Las medidas técnicas, organizativas y administrativas que protegen los datos de tu iglesia dentro de GraceOS.
Última actualización: 30 de junio de 2026
Esta Política de Seguridad describe las medidas técnicas, organizativas y administrativas que GraceOS (la "Plataforma") implementa para proteger los datos de las Organizaciones (iglesias, distritos y congregaciones afiliadas) y de sus Usuarios y Titulares de Datos dentro de nuestro Servicio de gestión multi-iglesia. Esta Política complementa nuestra Política de Privacidad y aplica a toda la infraestructura, aplicaciones y procesos involucrados en la prestación del Servicio.
Aplica a:
Acceso a la API mediante tokens (Laravel Sanctum), emitidos, revocados y expirados de forma individual por dispositivo o sesión.
Permisos granulares por rol dentro de cada Organización (administrador, pastor, personal administrativo, voluntario, etc.).
Bloqueo temporal tras superar un número configurable de intentos fallidos (por defecto, 5), para mitigar ataques de fuerza bruta.
Almacenamiento mediante hash unidireccional, nunca en texto plano; vencimiento configurable (por defecto, 90 días) con registro de la fecha del último cambio.
Expiración configurable por inactividad (por defecto, 30 minutos).
Requieren clave de API válida y están sujetas a límites de tasa de solicitudes (rate limiting) contra abuso y denegación de servicio.
Cada Organización opera en un espacio de datos lógicamente aislado. Los Usuarios solo acceden a las Organizaciones a las que han sido vinculados y, dentro de ellas, a lo permitido por su rol. La visibilidad jerárquica entre iglesias (ej. coordinadores de distrito) se habilita de forma expresa, evitando accesos cruzados no autorizados.
Comunicación cliente-servidor mediante HTTPS/TLS.
Almacenadas como hash criptográfico estándar de la industria.
Documentos e imágenes en AWS S3, con permisos de visibilidad configurables por carpeta/archivo.
La información financiera y tributaria se procesa solo a través de módulos y proveedores autorizados (proveedor de facturación electrónica).
Se mantiene un registro de auditoría detallado (usuario, Organización afectada, acción, entidad, metadatos, IP, agente de usuario, éxito/fallo) que permite trazabilidad de cambios, detección de actividad anómala e investigación de incidentes. Esta función es configurable por cada Organización.
Alojada sobre AWS, con sus propios estándares de seguridad física y disponibilidad.
Procesadas mediante colas supervisadas (Laravel Horizon), permitiendo monitoreo y detección oportuna de fallas.
Desarrollo, staging y producción diferenciados.
Credenciales y llaves sensibles mediante variables de entorno, fuera del código fuente.
AWS (infraestructura) y Siigo (contabilidad/facturación electrónica) son seleccionados considerando sus prácticas de seguridad, y están contractualmente obligados a proteger los datos conforme a estándares adecuados.
Actualización continua de dependencias y componentes del sistema, priorizando parches críticos de seguridad bajo nuestro proceso de control de cambios.
Proceso interno para identificar, contener, investigar y remediar incidentes de seguridad. Se notificará a las Organizaciones afectadas y, cuando la ley lo exija, a autoridades y Titulares de Datos, dentro de los plazos legales.
Copias de seguridad periódicas, sujetas a los mismos controles de acceso que los datos en producción.
Si descubres una vulnerabilidad de seguridad, repórtala de forma responsable a seguridad@graceos.com, sin divulgación pública hasta su corrección.
Podemos actualizarla periódicamente, indicando la nueva fecha de "Última actualización".
Si tiene preguntas sobre esta Política de Seguridad, puede contactarnos a través de: