Política de Seguridad
Aviso de Traducción
⚠️ AVISO IMPORTANTE: Este documento ha sido traducido del turco. En caso de discrepancia o conflicto entre esta traducción y la versión original en turco, prevalecerá la versión turca. La versión original en turco está disponible en: https://evaste.co/tr/legal/security-policy
1. Introducción y Compromiso
1.1. Nuestro Compromiso de Seguridad
En Evaste, consideramos la seguridad de los datos de nuestros clientes y usuarios como nuestra máxima prioridad. Como plataforma de privacidad de datos y gestión de consentimiento, somos conscientes de nuestra responsabilidad de ser ejemplo en materia de seguridad.
1.2. Principios de Seguridad
Nuestra estrategia de seguridad se basa en los siguientes principios fundamentales:
(a) Defensa en Profundidad (Defense in Depth) Proporcionamos protección mediante múltiples capas de seguridad.
(b) Principio de Mínimo Privilegio (Least Privilege) A los usuarios y sistemas solo se les otorgan los permisos mínimos necesarios.
(c) Seguridad por Diseño (Security by Design) La seguridad está integrada desde el inicio en el diseño de todos los sistemas y procesos.
(d) Arquitectura Zero Trust Se aplica el principio "Nunca confiar, siempre verificar".
(e) Mejora Continua Nuestras medidas de seguridad se revisan y actualizan continuamente.
1.3. Alcance
Esta política de seguridad cubre:
• Infraestructura de la plataforma Evaste • Datos de clientes • Datos de empleados • Procesos de negocio • Integraciones de terceros
2. Medidas de Seguridad Técnicas
2.1. Cifrado de Datos
(a) Cifrado en Tránsito • Protocolo TLS 1.3 (mínimo TLS 1.2) • HSTS (HTTP Strict Transport Security) habilitado • Soporte Perfect Forward Secrecy (PFS) • Suites de cifrado fuertes
(b) Cifrado en Reposo • Algoritmo de cifrado AES-256 • Cifrado a nivel de disco • Cifrado a nivel de base de datos • Cifrado de copias de seguridad
(c) Almacenamiento de Contraseñas y Datos Sensibles • Contraseñas: Hash con bcrypt o Argon2 • Claves API: Sistemas de bóveda seguros • Gestión de claves criptográficas: Uso de HSM
2.2. Seguridad de Red
(a) Firewall • Firewall a nivel de aplicación (WAF) • Firewall a nivel de red • Bloqueo predeterminado de todo el tráfico (deny-all)
(b) Detección y Prevención de Intrusiones • Sistemas IDS/IPS • Monitoreo de amenazas en tiempo real • Detección de anomalías
(c) Protección DDoS • Protección CDN de Cloudflare o similar • Análisis y filtrado de tráfico • Limitación de tasa (Rate Limiting)
(d) Segmentación de Red • Separación de entornos de producción y prueba • Aislamiento de servidores de base de datos • VLANs y grupos de seguridad
2.3. Seguridad de Aplicaciones
(a) Ciclo de Vida de Desarrollo de Software Seguro (SSDLC) • Definición de requisitos de seguridad • Modelado de amenazas • Revisión de código seguro • Pruebas de seguridad
(b) Protección OWASP Top 10 • Prevención de SQL Injection • Protección XSS (Cross-Site Scripting) • Protección CSRF (Cross-Site Request Forgery) • Autenticación segura • Protección de datos sensibles
(c) Gestión de Dependencias • Actualizaciones regulares de dependencias • Escaneo de vulnerabilidades (Snyk, Dependabot) • Fuentes de dependencias seguras
(d) Seguridad API • Autenticación OAuth 2.0 / JWT • Limitación de tasa • Validación de entrada • Versionado de API
2.4. Seguridad de Base de Datos
• Consultas parametrizadas (prevención de SQL injection) • Control de acceso y autorización • Monitoreo de actividad de base de datos • Conexiones cifradas • Copias de seguridad regulares y pruebas de restauración
2.5. Seguridad de Contenedores y Nube
(a) Seguridad de Contenedores • Escaneo de imágenes (vulnerability scanning) • Imágenes base seguras • Seguridad en tiempo de ejecución • Gestión de secretos
(b) Seguridad en la Nube • Políticas IAM • Aislamiento de recursos • Almacenamiento cifrado • Grupos de seguridad y NACLs
3. Medidas de Seguridad Organizacionales
3.1. Gobernanza de Seguridad
(a) Responsabilidad de Seguridad • Responsabilidad a nivel directivo • Equipo de seguridad y responsabilidades • Coordinación interdepartamental
(b) Políticas y Procedimientos • Políticas de seguridad escritas • Actualizaciones regulares de políticas • Auditorías de cumplimiento de políticas
3.2. Gestión de Riesgos
(a) Evaluación de Riesgos • Evaluación anual de riesgos • Inventario de activos • Análisis de amenazas y vulnerabilidades • Planes de mitigación de riesgos
(b) Evaluación de Impacto en la Protección de Datos (EIPD) • EIPD para nuevos proyectos • Evaluación de actividades de procesamiento de alto riesgo • Medidas de mitigación de riesgos
3.3. Gestión de Incidentes
(a) Definición de Incidentes de Seguridad • Clasificación: Crítico, Alto, Medio, Bajo • Categorías de incidentes • Procedimientos de escalación
(b) Proceso de Respuesta • Detección y verificación de incidentes • Contención (containment) • Erradicación • Recuperación (recovery) • Lecciones aprendidas (lessons learned)
3.4. Gestión de Cambios
• Procedimiento de solicitud de cambio • Evaluación de riesgos e impacto • Procesos de prueba y aprobación • Planes de rollback
4. Políticas de Control de Acceso
4.1. Autenticación
(a) Política de Contraseñas • Mínimo 12 caracteres • Mayúsculas/minúsculas, números y caracteres especiales requeridos • Cambio de contraseña cada 90 días (cuentas empresariales) • Prohibición de reutilizar las últimas 12 contraseñas • Protección brute force (bloqueo de cuenta)
(b) Autenticación Multifactor (MFA) • MFA obligatorio para todas las cuentas de administrador • Soporte TOTP (Time-based One-Time Password) • Opciones de verificación por SMS y email • Soporte de llave de seguridad de hardware (FIDO2)
(c) Inicio de Sesión Único (SSO) • Soporte SAML 2.0 • Soporte OAuth 2.0 / OpenID Connect • Integración con proveedores de identidad empresarial
4.2. Autorización
(a) Control de Acceso Basado en Roles (RBAC) • Roles predefinidos • Posibilidad de crear roles personalizados • Principio de mínimo privilegio • Revisiones regulares de permisos
| Rol | Permisos |
|---|---|
| Visor | Acceso de solo lectura |
| Editor | Lectura y edición |
| Administrador | Derechos de administración completos |
| Super Admin | Permisos a nivel de plataforma |
4.3. Gestión de Sesiones
• Tiempo de espera de sesión (30 minutos de inactividad) • Limitación de sesiones simultáneas • Terminación segura de sesiones • Protección contra secuestro de sesión
4.4. Monitoreo de Acceso
• Registro de todos los intentos de acceso • Monitoreo de intentos de inicio de sesión fallidos • Detección de patrones de acceso anormales • Informes de acceso regulares
5. Procedimientos de Copia de Seguridad
5.1. Estrategia de Backup
(a) Tipos de Backup • Copia de seguridad completa (semanal) • Copia de seguridad incremental (diaria) • Copia de seguridad de logs de transacciones (continua)
| Tipo de Datos | Frecuencia | Tiempo de Retención |
|---|---|---|
| Base de datos | Diaria | 30 días |
| Sistemas de archivos | Diaria | 30 días |
| Configuraciones | En cada cambio | 90 días |
| Archivos de log | Diaria | 90 días |
5.2. Seguridad de Backup
• Backups cifrados con AES-256 • Almacenamiento en ubicaciones geográficamente separadas • Control de acceso a backups • Verificación de integridad de backups (checksum)
5.3. Procedimientos de Restauración
• Pruebas de restauración regulares (mensuales) • Procedimientos de restauración documentados • RTO (Recovery Time Objective): 4 horas • RPO (Recovery Point Objective): 1 hora
6. Notificación de Violación de Seguridad
6.1. Detección y Evaluación de Violaciones
Cuando se detecta una violación de seguridad:
1. Verificación del incidente y determinación del alcance 2. Identificación de sistemas y datos afectados 3. Evaluación del nivel de riesgo 4. Implementación de medidas de contención
6.2. Proceso de Notificación Interna
| Plazo | Acción |
|---|---|
| Primera hora | Notificación al equipo de seguridad |
| Primeras 4 horas | Notificación a la dirección |
| Primeras 24 horas | Evaluación de impacto y plan de respuesta |
6.3. Obligaciones de Notificación Externa
(a) Autoridad Turca de Protección de Datos (KVKK) • Notificación lo antes posible para violaciones de datos personales • Completar el formulario de violación • Informe de medidas tomadas
(b) Bajo el RGPD (Regla de 72 Horas) • Notificación a la autoridad de protección de datos competente en 72 horas • Notificación a las personas afectadas en caso de alto riesgo • Mantenimiento de registro de violaciones
(c) Notificación a Usuarios Afectados • Notificación inmediata en caso de alto riesgo • Uso de lenguaje claro y comprensible • Orientación sobre medidas de protección recomendadas
6.4. Contenido de la Notificación de Violación
La notificación incluye la siguiente información:
• Naturaleza y alcance de la violación • Categorías de datos afectados • Número de personas afectadas (estimado) • Posibles consecuencias • Medidas tomadas y recomendadas • Información de contacto
6.5. Acciones Correctivas
Después de una violación:
• Análisis de causa raíz • Implementación de medidas correctivas • Actualizaciones de políticas y procedimientos • Capacitación del personal (si es necesario) • Aumento de auditoría y monitoreo
7. Auditorías y Pruebas de Seguridad
7.1. Escaneo de Vulnerabilidades
(a) Escaneos Automáticos • Escaneo semanal de infraestructura • Escaneo diario de aplicaciones • Escaneo continuo de dependencias
(b) Herramientas Utilizadas • Nessus / Qualys (infraestructura) • OWASP ZAP / Burp Suite (aplicación) • Snyk / Dependabot (dependencias)
7.2. Pruebas de Penetración
• Prueba de penetración integral anual • Pruebas adicionales después de cambios importantes • Realización por empresas de seguridad independientes • Corrección de hallazgos en 30 días
7.3. Ejercicios Red Team
• Evaluación Red Team anual • Escenarios de ataque realistas • Pruebas de ingeniería social • Pruebas de seguridad física
7.4. Revisión de Código
• Peer review para todos los cambios de código • Revisión de código orientada a seguridad • Análisis de código estático (SAST) • Pruebas de seguridad de aplicaciones dinámicas (DAST)
7.5. Gestión de Hallazgos
| Criticidad | Plazo de Corrección |
|---|---|
| Crítico | 24 horas |
| Alto | 7 días |
| Medio | 30 días |
| Bajo | 90 días |
8. Capacitación de Empleados
8.1. Capacitación en Concientización de Seguridad
(a) Capacitación de Incorporación • Políticas de seguridad • Uso aceptable • Fundamentos de protección de datos • Reporte de incidentes
(b) Capacitación Obligatoria Anual • Amenazas y tendencias actuales • Concientización sobre ingeniería social • Reconocimiento de phishing • Prácticas de trabajo seguras
8.2. Capacitación Basada en Roles
| Rol | Temas de Capacitación Adicionales |
|---|---|
| Desarrolladores | Codificación segura, OWASP, revisión de código |
| DevOps | Seguridad en la nube, seguridad de contenedores |
| Gerentes | Gestión de riesgos, cumplimiento |
| Soporte | Protección de datos, privacidad del cliente |
8.3. Ejercicios de Simulación
• Simulaciones de phishing mensuales • Ejercicios de incidentes de seguridad • Ejercicios de mesa (tabletop exercises)
9. Seguridad Física
9.1. Seguridad del Centro de Datos
La infraestructura de Evaste está alojada en centros de datos con las siguientes medidas de seguridad física:
• Personal de seguridad 24/7 • Control de acceso biométrico • Vigilancia CCTV • Sistemas de extinción de incendios • Soporte UPS y generador • Monitoreo ambiental (temperatura, humedad)
9.2. Seguridad de Oficina
• Sistemas de acceso con tarjeta • Procedimientos de registro de visitantes • Política de escritorio limpio • Seguridad de dispositivos
10. Continuidad del Negocio y Recuperación ante Desastres
10.1. Plan de Continuidad del Negocio (PCN)
• Identificación de funciones críticas del negocio • Procedimientos de trabajo alternativos • Planes de comunicación • Pruebas regulares del plan
10.2. Plan de Recuperación ante Desastres (PRD)
(a) Objetivos de Recuperación • RTO (Recovery Time Objective): 4 horas • RPO (Recovery Point Objective): 1 hora
(b) Mecanismos de Failover • Replicación de base de datos activo-pasivo • Infraestructura geográficamente distribuida • Failover automático • Balanceo de carga
10.3. Pruebas y Ejercicios
• Prueba DR anual • Simulaciones de failover • Pruebas de restauración de backups
11. Seguridad de Terceros
11.1. Evaluación de Proveedores
Al seleccionar proveedores de servicios de terceros:
• Certificaciones de seguridad (SOC 2, ISO 27001) • Cumplimiento de privacidad (RGPD, KVKK) • Revisión de políticas de seguridad • Verificación de referencias
11.2. Requisitos Contractuales
Los contratos con terceros incluyen:
• Acuerdo de procesamiento de datos (DPA) • Obligaciones de confidencialidad • Estándares de seguridad • Obligaciones de notificación de violaciones • Derechos de auditoría
11.3. Monitoreo Continuo
• Evaluaciones de seguridad regulares • Seguimiento de renovaciones de certificación • Monitoreo de notificaciones de incidentes
12. Cumplimiento y Certificaciones
12.1. Marcos de Cumplimiento
Evaste cumple con las siguientes regulaciones:
(a) Protección de Datos • KVKK Ley N° 6698 (Turquía) • RGPD (Unión Europea) • CCPA (California, EE.UU.)
(b) Seguridad de la Información • ISO 27001 (sistema de gestión de seguridad de la información) • SOC 2 Type II (proveedores de infraestructura)
12.2. Certificaciones y Auditorías
| Certificación/Auditoría | Alcance | Frecuencia |
|---|---|---|
| ISO 27001 | Gestión de seguridad de la información | Anual |
| SOC 2 Type II | Controles de seguridad | Anual |
| Prueba de penetración | Aplicación e infraestructura | Anual |
| Escaneo de vulnerabilidades | Todos los sistemas | Continuo |
12.3. Informes de Cumplimiento
Los siguientes documentos pueden proporcionarse a nuestros clientes a solicitud:
• Resumen del informe SOC 2 Type II • Resumen de prueba de penetración • Declaración de cumplimiento de seguridad
13. Información de Contacto
13.1. Equipo de Seguridad
Para preguntas y reportes de seguridad:
Email: security@evaste.co Emergencia: +90 532 494 42 64
13.2. Reporte de Vulnerabilidades
Si ha descubierto una vulnerabilidad:
Email: security@evaste.co Asunto: "Security Vulnerability Report"
Le solicitamos actuar según el principio de divulgación responsable (responsible disclosure). Los reportes de vulnerabilidades válidos son recompensados.
13.3. Contacto General
Evaste (Group Taiga) Dirección: Levent, Istanbul, Turkey Email: info@evaste.co Web: https://evaste.co
Esta Política de Seguridad entró en vigor el 12 de enero de 2026.
Revisamos y mejoramos continuamente nuestros procesos de seguridad. Los cambios de política se publicarán actualizando la fecha de "Última actualización".
Política de Seguridad
Aviso de Traducción
⚠️ AVISO IMPORTANTE: Este documento ha sido traducido del turco. En caso de discrepancia o conflicto entre esta traducción y la versión original en turco, prevalecerá la versión turca. La versión original en turco está disponible en: https://evaste.co/tr/legal/security-policy
1. Introducción y Compromiso
1.1. Nuestro Compromiso de Seguridad
En Evaste, consideramos la seguridad de los datos de nuestros clientes y usuarios como nuestra máxima prioridad. Como plataforma de privacidad de datos y gestión de consentimiento, somos conscientes de nuestra responsabilidad de ser ejemplo en materia de seguridad.
1.2. Principios de Seguridad
Nuestra estrategia de seguridad se basa en los siguientes principios fundamentales:
(a) Defensa en Profundidad (Defense in Depth) Proporcionamos protección mediante múltiples capas de seguridad.
(b) Principio de Mínimo Privilegio (Least Privilege) A los usuarios y sistemas solo se les otorgan los permisos mínimos necesarios.
(c) Seguridad por Diseño (Security by Design) La seguridad está integrada desde el inicio en el diseño de todos los sistemas y procesos.
(d) Arquitectura Zero Trust Se aplica el principio "Nunca confiar, siempre verificar".
(e) Mejora Continua Nuestras medidas de seguridad se revisan y actualizan continuamente.
1.3. Alcance
Esta política de seguridad cubre:
• Infraestructura de la plataforma Evaste • Datos de clientes • Datos de empleados • Procesos de negocio • Integraciones de terceros
2. Medidas de Seguridad Técnicas
2.1. Cifrado de Datos
(a) Cifrado en Tránsito • Protocolo TLS 1.3 (mínimo TLS 1.2) • HSTS (HTTP Strict Transport Security) habilitado • Soporte Perfect Forward Secrecy (PFS) • Suites de cifrado fuertes
(b) Cifrado en Reposo • Algoritmo de cifrado AES-256 • Cifrado a nivel de disco • Cifrado a nivel de base de datos • Cifrado de copias de seguridad
(c) Almacenamiento de Contraseñas y Datos Sensibles • Contraseñas: Hash con bcrypt o Argon2 • Claves API: Sistemas de bóveda seguros • Gestión de claves criptográficas: Uso de HSM
2.2. Seguridad de Red
(a) Firewall • Firewall a nivel de aplicación (WAF) • Firewall a nivel de red • Bloqueo predeterminado de todo el tráfico (deny-all)
(b) Detección y Prevención de Intrusiones • Sistemas IDS/IPS • Monitoreo de amenazas en tiempo real • Detección de anomalías
(c) Protección DDoS • Protección CDN de Cloudflare o similar • Análisis y filtrado de tráfico • Limitación de tasa (Rate Limiting)
(d) Segmentación de Red • Separación de entornos de producción y prueba • Aislamiento de servidores de base de datos • VLANs y grupos de seguridad
2.3. Seguridad de Aplicaciones
(a) Ciclo de Vida de Desarrollo de Software Seguro (SSDLC) • Definición de requisitos de seguridad • Modelado de amenazas • Revisión de código seguro • Pruebas de seguridad
(b) Protección OWASP Top 10 • Prevención de SQL Injection • Protección XSS (Cross-Site Scripting) • Protección CSRF (Cross-Site Request Forgery) • Autenticación segura • Protección de datos sensibles
(c) Gestión de Dependencias • Actualizaciones regulares de dependencias • Escaneo de vulnerabilidades (Snyk, Dependabot) • Fuentes de dependencias seguras
(d) Seguridad API • Autenticación OAuth 2.0 / JWT • Limitación de tasa • Validación de entrada • Versionado de API
2.4. Seguridad de Base de Datos
• Consultas parametrizadas (prevención de SQL injection) • Control de acceso y autorización • Monitoreo de actividad de base de datos • Conexiones cifradas • Copias de seguridad regulares y pruebas de restauración
2.5. Seguridad de Contenedores y Nube
(a) Seguridad de Contenedores • Escaneo de imágenes (vulnerability scanning) • Imágenes base seguras • Seguridad en tiempo de ejecución • Gestión de secretos
(b) Seguridad en la Nube • Políticas IAM • Aislamiento de recursos • Almacenamiento cifrado • Grupos de seguridad y NACLs
3. Medidas de Seguridad Organizacionales
3.1. Gobernanza de Seguridad
(a) Responsabilidad de Seguridad • Responsabilidad a nivel directivo • Equipo de seguridad y responsabilidades • Coordinación interdepartamental
(b) Políticas y Procedimientos • Políticas de seguridad escritas • Actualizaciones regulares de políticas • Auditorías de cumplimiento de políticas
3.2. Gestión de Riesgos
(a) Evaluación de Riesgos • Evaluación anual de riesgos • Inventario de activos • Análisis de amenazas y vulnerabilidades • Planes de mitigación de riesgos
(b) Evaluación de Impacto en la Protección de Datos (EIPD) • EIPD para nuevos proyectos • Evaluación de actividades de procesamiento de alto riesgo • Medidas de mitigación de riesgos
3.3. Gestión de Incidentes
(a) Definición de Incidentes de Seguridad • Clasificación: Crítico, Alto, Medio, Bajo • Categorías de incidentes • Procedimientos de escalación
(b) Proceso de Respuesta • Detección y verificación de incidentes • Contención (containment) • Erradicación • Recuperación (recovery) • Lecciones aprendidas (lessons learned)
3.4. Gestión de Cambios
• Procedimiento de solicitud de cambio • Evaluación de riesgos e impacto • Procesos de prueba y aprobación • Planes de rollback
4. Políticas de Control de Acceso
4.1. Autenticación
(a) Política de Contraseñas • Mínimo 12 caracteres • Mayúsculas/minúsculas, números y caracteres especiales requeridos • Cambio de contraseña cada 90 días (cuentas empresariales) • Prohibición de reutilizar las últimas 12 contraseñas • Protección brute force (bloqueo de cuenta)
(b) Autenticación Multifactor (MFA) • MFA obligatorio para todas las cuentas de administrador • Soporte TOTP (Time-based One-Time Password) • Opciones de verificación por SMS y email • Soporte de llave de seguridad de hardware (FIDO2)
(c) Inicio de Sesión Único (SSO) • Soporte SAML 2.0 • Soporte OAuth 2.0 / OpenID Connect • Integración con proveedores de identidad empresarial
4.2. Autorización
(a) Control de Acceso Basado en Roles (RBAC) • Roles predefinidos • Posibilidad de crear roles personalizados • Principio de mínimo privilegio • Revisiones regulares de permisos
| Rol | Permisos |
|---|---|
| Visor | Acceso de solo lectura |
| Editor | Lectura y edición |
| Administrador | Derechos de administración completos |
| Super Admin | Permisos a nivel de plataforma |
4.3. Gestión de Sesiones
• Tiempo de espera de sesión (30 minutos de inactividad) • Limitación de sesiones simultáneas • Terminación segura de sesiones • Protección contra secuestro de sesión
4.4. Monitoreo de Acceso
• Registro de todos los intentos de acceso • Monitoreo de intentos de inicio de sesión fallidos • Detección de patrones de acceso anormales • Informes de acceso regulares
5. Procedimientos de Copia de Seguridad
5.1. Estrategia de Backup
(a) Tipos de Backup • Copia de seguridad completa (semanal) • Copia de seguridad incremental (diaria) • Copia de seguridad de logs de transacciones (continua)
| Tipo de Datos | Frecuencia | Tiempo de Retención |
|---|---|---|
| Base de datos | Diaria | 30 días |
| Sistemas de archivos | Diaria | 30 días |
| Configuraciones | En cada cambio | 90 días |
| Archivos de log | Diaria | 90 días |
5.2. Seguridad de Backup
• Backups cifrados con AES-256 • Almacenamiento en ubicaciones geográficamente separadas • Control de acceso a backups • Verificación de integridad de backups (checksum)
5.3. Procedimientos de Restauración
• Pruebas de restauración regulares (mensuales) • Procedimientos de restauración documentados • RTO (Recovery Time Objective): 4 horas • RPO (Recovery Point Objective): 1 hora
6. Notificación de Violación de Seguridad
6.1. Detección y Evaluación de Violaciones
Cuando se detecta una violación de seguridad:
1. Verificación del incidente y determinación del alcance 2. Identificación de sistemas y datos afectados 3. Evaluación del nivel de riesgo 4. Implementación de medidas de contención
6.2. Proceso de Notificación Interna
| Plazo | Acción |
|---|---|
| Primera hora | Notificación al equipo de seguridad |
| Primeras 4 horas | Notificación a la dirección |
| Primeras 24 horas | Evaluación de impacto y plan de respuesta |
6.3. Obligaciones de Notificación Externa
(a) Autoridad Turca de Protección de Datos (KVKK) • Notificación lo antes posible para violaciones de datos personales • Completar el formulario de violación • Informe de medidas tomadas
(b) Bajo el RGPD (Regla de 72 Horas) • Notificación a la autoridad de protección de datos competente en 72 horas • Notificación a las personas afectadas en caso de alto riesgo • Mantenimiento de registro de violaciones
(c) Notificación a Usuarios Afectados • Notificación inmediata en caso de alto riesgo • Uso de lenguaje claro y comprensible • Orientación sobre medidas de protección recomendadas
6.4. Contenido de la Notificación de Violación
La notificación incluye la siguiente información:
• Naturaleza y alcance de la violación • Categorías de datos afectados • Número de personas afectadas (estimado) • Posibles consecuencias • Medidas tomadas y recomendadas • Información de contacto
6.5. Acciones Correctivas
Después de una violación:
• Análisis de causa raíz • Implementación de medidas correctivas • Actualizaciones de políticas y procedimientos • Capacitación del personal (si es necesario) • Aumento de auditoría y monitoreo
7. Auditorías y Pruebas de Seguridad
7.1. Escaneo de Vulnerabilidades
(a) Escaneos Automáticos • Escaneo semanal de infraestructura • Escaneo diario de aplicaciones • Escaneo continuo de dependencias
(b) Herramientas Utilizadas • Nessus / Qualys (infraestructura) • OWASP ZAP / Burp Suite (aplicación) • Snyk / Dependabot (dependencias)
7.2. Pruebas de Penetración
• Prueba de penetración integral anual • Pruebas adicionales después de cambios importantes • Realización por empresas de seguridad independientes • Corrección de hallazgos en 30 días
7.3. Ejercicios Red Team
• Evaluación Red Team anual • Escenarios de ataque realistas • Pruebas de ingeniería social • Pruebas de seguridad física
7.4. Revisión de Código
• Peer review para todos los cambios de código • Revisión de código orientada a seguridad • Análisis de código estático (SAST) • Pruebas de seguridad de aplicaciones dinámicas (DAST)
7.5. Gestión de Hallazgos
| Criticidad | Plazo de Corrección |
|---|---|
| Crítico | 24 horas |
| Alto | 7 días |
| Medio | 30 días |
| Bajo | 90 días |
8. Capacitación de Empleados
8.1. Capacitación en Concientización de Seguridad
(a) Capacitación de Incorporación • Políticas de seguridad • Uso aceptable • Fundamentos de protección de datos • Reporte de incidentes
(b) Capacitación Obligatoria Anual • Amenazas y tendencias actuales • Concientización sobre ingeniería social • Reconocimiento de phishing • Prácticas de trabajo seguras
8.2. Capacitación Basada en Roles
| Rol | Temas de Capacitación Adicionales |
|---|---|
| Desarrolladores | Codificación segura, OWASP, revisión de código |
| DevOps | Seguridad en la nube, seguridad de contenedores |
| Gerentes | Gestión de riesgos, cumplimiento |
| Soporte | Protección de datos, privacidad del cliente |
8.3. Ejercicios de Simulación
• Simulaciones de phishing mensuales • Ejercicios de incidentes de seguridad • Ejercicios de mesa (tabletop exercises)
9. Seguridad Física
9.1. Seguridad del Centro de Datos
La infraestructura de Evaste está alojada en centros de datos con las siguientes medidas de seguridad física:
• Personal de seguridad 24/7 • Control de acceso biométrico • Vigilancia CCTV • Sistemas de extinción de incendios • Soporte UPS y generador • Monitoreo ambiental (temperatura, humedad)
9.2. Seguridad de Oficina
• Sistemas de acceso con tarjeta • Procedimientos de registro de visitantes • Política de escritorio limpio • Seguridad de dispositivos
10. Continuidad del Negocio y Recuperación ante Desastres
10.1. Plan de Continuidad del Negocio (PCN)
• Identificación de funciones críticas del negocio • Procedimientos de trabajo alternativos • Planes de comunicación • Pruebas regulares del plan
10.2. Plan de Recuperación ante Desastres (PRD)
(a) Objetivos de Recuperación • RTO (Recovery Time Objective): 4 horas • RPO (Recovery Point Objective): 1 hora
(b) Mecanismos de Failover • Replicación de base de datos activo-pasivo • Infraestructura geográficamente distribuida • Failover automático • Balanceo de carga
10.3. Pruebas y Ejercicios
• Prueba DR anual • Simulaciones de failover • Pruebas de restauración de backups
11. Seguridad de Terceros
11.1. Evaluación de Proveedores
Al seleccionar proveedores de servicios de terceros:
• Certificaciones de seguridad (SOC 2, ISO 27001) • Cumplimiento de privacidad (RGPD, KVKK) • Revisión de políticas de seguridad • Verificación de referencias
11.2. Requisitos Contractuales
Los contratos con terceros incluyen:
• Acuerdo de procesamiento de datos (DPA) • Obligaciones de confidencialidad • Estándares de seguridad • Obligaciones de notificación de violaciones • Derechos de auditoría
11.3. Monitoreo Continuo
• Evaluaciones de seguridad regulares • Seguimiento de renovaciones de certificación • Monitoreo de notificaciones de incidentes
12. Cumplimiento y Certificaciones
12.1. Marcos de Cumplimiento
Evaste cumple con las siguientes regulaciones:
(a) Protección de Datos • KVKK Ley N° 6698 (Turquía) • RGPD (Unión Europea) • CCPA (California, EE.UU.)
(b) Seguridad de la Información • ISO 27001 (sistema de gestión de seguridad de la información) • SOC 2 Type II (proveedores de infraestructura)
12.2. Certificaciones y Auditorías
| Certificación/Auditoría | Alcance | Frecuencia |
|---|---|---|
| ISO 27001 | Gestión de seguridad de la información | Anual |
| SOC 2 Type II | Controles de seguridad | Anual |
| Prueba de penetración | Aplicación e infraestructura | Anual |
| Escaneo de vulnerabilidades | Todos los sistemas | Continuo |
12.3. Informes de Cumplimiento
Los siguientes documentos pueden proporcionarse a nuestros clientes a solicitud:
• Resumen del informe SOC 2 Type II • Resumen de prueba de penetración • Declaración de cumplimiento de seguridad
13. Información de Contacto
13.1. Equipo de Seguridad
Para preguntas y reportes de seguridad:
Email: security@evaste.co Emergencia: +90 532 494 42 64
13.2. Reporte de Vulnerabilidades
Si ha descubierto una vulnerabilidad:
Email: security@evaste.co Asunto: "Security Vulnerability Report"
Le solicitamos actuar según el principio de divulgación responsable (responsible disclosure). Los reportes de vulnerabilidades válidos son recompensados.
13.3. Contacto General
Evaste (Group Taiga) Dirección: Levent, Istanbul, Turkey Email: info@evaste.co Web: https://evaste.co
Esta Política de Seguridad entró en vigor el 12 de enero de 2026.
Revisamos y mejoramos continuamente nuestros procesos de seguridad. Los cambios de política se publicarán actualizando la fecha de "Última actualización".