Política de Seguridad
Última actualización: 30 de abril de 2026
INTEGRACIONES TECNOLÓGICAS LANDAII SA DE CV · Versión: 1.0
1. Propósito y Alcance
La presente Política de Seguridad describe los principios, controles y procesos que Landaii aplica para proteger la confidencialidad, integridad y disponibilidad de la infraestructura, las aplicaciones desarrolladas para sus clientes y los datos procesados en su nombre.
Este documento es la versión pública dirigida a clientes, prospectos y equipos de compliance. Existe documentación operativa interna más detallada disponible bajo NDA para procesos de due diligence avanzados.
La política aplica a:
- Toda la infraestructura productiva operada por Landaii (Supabase, Vercel, Cloudflare, almacenamiento R2/S3, modelos de IA).
- Las aplicaciones desarrolladas y operadas para clientes bajo planes mensuales o productos como Ciclo Activo.
- Las herramientas internas, repositorios de código y comunicaciones del equipo de Landaii.
2. Principios Rectores
- Defensa en profundidad: múltiples capas de control reducen el impacto de una falla individual.
- Mínimo privilegio: cada persona, servicio y proceso solo tiene los permisos estrictamente necesarios.
- Aislamiento entre clientes: los datos de cada Cliente están separados lógicamente mediante Row-Level Security y proyectos dedicados.
- Cifrado por defecto: toda comunicación y dato en reposo se cifra usando estándares actualizados de la industria.
- Auditoría y trazabilidad: las operaciones críticas dejan registro inmutable.
- Mejora continua: los controles se revisan ante incidentes, cambios de stack o hallazgos de auditoría.
3. Infraestructura y Stack
Landaii opera una arquitectura cloud-native sustentada en proveedores con certificaciones de seguridad reconocidas internacionalmente.
| Capa | Proveedor | Función | Certificaciones |
|---|---|---|---|
| Base de datos y autenticación | Supabase | Postgres administrado, Auth, Storage, Edge Functions | SOC 2 Type II, HIPAA, ISO 27001 |
| Hosting de aplicaciones | Vercel | Despliegue de apps Next.js y sitios | SOC 2 Type II, ISO 27001 |
| CDN y WAF | Cloudflare | Mitigación DDoS, WAF, rate limiting, DNS | SOC 2 Type II, ISO 27001, PCI DSS |
| Almacenamiento de objetos | Cloudflare R2 / Supabase Storage | Archivos, imágenes, documentos | SOC 2, ISO 27001 |
| Modelos de IA | Anthropic / OpenAI | Inferencia para agentes Ciclo Activo | SOC 2 Type II |
| Procesamiento de pagos | Stripe / PayPal | Transacciones y suscripciones | PCI DSS Level 1 |
| Correo transaccional | Resend | Envío de emails de servicio | SOC 2 |
| Monitoreo de errores | Sentry | Logging de errores y trazabilidad | SOC 2 Type II, ISO 27001 |
4. Controles Técnicos
4.1 Cifrado
- En tránsito: TLS 1.2 o superior obligatorio en todas las comunicaciones públicas, con HSTS habilitado.
- En reposo: AES-256 para bases de datos, backups y almacenamiento de objetos.
- Secretos: credenciales y claves gestionadas a través de gestores de secretos cifrados; no se almacenan en código fuente.
4.2 Identidad y Acceso
- Autenticación con tokens de sesión rotables, JWT firmados y opción de SSO en planes que lo incluyan.
- Control granular por roles (RBAC) configurable por aplicación.
- Aislamiento entre Clientes mediante Row-Level Security (RLS) en base de datos.
- MFA obligatorio para todo el equipo interno de Landaii en herramientas críticas.
- Procesos formales de alta y baja de accesos auditables.
4.3 Protección de la Aplicación
- WAF y mitigación DDoS a través de Cloudflare en el perímetro.
- Rate limiting por IP, por usuario y por endpoint sensible.
- Validación de entradas contra inyección SQL, XSS y CSRF.
- Headers de seguridad estándar (Content-Security-Policy, X-Frame-Options, Referrer-Policy).
- Actualización periódica de dependencias y revisión automatizada de vulnerabilidades.
4.4 Backups y Recuperación
- Backups automáticos diarios de bases de datos productivas.
- Pruebas periódicas de restauración para validar que los backups son funcionales.
- Versionado de objetos en almacenamiento para recuperar archivos eliminados.
- Procesos de recuperación documentados con objetivos de tiempo (RTO) y de punto (RPO) definidos por plan.
4.5 Monitoreo y Detección
- Monitoreo continuo de uptime, errores y métricas de rendimiento con alertas a guardia técnica.
- Logging centralizado y trazabilidad de eventos relevantes.
- Detección de patrones anómalos: picos de tráfico, intentos de inyección, uso adversarial de agentes IA.
5. Controles Administrativos
- Acuerdos de confidencialidad: todos los colaboradores y partners firman NDA al inicio de la relación con Landaii.
- Capacitación de seguridad: el equipo recibe orientación sobre buenas prácticas, gestión de credenciales y phishing.
- Política de uso de herramientas de IA: reglas internas que restringen qué información puede compartirse con asistentes externos.
- Segregación de entornos: separación clara entre desarrollo, staging y producción.
- Control de cambios: los despliegues a producción siguen procesos de revisión por pares.
- Gestión de proveedores: alta y baja de subencargados gestionada centralmente con revisión periódica.
6. Gestión de Incidentes
6.1 Ciclo de Respuesta
- Detección: alerta automatizada o reporte manual.
- Triaje: clasificación por severidad y activación del equipo.
- Contención: aislamiento del componente afectado y revocación de credenciales.
- Erradicación: eliminación de la causa raíz, parches y ajustes de configuración.
- Recuperación: restauración de servicios desde backups verificados.
- Post-mortem: análisis sin culpas, identificación de mejoras y comunicación con clientes afectados.
6.2 Notificación a Clientes
Cuando un incidente afecte de manera significativa los datos personales o la disponibilidad del servicio, Landaii notificará por correo electrónico al contacto registrado dentro de un plazo máximo de 72 horas desde la confirmación del incidente, en línea con el GDPR y la mejor práctica internacional.
7. Divulgación Responsable de Vulnerabilidades
Si descubres una posible vulnerabilidad en nuestra infraestructura, sitio o aplicaciones, te invitamos a reportarla bajo el principio de divulgación coordinada:
- Canal: seguridad@landaii.com
- Información solicitada: descripción de la vulnerabilidad, pasos para reproducirla, impacto estimado y datos de contacto.
- Compromiso de Landaii: acuse de recibo en un plazo razonable y agradecimiento público al investigador.
Mientras se respeten los principios de divulgación responsable (no extraer datos, no divulgar públicamente antes de 90 días), Landaii no emprenderá acciones legales por la investigación realizada de buena fe.
8. Continuidad de Negocio
- Multi-región y multi-zona en los proveedores principales.
- Backups con copias en geografías separadas según el plan.
- Procedimientos de recuperación documentados y ejercitados periódicamente.
- Compatibilidad con varios proveedores de modelos de IA para reducir riesgo de discontinuación.
9. Responsabilidad Compartida
9.1 Responsabilidades de Landaii
- Operar y mantener segura la infraestructura, el código y los proveedores.
- Aplicar parches de seguridad y actualizaciones críticas en plazos razonables.
- Detectar, contener y comunicar incidentes conforme a esta política.
9.2 Responsabilidades del Cliente
- Custodiar las credenciales de su cuenta y las de sus usuarios autorizados; activar MFA cuando esté disponible.
- Asignar y revisar periódicamente los permisos por rol dentro de la aplicación.
- Notificar a Landaii con prontitud cualquier sospecha de uso indebido o credencial comprometida.
- Mantener al día sus propias políticas de seguridad y privacidad hacia sus usuarios finales.
Contacto
Reportes de vulnerabilidades: seguridad@landaii.com
Reportes de abuso: abuso@landaii.com
Cuestionarios de due diligence: seguridad@landaii.com
Privacidad: privacidad@landaii.com
Dirección: Avenida Antea 1088, Piso 3, Jurica, Querétaro, México, C.P. 76100