GraceOS Logo
Seguridad

Política de Seguridad

Las medidas técnicas, organizativas y administrativas que protegen los datos de tu iglesia dentro de GraceOS.

Última actualización: 30 de junio de 2026

1. Introducción

Esta Política de Seguridad describe las medidas técnicas, organizativas y administrativas que GraceOS (la "Plataforma") implementa para proteger los datos de las Organizaciones (iglesias, distritos y congregaciones afiliadas) y de sus Usuarios y Titulares de Datos dentro de nuestro Servicio de gestión multi-iglesia. Esta Política complementa nuestra Política de Privacidad y aplica a toda la infraestructura, aplicaciones y procesos involucrados en la prestación del Servicio.

2. Alcance

Aplica a:

  • La infraestructura en la nube que aloja la aplicación y las bases de datos.
  • La aplicación web y las interfaces de programación (API) del Servicio.
  • El almacenamiento de archivos y documentos.
  • Los procesos de autenticación, autorización y gestión de cuentas de Usuarios.
  • Los proveedores externos que procesan datos en nuestro nombre.

3. Control de Acceso y Autenticación

Autenticación basada en tokens

Acceso a la API mediante tokens (Laravel Sanctum), emitidos, revocados y expirados de forma individual por dispositivo o sesión.

Control de acceso basado en roles (RBAC)

Permisos granulares por rol dentro de cada Organización (administrador, pastor, personal administrativo, voluntario, etc.).

Bloqueo de cuentas por intentos fallidos

Bloqueo temporal tras superar un número configurable de intentos fallidos (por defecto, 5), para mitigar ataques de fuerza bruta.

Política de contraseñas

Almacenamiento mediante hash unidireccional, nunca en texto plano; vencimiento configurable (por defecto, 90 días) con registro de la fecha del último cambio.

Tiempo de inactividad de sesión

Expiración configurable por inactividad (por defecto, 30 minutos).

Claves de API para integraciones públicas

Requieren clave de API válida y están sujetas a límites de tasa de solicitudes (rate limiting) contra abuso y denegación de servicio.

4. Aislamiento de Datos Multi-Iglesia (Multi-Tenant)

Cada Organización opera en un espacio de datos lógicamente aislado. Los Usuarios solo acceden a las Organizaciones a las que han sido vinculados y, dentro de ellas, a lo permitido por su rol. La visibilidad jerárquica entre iglesias (ej. coordinadores de distrito) se habilita de forma expresa, evitando accesos cruzados no autorizados.

5. Cifrado y Protección de Datos

Cifrado en tránsito

Comunicación cliente-servidor mediante HTTPS/TLS.

Cifrado de contraseñas

Almacenadas como hash criptográfico estándar de la industria.

Almacenamiento seguro de archivos

Documentos e imágenes en AWS S3, con permisos de visibilidad configurables por carpeta/archivo.

Separación de datos sensibles

La información financiera y tributaria se procesa solo a través de módulos y proveedores autorizados (proveedor de facturación electrónica).

6. Registro de Auditoría y Monitoreo

Se mantiene un registro de auditoría detallado (usuario, Organización afectada, acción, entidad, metadatos, IP, agente de usuario, éxito/fallo) que permite trazabilidad de cambios, detección de actividad anómala e investigación de incidentes. Esta función es configurable por cada Organización.

7. Seguridad de la Infraestructura

Infraestructura en la nube

Alojada sobre AWS, con sus propios estándares de seguridad física y disponibilidad.

Tareas en segundo plano

Procesadas mediante colas supervisadas (Laravel Horizon), permitiendo monitoreo y detección oportuna de fallas.

Entornos separados

Desarrollo, staging y producción diferenciados.

Gestión de configuración

Credenciales y llaves sensibles mediante variables de entorno, fuera del código fuente.

8. Seguridad de Proveedores de Terceros

AWS (infraestructura) y Siigo (contabilidad/facturación electrónica) son seleccionados considerando sus prácticas de seguridad, y están contractualmente obligados a proteger los datos conforme a estándares adecuados.

9. Gestión de Vulnerabilidades y Actualizaciones

Actualización continua de dependencias y componentes del sistema, priorizando parches críticos de seguridad bajo nuestro proceso de control de cambios.

10. Respuesta a Incidentes

Proceso interno para identificar, contener, investigar y remediar incidentes de seguridad. Se notificará a las Organizaciones afectadas y, cuando la ley lo exija, a autoridades y Titulares de Datos, dentro de los plazos legales.

11. Copias de Seguridad y Continuidad

Copias de seguridad periódicas, sujetas a los mismos controles de acceso que los datos en producción.

12. Responsabilidades del Usuario y de la Organización

  • Usar contraseñas seguras.
  • Cerrar sesión en dispositivos compartidos.
  • Asignar permisos bajo el principio de mínimo privilegio.
  • Revisar periódicamente los accesos.
  • Reportar de inmediato cualquier actividad sospechosa.

13. Reporte de Vulnerabilidades

Si descubres una vulnerabilidad de seguridad, repórtala de forma responsable a seguridad@graceos.com, sin divulgación pública hasta su corrección.

14. Cambios a esta Política

Podemos actualizarla periódicamente, indicando la nueva fecha de "Última actualización".

15. Contáctenos

Si tiene preguntas sobre esta Política de Seguridad, puede contactarnos a través de:

  • seguridad@graceos.com
  • GraceOS