Políticas de Seguridad

En GPyme.io la seguridad de tu información es una prioridad. Aplicamos prácticas y controles técnicos y organizativos para proteger la confidencialidad, integridad y disponibilidad de los datos que nos confías. Esta política describe, de forma transparente, cómo protegemos la plataforma y la información de tu empresa.

Trabajamos bajo los estándares de las normas internacionales ISO 9001 (gestión de calidad) e ISO 27001 (seguridad de la información), incorporando sus buenas prácticas a nuestros procesos y a la gestión de la seguridad.

• En tránsito: todo el tráfico entre tu navegador y GPyme.io viaja cifrado mediante HTTPS/TLS. No exponemos la aplicación por canales sin cifrar.
• En reposo: la base de datos y los respaldos se almacenan cifrados en la infraestructura de Google Cloud Platform.
• Contraseñas: nunca se guardan en texto plano. Se almacenan con hashing bcrypt (con salt), de modo que no son reversibles.

• Acceso mediante credenciales individuales (correo o RUT y contraseña) e inicio de sesión con sesiones firmadas (JWT) y cookies HttpOnly y Secure.
• Roles y permisos (RBAC): cada usuario accede únicamente a los módulos y acciones autorizados para su rol. El control se aplica tanto en la interfaz como en el servidor (defensa real frente a accesos directos por URL).
• Las sesiones expiran automáticamente tras un período de inactividad.

GPyme.io es una plataforma multiempresa. La información de cada organización está lógicamente aislada por identificador de empresa: los datos de una empresa no son accesibles desde otra. Todas las consultas se filtran por la empresa de la sesión activa.

• Alojamiento en Google Cloud Platform (Cloud Run y Cloud SQL para PostgreSQL), con conexión a la base de datos a través de canales gestionados y cifrados.
• Gestión de secretos y credenciales mediante un almacén seguro (Secret Manager).
• Respaldos: la base de datos cuenta con copias de seguridad automáticas para permitir la recuperación ante incidentes.

Las acciones críticas (creación, edición y eliminación de información) quedan registradas en una bitácora de auditoría con usuario, fecha y detalle de la operación. Esto permite trazabilidad y la investigación de eventos cuando es necesario.

Contamos con procedimientos para detectar, contener y responder ante incidentes de seguridad. En caso de un incidente que afecte tus datos, notificaremos a los responsables de tu empresa con la información disponible y las medidas adoptadas, dentro de plazos razonables.

• Mantén la confidencialidad de tus credenciales y no las compartas.
• Usa contraseñas robustas y cámbialas ante cualquier sospecha de compromiso.
• Asigna a cada colaborador el rol con el mínimo nivel de acceso necesario.
• Cierra sesión en equipos compartidos.

Tratamos los datos personales conforme a la legislación chilena aplicable, en particular la Ley N.º 19.628 sobre protección de la vida privada. El tratamiento de datos se realiza con la finalidad de prestar el servicio contratado.

Si detectas una vulnerabilidad o tienes consultas sobre seguridad, escríbenos a seguridad@gpyme.io. Agradecemos el reporte responsable de problemas de seguridad.