Volver al inicio

Política de Seguridad

Última actualización: 24 de noviembre de 2025

En NutriJUM, la seguridad de los datos de nuestros usuarios es nuestra máxima prioridad. Manejamos información sensible de salud y datos personales que requieren los más altos estándares de protección.

Este documento detalla las medidas técnicas y organizativas que implementamos para proteger su información contra accesos no autorizados, pérdida, alteración o divulgación.

1. Nuestro Compromiso

Proteger la confidencialidad, integridad y disponibilidad de todos los datos

Cumplir con todas las regulaciones de protección de datos y normativas de salud

Mantener una cultura de seguridad en toda la organización

Mejorar continuamente nuestras prácticas de seguridad

Responder rápida y efectivamente ante cualquier incidente de seguridad

2. Cifrado y Protección de Datos

2.1 Cifrado en Tránsito

  • TLS 1.3: Todas las comunicaciones entre su dispositivo y nuestros servidores están cifradas mediante protocolo TLS 1.3
  • HTTPS obligatorio: Toda la plataforma funciona exclusivamente sobre HTTPS (puerto 443)
  • Certificados SSL/TLS: Utilizamos certificados de seguridad válidos y actualizados
  • HSTS: Implementamos HTTP Strict Transport Security para forzar conexiones seguras

2.2 Cifrado en Reposo

  • AES-256: Todos los datos almacenados están cifrados con AES-256, el estándar militar de cifrado
  • Datos sensibles de salud: Los datos médicos y nutricionales reciben una capa adicional de cifrado
  • Base de datos cifrada: Nuestras bases de datos utilizan cifrado transparente (TDE)
  • Backups cifrados: Todas las copias de seguridad están cifradas de extremo a extremo

2.3 Gestión de Claves

  • Rotación automática de claves de cifrado cada 90 días
  • Almacenamiento seguro de claves mediante HSM (Hardware Security Module)
  • Separación estricta entre claves de producción y desarrollo
  • Acceso a claves restringido mediante principio de mínimo privilegio

3. Autenticación y Acceso

3.1 Autenticación de Usuarios

🔑 Contraseñas Seguras

  • Mínimo 8 caracteres
  • Combinación de mayúsculas, minúsculas y números
  • Hasheadas con bcrypt (factor 12)
  • Nunca almacenadas en texto plano

📱 Autenticación de Dos Factores (2FA)

  • Opcional para todos los usuarios
  • Obligatoria para nutricionistas
  • Basada en TOTP (Time-based One-Time Password)
  • Compatible con Google Authenticator, Authy, etc.

🔐 Sesiones Seguras

  • Tokens JWT con expiración de 24 horas
  • Refresh tokens con expiración de 30 días
  • Cierre automático de sesión por inactividad (2 horas)
  • Opción de cerrar todas las sesiones activas

🛡️ Protección contra Ataques

  • Límite de 5 intentos de login fallidos
  • Bloqueo temporal de cuenta (15 minutos)
  • Detección de inicios de sesión sospechosos
  • Notificación por email de accesos inusuales

3.2 Control de Acceso Basado en Roles (RBAC)

Implementamos un sistema de permisos granular que garantiza que cada usuario solo pueda acceder a los datos y funcionalidades necesarias para su rol:

👤 Pacientes

Acceso solo a sus propios datos y nutricionistas asignados

👨‍⚕️ Nutricionistas

Acceso solo a datos de pacientes bajo su supervisión

⚙️ Administradores

Acceso limitado solo para soporte técnico autorizado

4. Infraestructura Segura

4.1 Hosting y Centros de Datos

  • Proveedores certificados: Utilizamos proveedores cloud con certificaciones ISO 27001, SOC 2 Type II y HIPAA
  • Redundancia geográfica: Datos replicados en múltiples regiones para alta disponibilidad
  • Centros de datos seguros: Instalaciones con seguridad física 24/7, control de acceso biométrico
  • Protección contra desastres: Planes de recuperación ante desastres con RTO < 4 horas

4.2 Seguridad de Red

  • Firewall multicapa: WAF (Web Application Firewall) + firewall de red + firewall de aplicación
  • Protección DDoS: Mitigación automática de ataques de denegación de servicio
  • VPN y VPC: Redes privadas virtuales para tráfico interno
  • Segmentación de red: Separación estricta entre entornos de producción, staging y desarrollo

4.3 Copias de Seguridad

  • Backups automáticos: Cada 6 horas para bases de datos críticas
  • Retención: 30 días de backups diarios, 12 meses de backups mensuales
  • Cifrado: Todos los backups están cifrados con AES-256
  • Pruebas de restauración: Verificación mensual de integridad de backups
  • Almacenamiento geográfico: Copias en al menos 2 regiones diferentes

5. Prácticas de Desarrollo Seguro

🔍 Revisión de Código

  • Peer review obligatoria antes de merge
  • Análisis estático de código (SAST)
  • Escaneo de dependencias vulnerables
  • Análisis de secretos en commits

🧪 Pruebas de Seguridad

  • Pentesting anual por expertos externos
  • Pruebas de penetración automatizadas (DAST)
  • Análisis de vulnerabilidades OWASP Top 10
  • Bug bounty program (próximamente)

📦 Gestión de Dependencias

  • Monitoreo continuo de CVEs
  • Actualización automática de parches de seguridad
  • Análisis de licencias de dependencias
  • Política de actualización cada 30 días

🛡️ Protección de la Aplicación

  • Validación y sanitización de inputs
  • Protección contra SQL injection
  • Protección contra XSS y CSRF
  • Rate limiting y throttling

6. Monitoreo y Respuesta a Incidentes

6.1 Monitoreo Continuo

  • Logs de auditoría: Registro de todas las acciones sensibles (accesos, modificaciones, eliminaciones)
  • SIEM: Sistema de gestión de eventos e información de seguridad
  • Detección de anomalías: Alertas automáticas ante comportamientos sospechosos
  • Monitoreo 24/7: Vigilancia constante de la infraestructura
  • Retención de logs: 1 año para logs de auditoría, 90 días para logs técnicos

6.2 Plan de Respuesta a Incidentes

En caso de incidente de seguridad, seguimos un protocolo estructurado:

  1. Detección e Identificación: Identificación y clasificación del incidente en < 15 minutos
  2. Contención: Aislamiento del sistema afectado para prevenir propagación
  3. Erradicación: Eliminación de la amenaza y vulnerabilidad
  4. Recuperación: Restauración de servicios y validación de integridad
  5. Análisis Post-Mortem: Documentación de lecciones aprendidas
  6. Notificación: Comunicación a usuarios afectados según legislación vigente

Compromiso de Notificación

En caso de una brecha de seguridad que comprometa datos personales, notificaremos a los usuarios afectados dentro de las 72 horas siguientes a la detección del incidente, cumpliendo con la Ley de Protección de Datos Personales de Chile.

7. Capacitación y Cultura de Seguridad

Todo el personal de NutriJUM recibe capacitación continua en seguridad de la información:

  • Onboarding obligatorio: Capacitación de seguridad para nuevos empleados
  • Formación anual: Actualización en mejores prácticas y nuevas amenazas
  • Simulacros de phishing: Ejercicios trimestrales de concientización
  • Confidencialidad: Acuerdos de confidencialidad (NDA) firmados por todo el equipo
  • Principio de mínimo privilegio: Acceso restringido según rol y necesidad

8. Cumplimiento y Certificaciones

🇨🇱 Legislación Chilena

  • Ley N° 19.628 de Protección de Datos Personales
  • Ley N° 21.096 (nueva ley de datos personales)
  • Ley N° 20.584 sobre Derechos del Paciente
  • Normativa del Ministerio de Salud

🌐 Estándares Internacionales

  • ISO 27001 (en proceso de certificación)
  • OWASP Security Guidelines
  • HIPAA principles (principios, no certificación)
  • GDPR-inspired practices

9. Recomendaciones para Usuarios

Su seguridad también depende de usted. Le recomendamos:

✅ Hacer:

  • Usar contraseñas únicas y robustas
  • Habilitar autenticación de dos factores
  • Mantener actualizado su navegador y sistema operativo
  • Cerrar sesión al terminar, especialmente en dispositivos compartidos
  • Verificar siempre que está en nutrijum.com
  • Reportar cualquier actividad sospechosa

❌ No hacer:

  • Compartir su contraseña con nadie
  • Usar la misma contraseña en otros sitios
  • Acceder desde redes WiFi públicas sin VPN
  • Hacer clic en enlaces sospechosos en emails
  • Guardar contraseñas en texto plano
  • Ignorar alertas de seguridad del navegador

10. Divulgación Responsable de Vulnerabilidades

Valoramos la colaboración de la comunidad de seguridad. Si descubre una vulnerabilidad en nuestra plataforma, le pedimos que nos la reporte de manera responsable:

📧 Cómo Reportar:

  1. Envíe un email a security@nutrijum.com con los detalles de la vulnerabilidad
  2. Incluya pasos detallados para reproducir el problema
  3. No divulgue públicamente la vulnerabilidad hasta que la hayamos solucionado
  4. No acceda, modifique o elimine datos de otros usuarios

Compromiso: Responderemos a su reporte dentro de 48 horasy le mantendremos informado sobre el progreso de la solución. Los investigadores de seguridad que reporten vulnerabilidades válidas serán reconocidos públicamente (si lo desean) en nuestra Hall of Fame.

11. Contacto

Para consultas relacionadas con seguridad:

🔒 Equipo de Seguridad: security@nutrijum.com

🛡️ Oficial de Seguridad: ciso@nutrijum.com

🚨 Reportar Incidente: incident@nutrijum.com

📞 Emergencias (24/7): [TELÉFONO DE EMERGENCIA]

Para consultas generales sobre privacidad, visite nuestraPolítica de Privacidad.

Esta Política de Seguridad fue actualizada por última vez el 24 de noviembre de 2025. Nos reservamos el derecho de actualizarla para reflejar mejoras continuas en nuestras prácticas de seguridad.