Seguridad

Nuestra postura de seguridad

En bknode, la seguridad es una decisión arquitectónica tomada desde el primer día, no una capa añadida a posteriori. Dado que gestionamos datos críticos del negocio de nuestros clientes —contabilidad, inventario, ventas, compras— nos exigimos los mismos estándares que exigiríamos a un proveedor de servicios financieros.

1. Infraestructura y disponibilidad

El servicio se aloja en centros de datos europeos certificados ISO/IEC 27001, con redundancia geográfica activa entre al menos dos regiones dentro del Espacio Económico Europeo. No almacenamos ni procesamos datos fuera del EEE salvo acuerdo expreso y documentado con el cliente.

Nuestro objetivo de disponibilidad es del 99,5 % mensual para planes Starter y Business, y del 99,95 % para Enterprise, con monitorización continua 24/7 y alertas automatizadas de degradación.

2. Cifrado

• En tránsito: TLS 1.2 como mínimo en todas las comunicaciones; TLS 1.3 por defecto. Los certificados se renuevan automáticamente y se validan con HSTS.
• En reposo: cifrado AES-256 para bases de datos, backups y almacenamiento de archivos adjuntos.
• Contraseñas: almacenadas con bcrypt y salt aleatorio por usuario. Nunca en texto plano ni con algoritmos reversibles.
• Claves de API: se muestran una única vez en el momento de la creación y se almacenan solo como hash SHA-256.

3. Control de acceso

• Autenticación multifactor (MFA/2FA) disponible para todos los usuarios y obligatoria para administradores de cuentas Enterprise.
• Modelo de permisos granulares por módulo, rol y campo, con principio de mínimo privilegio aplicado a toda la arquitectura interna.
• Sesiones con tiempo de expiración configurable y revocación inmediata desde el panel de administración.
• Registro de auditoría inmutable de todos los accesos y cambios, exportable en formato CSV o vía webhook.

4. Copias de seguridad

Realizamos backups automáticos cifrados diariamente, con retención mínima de 30 días. Los clientes Enterprise disponen de restauración a punto en el tiempo (PITR) con granularidad de 15 minutos. Los backups se almacenan en una región geográfica distinta a la de producción.

5. Desarrollo seguro

Seguimos las prácticas OWASP Top 10 en todo el ciclo de desarrollo: revisión de código con enfoque de seguridad, análisis estático automatizado (SAST) en cada pull request y escaneo de dependencias con alertas de CVE.

Realizamos pruebas de penetración anuales llevadas a cabo por terceros independientes. Los informes resumidos están disponibles bajo NDA para clientes Enterprise.

6. Gestión de incidentes

Contamos con un equipo de respuesta a incidentes disponible 24/7. En caso de brecha de seguridad con impacto en datos personales, cumplimos con el artículo 33 del RGPD: notificación a la AEPD en un plazo máximo de 72 horas y comunicación a los clientes afectados sin dilación indebida.

Mantenemos un registro interno de todos los incidentes, incluidos los de menor gravedad, con análisis de causa raíz y medidas correctoras documentadas.

7. Divulgación responsable (Bug Bounty)

Si descubres una vulnerabilidad de seguridad en bknode, te pedimos que nos la comuniques de forma responsable antes de hacerla pública. Escríbenos a seguridad@bknode.com con el detalle de la vulnerabilidad.

Nos comprometemos a: acusar recibo en menos de 48 horas, investigar y responder con nuestras conclusiones en un plazo de 10 días hábiles, y no emprender acciones legales contra investigadores que actúen de buena fe y respeten el alcance definido.