STLUR

Seguridad y Confianza

La seguridad de sus datos es nuestra máxima prioridad

STLUR se construye con arquitectura security-first. Publicamos nuestras prácticas de seguridad, hoja de ruta de cumplimiento y lista de subprocesadores para que evalúe nuestra postura de confianza.

SOC 2

Tipo I en curso

TLS 1.2+

Todo el tráfico cifrado

AES-256

Cifrado en reposo

GDPR

DPA disponible

Postura de seguridad

Cómo protegemos sus datos

Cifrado en tránsito

Todo el tráfico se cifra con TLS 1.2+. HTTP se redirige automáticamente a HTTPS.

Cifrado en reposo

Todos los datos en reposo se cifran con AES-256. Copias de seguridad y almacenamiento de objetos usan claves gestionadas por el proveedor.

Control de acceso (RLS)

La seguridad a nivel de fila garantiza el aislamiento de tenants. Endpoints de admin protegidos con MFA.

Protección de credenciales

El escaneo autenticado Enterprise usa cifrado AES-GCM 256-bit del lado del cliente con arquitectura de clave de dos capas HKDF.

Entorno de escaneo aislado

Los escáneres se ejecutan en contenedores efímeros (AWS Lambda + Fargate) destruidos tras cada escaneo.

Monitoreo continuo

Salud de infraestructura, estado del pipeline y tasas de error monitoreados 24/7 con alertas automáticas.

Autoauditoría

Nos auditamos con STLUR — cada mes

STLUR ejecuta los mismos escaneos automatizados en su propia infraestructura de producción. Cada mes, nuestro dominio (stlur.app) pasa un escaneo completo Nuclei + ZAP.

Esto significa que STLUR es auditor y auditado — comemos nuestra propia comida para perros. Hallazgos críticos se remedian en 30 días.

Objetivo mensualstlur.app

Motores de escaneoNuclei + ZAP (DAST)

SLA crítico< 30 días

Formato de informeIgual que los informes de clientes

FrecuenciaMensual (automatizado)

Hoja de ruta de cumplimiento

SOC 2 Tipo I en curso — Tipo II objetivo Q4 2026

Los informes STLUR asisten con la recolección de evidencia SOC 2 TSC. Son evidencia complementaria — no una carta de opinión. Abajo está la hoja de ruta de certificación de STLUR.

Q1 2025Completado

Controles de seguridad internos establecidos

Q2 2025Completado

Autoauditoría mensual automatizada con STLUR

Q3 2025En curso

Auditoría SOC 2 Tipo I — en curso

Q4 2025

Informe SOC 2 Tipo I publicado

Q4 2026

Objetivo de certificación SOC 2 Tipo II

Respuesta a incidentes

Respuesta estructurada con SLAs definidos

Detección y triaje

La monitorización automatizada detecta anomalías. Un ingeniero de guardia clasifica la gravedad.

SLA: < 1 hora

Contención

Aislar sistemas afectados. Revocar credenciales comprometidas. Preservar evidencia forense.

SLA: < 4 horas

Notificación al cliente

Los clientes afectados son notificados con el alcance del impacto y acciones recomendadas.

SLA: < 72 horas

Remediación y post-mortem

Análisis de causa raíz, corrección permanente desplegada y revisión post-incidente publicada.

SLA: < 30 días

Retención y eliminación de datos

Períodos de retención claros con derecho a eliminación

Resultados de escaneo

13 meses

Comparación interanual y análisis de tendencias

Informes PDF

13 meses

Archivo de evidencia de auditoría; cifrado en R2 (AES-256)

Copias de seguridad

7 días PITR

Recuperación puntual para escenarios de desastre

Payloads efímeros

0 — destruidos inmediatamente

Sin persistencia; el contenedor muere tras la ejecución

Datos al eliminar cuenta

30 días

Período de gracia; luego eliminado permanentemente

Registros de auditoría

12 meses

Investigación de seguridad y requisitos de cumplimiento

Subprocesadores

Proveedores terceros que procesan datos

Minimizamos el número de subprocesadores y evaluamos cuidadosamente la postura de seguridad de cada proveedor. Esta lista se actualiza cuando se añade o elimina un subprocesador.

Proveedor	Propósito	Datos procesados	Ubicación
Supabase	Base de datos, autenticación y seguridad a nivel de fila	Datos de cuenta, metadatos de escaneo, filas protegidas por RLS	US (AWS us-east-1)
Cloudflare	CDN, edge compute, almacenamiento R2, DNS, protección DDoS	Informes PDF (cifrado AES-256), artefactos de escaneo, caché edge	Global
Vercel	Hosting frontend, rutas API serverless, ISR	Sin datos persistentes del cliente; procesamiento efímero	Global (Edge)
AWS (ap-northeast-1)	Ejecución de escáner en contenedores aislados (Lambda + Fargate)	Payloads de escaneo efímeros; destruidos tras la ejecución	Asia-Pacific (Tokyo)
Stripe	Procesamiento de pagos, facturación de suscripciones	Solo tokens de pago; STLUR nunca almacena números de tarjeta	US / EU
Anthropic (Claude)	Generación de informes IA (solo análisis de texto; sin PII del cliente)	Hallazgos de escaneo anonimizados → texto de informe estructurado	US
Resend	Entrega de correo transaccional (informes mensuales, alertas)	Direcciones de correo, metadatos de entrega	US

Divulgación de vulnerabilidades

Política de divulgación responsable (VDP)

Damos la bienvenida a investigadores de seguridad para reportar vulnerabilidades. Nos comprometemos a confirmar en 3 días hábiles, evaluar en 10 días y resolver en 90 días.

security@stlur.com

Alcance

Incluido

stlur.app, app.stlur.app, API endpoints

SLA de respuesta

Confirmación < 3 días, Evaluación < 10 días

SLA de corrección

Crítico < 30 días, Alto < 60 días, Otros < 90 días

Puerto seguro

Los investigadores de buena fe no enfrentarán acciones legales

Acuerdo de procesamiento

DPA compatible con GDPR / CCPA / APPI disponible

Proporcionamos un Acuerdo de Procesamiento de Datos (DPA) bajo solicitud. Nuestro DPA cubre GDPR, CCPA y APPI. Contacte a security@stlur.app. Respondemos en 2 días hábiles.

Solicitar un DPA

Última actualización: 2025-05-13

¿Preguntas sobre nuestras prácticas de seguridad? Contacte security@stlur.com

Política de privacidad Términos de servicio Inicio