Sistemas seguros · Verificado continuamente

Tus datos financieros están seguros

La información financiera de tus obras es lo más sensible que nos confías. Aquí explicamos exactamente cómo la protegemos: sin tecnicismos innecesarios, con total transparencia.

Ver medidas técnicas Reportar vulnerabilidad →

Sistemas protegidos

Actualizado ahora

Cifrado

AES-256

Tránsito

TLS 1.3

Uptime (90d)

99.96%

Backup último

hace 3h

✓

Datos cifrados en reposo

✓

Autenticación 2FA disponible

✓

Backups diarios verificados

✓

Separación lógica por empresa

✓

Logs de auditoría completos

🔒

0 brechas de datos

En toda la historia de Costrol

🔐

TLS 1.3

Cifrado en tránsito

🛡️

AES-256

Cifrado en reposo

🔑

bcrypt

Hash de contraseñas

☁️

AWS SOC 2

Infraestructura certificada

💳

PCI-DSS

Pagos (vía Transbank)

⚖️

Ley 19.628

Marco legal Chile

Pilares

Seguridad en cada capa

No es un solo candado. Son múltiples capas de protección que trabajan juntas para que tus datos de obras nunca queden expuestos.

🔐

Cifrado de extremo a extremo

Todos los datos se cifran con AES-256 en reposo y TLS 1.3 en tránsito. Ni siquiera nosotros podemos leer tus cartolas sin autenticación.

🏗️

Arquitectura multi-tenant segura

Cada empresa tiene sus datos lógicamente aislados. Es imposible que un usuario acceda a datos de otra cuenta.

👤

Control de acceso mínimo

Principio de mínimo privilegio: cada persona del equipo de Costrol solo tiene acceso a los sistemas que su rol estrictamente requiere.

💾

Backups verificados

Copias de seguridad completas cada 6 horas e incrementales cada hora. Cada backup es verificado automáticamente antes de confirmarse.

👁️

Monitoreo continuo 24/7

Sistemas de detección de anomalías, alertas automáticas ante comportamientos sospechosos y logs de auditoría con retención de 12 meses.

🔄

Recuperación ante desastres

Failover automático a zona de backup ante fallos de hardware. RTO menor a 15 minutos para todos los planes.

Cifrado

Tus cartolas viajan y descansan siempre cifradas

Desde que subes un archivo hasta que lo ves en pantalla, los datos pasan por múltiples capas de cifrado.

📡

TLS 1.3 en tránsito

Toda comunicación entre tu navegador y nuestros servidores usa TLS 1.3, el protocolo de cifrado más moderno. HTTP estricto (HSTS) forzado en todos los dominios.

TLS_AES_256_GCM_SHA384

🗄️

AES-256 en reposo

Cada archivo y fila de base de datos se almacena cifrada con AES-256-GCM. Las claves están protegidas en un HSM independiente.

AES-256-GCM

🔑

bcrypt para contraseñas

Las contraseñas nunca se almacenan en texto plano. Usamos bcrypt con cost factor 12, lo que hace inviables los ataques de fuerza bruta.

bcrypt (cost: 12)

🔄

Rotación de claves

Las claves criptográficas se rotan automáticamente cada 90 días. Los tokens de sesión tienen vida máxima de 24 horas.

Key rotation: 90 días

📁 Cartola que subes

› BCI - 15/03/2025 - Proveedor Fierros SA - $4.200.000 CLP

🔒 Lo que se almacena (cifrado)

› aes256gcm$d8f3a2b1c9e4f7a0b2c5d8e1f4a7b0c3d6e9f2a5b8c1d4e7f0a3b6c9d2e5f8a1b4c7d0e3f6a9b2c5d8e1f4a7b0c3d6e9f2a5b8$iv:7f3a9c2e$tag:b4d8f2a6

🌐 Lo que viaja por la red (TLS)

› TLSv1.3 Record Layer: Application Data Protocol: [encrypted bytes: 0x17 0x03 0x03 0x01 0xbe ...]

AES-256-GCM TLS 1.3 HSTS HSM Keys

Infraestructura

Arquitectura diseñada para no caer nunca

Alta disponibilidad, redundancia geográfica y failover automático en menos de 60 segundos.

☁️

Nube AWS

Infraestructura en AWS us-east-1 con failover automático a us-east-2.

AWS cuenta con certificación ISO 27001, SOC 2 Type II y cumple estándares equivalentes a GDPR.

Aislamiento de red con VPC privada. Los servidores de base de datos no tienen IP pública.

Balanceo de carga automático con detección de instancias no saludables en <30 segundos.

💾

Backups y recuperación

Backup completo cada 6 horas, incremental cada hora.

Retención de backups: 90 días con punto de restauración granular a 1 hora.

Backups almacenados en bucket S3 cifrado en región separada.

Verificación automática de integridad tras cada backup. Alerta si falla.

🗄️

Base de datos

PostgreSQL en configuración primary-replica con replicación síncrona.

Failover automático a réplica en menos de 60 segundos ante fallo del primario.

Replication lag monitoreado en tiempo real. Alerta si supera 100ms.

Acceso a base de datos solo desde IPs privadas internas, nunca expuesta a internet.

🌍

CDN y entrega

CDN global con nodo en Santiago para mínima latencia en Chile (<10ms assets).

Protección DDoS automática con mitigación en capa de red y aplicación.

Rate limiting por IP y por API key para prevenir abuso y scraping.

Headers de seguridad: CSP, HSTS, X-Frame-Options, X-Content-Type configurados estrictamente.

Arquitectura simplificada de seguridad

Tu navegadorTLS 1.3

→

CDN / WAFDDoS + Rate limit

→

Load BalancerSSL termination

↓

App ServersVPC privada

→

DB PrimaryAES-256 + replica

→

S3 BackupRegión separada

Control de acceso

Quién puede ver qué y cuándo

Acceso mínimo, siempre justificado, siempre registrado.

Principio de mínimo privilegio

Cada miembro del equipo de Costrol solo tiene acceso a los sistemas que su rol estrictamente requiere. Un ingeniero de frontend no puede ver la base de datos de producción.

Autenticación multifactor interna

Todo acceso a sistemas de producción requiere MFA obligatorio. Las claves SSH se rotan cada 90 días.

Logs de auditoría completos

Cada acceso a datos sensibles queda registrado en logs de auditoría inmutables con retención de 12 meses.

Aislamiento por tenant

Los datos de tu empresa están lógicamente separados de los de cualquier otra cuenta mediante Row-Level Security (RLS) en PostgreSQL.

2FA para usuarios

Todos los usuarios pueden activar autenticación de dos factores (TOTP). Para cuentas Enterprise, el 2FA es obligatorio.

Acuerdos de confidencialidad

Todo el personal y los contratistas con cualquier nivel de acceso a sistemas firman acuerdos de confidencialidad antes de recibir credenciales.

💡

Costrol nunca accede a tus datos financieros sin tu conocimiento. Si alguna vez necesitamos revisar datos para resolver un problema de soporte, te lo comunicamos primero y quedará registrado en el log de auditoría de tu cuenta.

Respuesta a incidentes

Cuando algo falla, así actuamos

Tener un plan claro y probado marca la diferencia entre un incidente menor y una crisis. Este es el nuestro.

🚨

0 – 15 minutos

Detección y clasificación

Nuestro sistema de monitoreo detecta automáticamente anomalías. Un ingeniero de guardia evalúa la severidad (P1–P4) dentro de los primeros 15 minutos.

🔍

15 – 60 minutos

Contención y análisis

Se activa el equipo de respuesta. Primera acción: contener el impacto (aislar, redirigir tráfico). Simultáneamente, se investiga la causa raíz.

📢

Dentro de 2 horas

Comunicación inicial

Si el incidente afecta a usuarios, publicamos una actualización en costrol.cl/estado y notificamos a los afectados por email. Sin ocultar nada.

🔧

Resolución

Fix y restauración

Se implementa el fix, se verifica que el sistema está operativo y se monitorea de cerca por las siguientes 24 horas.

📋

Dentro de 72 horas

Post-mortem público

Para incidentes P1/P2, publicamos un post-mortem con causa raíz, línea de tiempo y acciones preventivas. La transparencia es parte de nuestra cultura.

⚡

Tiempos de respuesta garantizados

P1 (Servicio caído): Alerta en <5 min · Respuesta en <15 min

P2 (Degradación grave): Alerta en <15 min · Respuesta en <1 hora

P3 (Degradación menor): Alerta en <1 hora · Respuesta en <4 horas

P4 (Sin impacto usuario): Respuesta en <24 horas hábiles

🔔

Notificación de brechas de datos

Si detectamos una brecha de datos personales, notificamos a los afectados en máximo 72 horas.

El email de notificación incluirá: qué datos se vieron afectados, período de exposición y medidas inmediatas adoptadas.

Mantendremos un canal de comunicación abierto hasta la resolución completa del incidente.

Divulgación responsable

¿Encontraste una vulnerabilidad? Cuéntanosla

Si descubres una vulnerabilidad de seguridad en Costrol, te pedimos que nos la reportes de forma responsable antes de divulgarla públicamente. Nos comprometemos a responder en menos de 5 días hábiles.

Reportar: seguridad@costrol.cl

🤝

Prometemos no tomar acciones legales contra investigadores de buena fe que sigan estas pautas. Si el reporte es válido y significativo, lo reconocemos públicamente en nuestra página de estado.

✅ Dentro del alcance

Autenticación: bypass de login, fuerza bruta, session fixation

Autorización: acceso a datos de otro tenant, escalada de privilegios

Datos: exfiltración, inyección SQL, XSS con impacto en datos

API: endpoints no autenticados, rate limit bypass

Infraestructura: puertos expuestos, configuraciones inseguras

✗ Fuera del alcance

Ataques de denegación de servicio (DoS/DDoS)

Ingeniería social a empleados de Costrol

Vulnerabilidades en sistemas de terceros (AWS, Transbank)

Reportes de spam o clickjacking sin impacto real

FAQ

Preguntas frecuentes sobre seguridad

Técnicamente es posible para personal autorizado con acceso a producción, pero siempre requiere autenticación multifactor y queda registrado en logs de auditoría. No accedemos a tus datos sin una razón operativa justificada y registrada.

En caso de una brecha confirmada, te notificaremos por email en menos de 72 horas detallando qué datos se vieron afectados. Los datos financieros están cifrados con AES-256, por lo que incluso si alguien accede al storage, solo obtendría datos ilegibles.

Ve a Configuración → Seguridad → Autenticación de dos factores. Escanea el código QR con tu app autenticadora (Google Authenticator, Authy o cualquier app TOTP), ingresa el código generado y confirma.

Realizamos análisis de vulnerabilidades mensuales de forma interna y contratamos pruebas de penetración externas al menos una vez al año.

Sí. En cualquier momento puedes exportar todos tus datos desde Configuración → Exportar datos en formato CSV y JSON. Después de cancelar tienes 90 días adicionales para hacer la exportación.

No. Los datos de tarjeta son procesados directamente por Transbank (certificado PCI-DSS Level 1), sin pasar nunca por los servidores de Costrol.

Los servidores principales están en AWS us-east-1 (Virginia, EE.UU.) con failover a us-east-2 (Ohio). Los backups se almacenan en una región adicional separada.

¿Tienes preguntas sobre seguridad específicas?

Nuestro equipo técnico responde consultas de seguridad en detalle. Sin respuestas genéricas.

seguridad@costrol.cl Ver estado del sistema →