Safety Panel

Apariencia

Infraestructura

Proveedores

Safety Panel no opera datacenters propios. La infraestructura se apoya en proveedores con auditorías de seguridad y certificaciones internacionales vigentes:

ProveedorRolCertificaciones públicas vigentes
DigitalOceanCómputo (VPS) y base de datos relacional gestionadaSOC 2 Tipo II, SOC 3, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, PCI DSS, CSA STAR. Reportes en el Trust Center de DigitalOcean.
CloudflareDNS, edge, terminación TLS, WAF, mitigación de DDoSSOC 2 Tipo II, ISO/IEC 27001, ISO/IEC 27018, PCI DSS Nivel 1, FedRAMP Moderate, entre otras. Reportes en el Trust Hub de Cloudflare.
Amazon Web ServicesAlmacenamiento de objetos y envío transaccional de correoSOC 1/2/3, ISO/IEC 27001/27017/27018, PCI DSS, FedRAMP, ISO 9001, entre otras. Reportes en AWS Compliance.
Proveedor de error tracking / APMMonitoreo de errores y performanceSOC 2 Tipo II, ISO/IEC 27001, HIPAA.

Las certificaciones de los proveedores no se transfieren automáticamente a Safety Panel, pero garantizan que las capas que sostienen la plataforma están auditadas por terceros independientes.

Hosting

  • Despliegue por contenedores firmados — Despliegues atómicos con rollback automático ante fallas. Las imágenes se sirven desde un registry privado.
  • Cola de jobs in-process — Sin servicios auxiliares (Redis u otros) expuestos a internet.

TLS / Transporte

  • TLS de extremo a extremo entre cliente ↔ edge/CDN ↔ origen, con verificación del certificado de origen por parte del edge.
  • Cualquier petición HTTP se redirige automáticamente a HTTPS y las cookies se marcan Secure.
  • HSTS habilitado.

Almacenamiento de archivos

  • Almacenamiento de objetos en la nube, en bucket privado.
  • Acceso por credenciales rotables, provistas como secretos en tiempo de despliegue — nunca en código.
  • Cifrado en reposo AES-256 server-side gestionado por el proveedor.
  • Las descargas a usuarios pasan por un proxy autenticado de la aplicación: la URL pública no expone el almacenamiento directamente; la aplicación valida pertenencia al tenant y permisos antes de servir el archivo.
  • Los archivos no son listables ni navegables públicamente.

Base de datos y backups

  • Servicio gestionado de base de datos relacional.
  • Cifrado en reposo a nivel de disco.
  • Conexión a la aplicación sobre red privada del proveedor (VPC) con TLS.
  • Backups automáticos diarios con retención mínima de 7 días, gestionados por el proveedor.
  • Point-in-time recovery (PITR) disponible dentro de la ventana de retención del proveedor.

Mitigación de DDoS y abuso

  • La capa de edge / CDN aplica mitigación de DDoS volumétricos y ataques L3/L4 antes de que el tráfico llegue al origen.
  • WAF con reglas gestionadas para los patrones OWASP más comunes (inyección SQL, XSS, RCE).
  • Rate limiting a nivel edge sobre rutas sensibles (login, recuperación de contraseña, OTP).

Monitoreo y logs

  • Errores, breadcrumbs y trazas de performance enviados a un proveedor externo de error tracking / APM. Los parámetros sensibles aparecen filtrados como [FILTERED] antes de salir de la aplicación.
  • Logs estructurados de aplicación con retención de 30 días.
  • Alertas automáticas sobre errores nuevos y picos de regresión.

Hardening adicional

  • Sanitización de entradas a nivel Rack — Primer middleware del stack: neutraliza bytes nulos y secuencias UTF-8 inválidas que podrían usarse para evadir filtros.
  • Protección CSRF habilitada por defecto en todos los formularios.
  • Cookies firmadas y cifradas, marcadas Secure y HttpOnly.
  • SameSite=Lax en cookies de sesión.
  • Escáner estático de seguridad y chequeo de migraciones peligrosas corren en CI sobre cada cambio para bloquear patrones inseguros antes del merge.
  • Historial de versiones en usuarios, documentos de cumplimiento y visitas.

Documentación de Safety Panel

© 2024-present Safety Panel