Seguridad
Confianza documental empieza con seguridad seria.
No hacemos criptografía casera. Usamos primitivas auditadas, librerías mantenidas, y separamos lo que el sistema controla de lo que delega en HSM/KMS o QTSP.
Estándares de referencia
- OWASP ASVS 5.0 (Application Security Verification Standard)
- OWASP API Security Top 10
- OWASP Top 10
- NIST SP 800-57 — gestión de claves criptográficas
- NIST SP 800-63B — autenticación y gestión de identidad
- TLS 1.3 obligatorio en producción
- RFC 3161 — sello de tiempo cualificado
- ETSI EN 319 142 (PAdES)
Controles principales
Autenticación
- · Argon2id para hash de contraseñas
- · Refresh-token rotation con detección de reuso
- · MFA TOTP preparado
- · Lockout y rate limiting por intento
- · Sesiones JWT firmadas con audiencia y emisor explícitos
Datos en reposo
- · Cifrado a nivel de almacén de objetos
- · Inmutabilidad lógica para artefactos firmados
- · Versionado de objetos críticos
- · Política de retención por plan y por tipo documental
Datos en tránsito
- · TLS 1.3 (HSTS, preload-ready)
- · Headers de seguridad gestionados por Helmet
- · CORS allowlist restrictiva
- · Sin cookies de terceros
Multi-tenant
- · Aislamiento por organizationId obligatorio en cada query
- · Validación cross-tenant en cada operación
- · Pruebas automatizadas de aislamiento
- · Sin acceso entre instituciones aún para super-admin sin auditoría
Verificación pública
- · Rate limiting por IP y por CSV
- · Captcha opcional para abuso sostenido
- · Anti-enumeración: rechazo previo de CSV malformados
- · Sin filtración de información sensible
Trazabilidad
- · Auditoría append-only
- · Hash-chain por institución (tamper-evident)
- · Correlation IDs en logs y respuestas
- · Sin secretos ni PII innecesarios en logs