§ 01 · POSTURA DE SEGURIDAD
ACCESO
- JWT httpOnly + refresh rotation
- 2FA TOTP disponible
- 7 roles con jerarquía estricta
- Magic-links scoped por show
AISLAMIENTO
- PostgreSQL Row-Level Security
- Multi-tenant a nivel base de datos
- Sin datos cruzados entre productoras
- Workspaces independientes
CIFRADO
- TLS 1.3 en tránsito
- AES-256 en reposo
- Encryption keys segregadas (financiera, TOTP)
- HMAC para integridad de datos sensibles
DEFENSA
- CSRF httpOnly + SameSite=Strict
- SSRF protection en webhooks
- Rate limiting en endpoints públicos
- Audit log inmutable
§ 02 · Infraestructura
Lo que usamos, sin caja negra.
Sin marketing-speak. Esto es lo que ejecuta Producit hoy.
| Componente | Tecnología | Notas |
|---|---|---|
| Base de datos | PostgreSQL 16 (con pgvector) | RLS habilitada en ~86 de 142 tablas |
| Cache | Redis 7 | Sesiones, rate limit |
| Storage | AWS S3 | Documentos, attachments, riders |
| Hosting | [DECISIÓN PENDIENTE: AWS región] | |
| Email transaccional | AWS SES | |
| Observability | Sentry · OpenTelemetry · PostHog | Con políticas de redacción de PII |
| Pagos | PayCore | |
| AV scanning | Heurístico local (cloud AV en roadmap) |
§ 03 · Gaps honestos
No vamos a fingir.
Hay cosas que aún no completamos. Las declaramos abiertamente porque preferimos la honestidad antes que un marketing engañoso.
[◉ EN DESARROLLO] Cloud AV scanning
Hoy escaneamos archivos subidos con heurísticos locales. Vamos a integrar AV cloud (probablemente ClamAV o similar) durante [DECISIÓN PENDIENTE: trimestre estimado].
[◉ EVALUANDO] SOC 2 Type II
[DECISIÓN PENDIENTE: estado real. Opciones: "no iniciado", "en evaluación de auditor", "en progreso con auditor X", "Type I esperado para Q[N] 2026"]. No prometemos fechas que no podemos cumplir.
[◉ PENDIENTE] Penetration test externo
Ningún pen test externo formal aún. Lo planificamos para [DECISIÓN PENDIENTE: trimestre]. Mientras tanto, mantenemos auto-auditoría regular del código.
[◉ EN ROADMAP] Bug bounty program
Sin programa formal todavía. Cuando lleguemos a [DECISIÓN PENDIENTE: hito de tamaño], vamos a abrirlo en [HackerOne / Intigriti / propio].
§ 04 · Disclosure responsable
Si encontraste algo, queremos saber.
Tomamos en serio cualquier reporte de vulnerabilidad. Si descubriste algo que comprometa la seguridad del Servicio, escríbenos a security@producit.cl.
Nuestro compromiso:
- Acuse de recibo en máximo 24 horas hábiles.
- Triage inicial en máximo 5 días hábiles.
- Comunicación constante hasta resolución.
- Reconocimiento público (si lo deseás) cuando se publique el fix.
Pedimos:
- No explotar la vulnerabilidad más allá de lo necesario para demostrarla.
- No acceder a datos de otros usuarios.
- No publicar el reporte hasta que tengamos un fix deployado.
[REVISAR ABOGADO: redacción exacta de safe harbor para investigadores de seguridad de buena fe.]
§ 05 · Enterprise readiness
¿Necesitás cuestionario de seguridad?
Si tu equipo de IT o procurement necesita responder un security questionnaire formal antes de aprobar Producit, contáctanos. Tenemos respuestas preparadas para los frameworks más comunes (CAIQ, SIG Lite, custom).
Solicitar cuestionario de seguridad →
Contacto
Vulnerabilidades: security@producit.cl
Compliance / Auditorías: security@producit.cl
SLA respuesta inicial: 24 hrs hábiles