Sistemas seguros · Verificado continuamente

Tus datos financieros están seguros

La información financiera de tus obras es lo más sensible que nos confías. Aquí explicamos exactamente cómo la protegemos: sin tecnicismos innecesarios, con total transparencia.

Ver medidas técnicas Reportar vulnerabilidad →
Sistemas protegidos
Actualizado ahora
Cifrado
AES-256
Tránsito
TLS 1.3
Uptime (90d)
99.96%
Backup último
hace 3h
Datos cifrados en reposo
Autenticación 2FA disponible
Backups diarios verificados
Separación lógica por empresa
Logs de auditoría completos
🔒
0 brechas de datos
En toda la historia de Costrol
🔐
TLS 1.3
Cifrado en tránsito
🛡️
AES-256
Cifrado en reposo
🔑
bcrypt
Hash de contraseñas
☁️
AWS SOC 2
Infraestructura certificada
💳
PCI-DSS
Pagos (vía Transbank)
⚖️
Ley 19.628
Marco legal Chile
Pilares

Seguridad en cada capa

No es un solo candado. Son múltiples capas de protección que trabajan juntas para que tus datos de obras nunca queden expuestos.

🔐
Cifrado de extremo a extremo
Todos los datos se cifran con AES-256 en reposo y TLS 1.3 en tránsito. Ni siquiera nosotros podemos leer tus cartolas sin autenticación.
🏗️
Arquitectura multi-tenant segura
Cada empresa tiene sus datos lógicamente aislados. Es imposible que un usuario acceda a datos de otra cuenta, incluso ante un error de configuración.
👤
Control de acceso mínimo
Principio de mínimo privilegio: cada persona del equipo de Costrol solo tiene acceso a los sistemas y datos que su rol estrictamente requiere.
💾
Backups verificados
Copias de seguridad completas cada 6 horas e incrementales cada hora. Cada backup es verificado automáticamente por integridad antes de confirmarse.
👁️
Monitoreo continuo 24/7
Sistemas de detección de anomalías, alertas automáticas ante comportamientos sospechosos y logs de auditoría con retención de 12 meses.
🔄
Recuperación ante desastres
Failover automático a zona de backup ante fallos de hardware. RTO (Recovery Time Objective) menor a 15 minutos para todos los planes.
Cifrado

Tus cartolas viajan y descansan siempre cifradas

Desde que subes un archivo hasta que lo ves en pantalla, los datos pasan por múltiples capas de cifrado que garantizan que nadie sin autorización pueda leerlos.

📡
TLS 1.3 en tránsito
Toda comunicación entre tu navegador y nuestros servidores usa TLS 1.3, el protocolo de cifrado más moderno. HTTP estricto (HSTS) forzado en todos los dominios.
TLS_AES_256_GCM_SHA384
🗄️
AES-256 en reposo
Cada archivo y cada fila de base de datos se almacena cifrada con AES-256-GCM. Las claves de cifrado están protegidas en un HSM (Hardware Security Module) independiente.
AES-256-GCM
🔑
bcrypt para contraseñas
Las contraseñas nunca se almacenan en texto plano. Usamos bcrypt con cost factor 12, lo que hace inviables los ataques de fuerza bruta incluso con hardware moderno.
bcrypt (cost: 12)
🔄
Rotación de claves
Las claves criptográficas se rotan automáticamente cada 90 días. Los tokens de sesión tienen vida máxima de 24 horas y se invalidan al cerrar sesión.
Key rotation: 90 días
📁 Cartola que subes
BCI - 15/03/2025 - Proveedor Fierros SA - $4.200.000 CLP
🔒 Lo que se almacena (cifrado)
aes256gcm$d8f3a2b1c9e4f7a0b2c5d8e1f4a7b0c3d6e9f2a5b8c1d4e7f0a3b6c9d2e5f8a1b4c7d0e3f6a9b2c5d8e1f4a7b0c3d6e9f2a5b8$iv:7f3a9c2e$tag:b4d8f2a6
🌐 Lo que viaja por la red (TLS)
TLSv1.3 Record Layer: Application Data Protocol: [encrypted bytes: 0x17 0x03 0x03 0x01 0xbe ...]
AES-256-GCM TLS 1.3 HSTS HSM Keys
Infraestructura

Arquitectura diseñada para no caer nunca

Alta disponibilidad, redundancia geográfica y failover automático en menos de 60 segundos.

☁️
Nube AWS
Infraestructura en AWS us-east-1 con failover automático a us-east-2.
AWS cuenta con certificación ISO 27001, SOC 2 Type II y cumple estándares equivalentes a GDPR.
Aislamiento de red con VPC privada. Los servidores de base de datos no tienen IP pública.
Balanceo de carga automático con detección de instancias no saludables en <30 segundos.
💾
Backups y recuperación
Backup completo cada 6 horas, incremental cada hora.
Retención de backups: 90 días con punto de restauración granular a 1 hora.
Backups almacenados en bucket S3 cifrado en región separada.
Verificación automática de integridad tras cada backup. Alerta si falla.
🗄️
Base de datos
PostgreSQL en configuración primary-replica con replicación síncrona.
Failover automático a réplica en menos de 60 segundos ante fallo del primario.
Replication lag monitoreado en tiempo real. Alerta si supera 100ms.
Acceso a base de datos solo desde IPs privadas internas, nunca expuesta a internet.
🌍
CDN y entrega
CDN global con nodo en Santiago para mínima latencia en Chile (<10ms assets).
Protección DDoS automática con mitigación en capa de red y aplicación.
Rate limiting por IP y por API key para prevenir abuso y scraping.
Headers de seguridad: CSP, HSTS, X-Frame-Options, X-Content-Type configurados estrictamente.
Arquitectura simplificada de seguridad
Tu navegadorTLS 1.3
CDN / WAFDDoS + Rate limit
Load BalancerSSL termination
App ServersVPC privada
DB PrimaryAES-256 + replica
S3 BackupRegión separada
Control de acceso

Quién puede ver qué y cuándo

Acceso mínimo, siempre justificado, siempre registrado.

01
Principio de mínimo privilegio
Cada miembro del equipo de Costrol solo tiene acceso a los sistemas que su rol estrictamente requiere. Un ingeniero de frontend no puede ver la base de datos de producción.
02
Autenticación multifactor interna
Todo acceso a sistemas de producción requiere MFA obligatorio. Las claves SSH se rotan cada 90 días y los accesos de proveedores externos se revocan tras cada sesión.
03
Logs de auditoría completos
Cada acceso a datos sensibles queda registrado en logs de auditoría inmutables con retención de 12 meses. Quién accedió, desde qué IP, a qué datos y cuándo.
04
Aislamiento por tenant
Los datos de tu empresa están lógicamente separados de los de cualquier otra cuenta mediante Row-Level Security (RLS) en PostgreSQL. Un bug nunca puede cruzar tenants.
05
2FA para usuarios
Todos los usuarios pueden activar autenticación de dos factores (TOTP). Para cuentas Enterprise, el 2FA es obligatorio. Compatible con Google Authenticator, Authy y similares.
06
Acuerdos de confidencialidad
Todo el personal y los contratistas con cualquier nivel de acceso a sistemas firman acuerdos de confidencialidad antes de recibir credenciales de acceso.
💡

Costrol nunca accede a tus datos financieros sin tu conocimiento. Si alguna vez necesitamos revisar datos para resolver un problema de soporte, te lo comunicamos primero y quedará registrado en el log de auditoría de tu cuenta.

Respuesta a incidentes

Cuando algo falla, así actuamos

Tener un plan claro y probado marca la diferencia entre un incidente menor y una crisis. Este es el nuestro.

🚨
0 – 15 minutos
Detección y clasificación
Nuestro sistema de monitoreo detecta automáticamente anomalías. Un ingeniero de guardia evalúa la severidad (P1–P4) dentro de los primeros 15 minutos.
🔍
15 – 60 minutos
Contención y análisis
Se activa el equipo de respuesta. Primera acción: contener el impacto (aislar, redirigir tráfico). Simultáneamente, se investiga la causa raíz.
📢
Dentro de 2 horas
Comunicación inicial
Si el incidente afecta a usuarios, publicamos una actualización en costrol.cl/estado y notificamos a los afectados por email. Sin ocultar nada.
🔧
Resolución
Fix y restauración
Se implementa el fix, se verifica que el sistema está operativo y se monitorea de cerca por las siguientes 24 horas.
📋
Dentro de 72 horas
Post-mortem público
Para incidentes P1/P2, publicamos un post-mortem con causa raíz, línea de tiempo y acciones preventivas. La transparencia es parte de nuestra cultura.
Tiempos de respuesta garantizados
P1 (Servicio caído): Alerta en <5 min · Respuesta en <15 min
P2 (Degradación grave): Alerta en <15 min · Respuesta en <1 hora
P3 (Degradación menor): Alerta en <1 hora · Respuesta en <4 horas
P4 (Sin impacto usuario): Respuesta en <24 horas hábiles
🔔
Notificación de brechas de datos
Si detectamos una brecha de datos personales, notificamos a los afectados en máximo 72 horas.
El email de notificación incluirá: qué datos se vieron afectados, período de exposición y medidas inmediatas adoptadas.
Mantendremos un canal de comunicación abierto hasta la resolución completa del incidente.
Divulgación responsable
¿Encontraste una vulnerabilidad? Cuéntanosla
Si descubres una vulnerabilidad de seguridad en Costrol, te pedimos que nos la reportes de forma responsable antes de divulgarla públicamente. Nos comprometemos a responder en menos de 5 días hábiles y a reconocer públicamente tu contribución.
Reportar: seguridad@costrol.cl
🤝

Prometemos no tomar acciones legales contra investigadores de buena fe que sigan estas pautas. Si el reporte es válido y significativo, lo reconocemos públicamente en nuestra página de estado.

✅ Dentro del alcance
Autenticación: bypass de login, fuerza bruta, session fixation
Autorización: acceso a datos de otro tenant, escalada de privilegios
Datos: exfiltración, inyección SQL, XSS con impacto en datos
API: endpoints no autenticados, rate limit bypass
Infraestructura: puertos expuestos, configuraciones inseguras
✗ Fuera del alcance
Ataques de denegación de servicio (DoS/DDoS)
Ingeniería social a empleados de Costrol
Vulnerabilidades en sistemas de terceros (AWS, Transbank)
Reportes de spam o clickjacking sin impacto real
FAQ

Preguntas frecuentes sobre seguridad

Técnicamente es posible para personal autorizado con acceso a producción (un subconjunto muy pequeño del equipo), pero siempre requiere autenticación multifactor y queda registrado en logs de auditoría. No accedemos a tus datos sin que haya una razón operativa justificada y registrada. Si alguna vez lo hacemos para resolver un caso de soporte, te lo comunicamos.
En caso de una brecha confirmada que afecte datos personales, te notificaremos por email en menos de 72 horas detallando qué datos se vieron afectados y qué medidas tomamos. Los datos financieros están cifrados con AES-256, lo que significa que incluso si alguien accede al storage, solo obtendría datos ilegibles sin la clave de descifrado, que está protegida en un HSM independiente.
Ve a Configuración → Seguridad → Autenticación de dos factores. Escanea el código QR con tu app autenticadora (Google Authenticator, Authy, o cualquier app TOTP), ingresa el código generado y confirma. Te recomendamos también guardar los códigos de respaldo en un lugar seguro.
Realizamos análisis de vulnerabilidades mensuales de forma interna y contratamos pruebas de penetración externas al menos una vez al año. Adicionalmente, nuestro programa de divulgación responsable permite que investigadores externos reporten vulnerabilidades continuamente.
Sí. En cualquier momento puedes exportar todos tus datos desde Configuración → Exportar datos. Los datos se exportan en formato CSV y JSON. Después de cancelar tu cuenta tienes 90 días adicionales para hacer la exportación antes de que se eliminen permanentemente.
No. Los datos de tarjeta de crédito son procesados directamente por Transbank (certificado PCI-DSS Level 1), sin pasar nunca por los servidores de Costrol. Solo almacenamos un token de referencia que no contiene ningún dato sensible de la tarjeta.
Los servidores principales están en AWS us-east-1 (Virginia, EE.UU.) con failover a us-east-2 (Ohio, EE.UU.). Los backups se almacenan en una región adicional separada. Evaluamos migrar a una región AWS en Sudamérica (São Paulo) en el futuro para reducir latencia y cumplir con requisitos de soberanía de datos.

¿Tienes preguntas sobre seguridad específicas?

Nuestro equipo técnico responde consultas de seguridad en detalle. Sin respuestas genéricas.

seguridad@costrol.cl Ver estado del sistema →