokens de sesión son cadenas generadas aleatoriamente que se almacenan únicamente en el localStorage de tu navegador. Se transmiten sobre TLS y nunca se registran ni se almacenan en texto plano en nuestras bases de datos. Los tokens caducan automáticamente a los 7 días.

Sección 4

Autenticación y control de acceso

Autenticación de usuarios

WeblyChat utiliza Google OAuth 2.0 como único método de inicio de sesión. No almacenamos contraseñas. La autenticación se delega íntegramente a Google, lo que significa que tus credenciales nunca se transmiten a WeblyChat ni son almacenadas por nosotros. Únicamente recibimos tu nombre y dirección de correo electrónico de Google tras una autenticación exitosa.

Autorización en la API

Cada solicitud a la API de WeblyChat debe incluir un token de sesión válido. Los tokens se validan en cada solicitud. Las solicitudes sin token válido se rechazan con una respuesta 401. No existe ninguna forma de acceder a los datos de otro usuario a través de la API.

Acceso interno

El acceso a los sistemas de producción, bases de datos y datos de clientes está restringido al personal autorizado según el principio de necesidad de conocer. Aplicamos el principio de mínimo privilegio: cada miembro del equipo y cada componente del servicio dispone únicamente de los permisos mínimos necesarios para realizar su función.

Sección 5

Seguridad de la aplicación

Prácticas de desarrollo seguro

Seguimos prácticas de codificación segura en nuestro proceso de desarrollo. Las dependencias se mantienen actualizadas y se revisan en busca de vulnerabilidades conocidas. Utilizamos herramientas automatizadas para detectar posibles problemas de seguridad durante el desarrollo.

Gestión de entradas

Toda la información proporcionada por los usuarios se valida y sanea antes de su uso. Nos protegemos contra vulnerabilidades web habituales, incluidas las de cross-site scripting (XSS), inyección SQL y falsificación de solicitudes entre sitios (CSRF).

Cabeceras de seguridad

El sitio web de WeblyChat incluye las siguientes cabeceras HTTP de seguridad en todas las páginas:

Strict-Transport-Security — obliga al uso de HTTPS en visitas futuras
X-Content-Type-Options: nosniff — evita la detección automática de tipos MIME
X-Frame-Options: DENY — previene el clickjacking mediante iframes
Referrer-Policy: strict-origin-when-cross-origin — limita la información de referencia enviada a terceros
Permissions-Policy — restringe el acceso a funciones del navegador no utilizadas por el servicio

Dependencias de terceros

Minimizamos el uso de scripts y bibliotecas de terceros en el sitio web de marketing. Las fuentes tipográficas están autoalojadas; no se cargan scripts de seguimiento ni publicidad de terceros. Esto reduce el riesgo de cadena de suministro para nuestros visitantes.

Sección 6

Divulgación de vulnerabilidades

Si crees haber encontrado una vulnerabilidad de seguridad en WeblyChat, por favor repórtala de forma responsable. Investigaremos todos los informes legítimos con prontitud y te mantendremos informado sobre nuestro progreso.

Aplicamos una política de divulgación responsable. Te pedimos que:

Reportes la vulnerabilidad de forma privada antes de divulgarla públicamente, dándonos un tiempo razonable para investigar y remediar (solicitamos al menos 30 días).
No accedas, modifiques ni elimines datos pertenecientes a otros usuarios.
No realices ataques de denegación de servicio ni ninguna acción que pueda interrumpir el servicio a otros usuarios.
No utilices herramientas de escaneo automatizado contra nuestra infraestructura de producción sin acuerdo previo.

Para reportar un problema de seguridad, utiliza nuestra página de reporte dedicada:

Reportar un problema de seguridad →

También puedes enviarnos un correo directamente a hola@weblychat.eu con el asunto "Reporte de vulnerabilidad de seguridad". Por favor, incluye una descripción clara del problema, los pasos para reproducirlo y el impacto potencial.

Actualmente no disponemos de un programa de recompensas por fallos (bug bounty), pero reconocemos públicamente a los investigadores de seguridad que actúan de buena fe y agradecemos la divulgación responsable.

Sección 7

Respuesta a incidentes

En caso de un incidente de seguridad confirmado que afecte a datos personales, seguimos nuestro procedimiento interno de respuesta a incidentes:

Contener: Aislar el sistema o vector afectado lo antes posible para evitar una mayor exposición.
Evaluar: Determinar el alcance del incidente: qué datos se vieron afectados, cuántos usuarios y la causa probable.
Remediar: Corregir la vulnerabilidad subyacente y verificar la solución.
Notificar: Cuando lo exija el RGPD, notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas desde que tengamos conocimiento de una brecha de datos personales. Los usuarios afectados serán notificados sin demora indebida cuando la brecha suponga un alto riesgo para sus derechos y libertades.
Revisar: Realizar una revisión posterior al incidente para comprender las causas raíz y prevenir su recurrencia.

Mantenemos registros suficientes para apoyar la investigación de incidentes. Los registros del servidor se conservan hasta 30 días, tal como se describe en nuestra Política de privacidad.

Sección 8

Contacto

Para preguntas relacionadas con la seguridad, reportes de vulnerabilidades o cualquier inquietud sobre la seguridad del servicio de WeblyChat, por favor contáctanos:

Correo electrónico: hola@weblychat.eu
Formulario de reporte de seguridad: report-security.html

Seguridad en WeblyChat