Trust center

La seguridad es parte del producto, no un agregado.

Documentamos de forma abierta cómo protegemos los datos que nos confían las compañías de carga que usan OceanGateSoftware. Controles técnicos, subprocesadores, roadmap de cumplimiento y canal de divulgación responsable.

TLS 1.2+ en tránsito AES-256 en reposo Aislamiento RLS por tenant SOC 2 Type I en roadmap
🔐

Los datos son tuyos

Nunca los vendemos ni los usamos para entrenar modelos de terceros. Los exportas en XLSX cuando quieras y los eliminamos cuando lo pidas.

🏗️

Aislamiento por diseño

Cada tenant vive en filas y prefijos de almacenamiento separados. Row-Level Security en Postgres impone el aislamiento en la base, no solo en la app.

🎯

Menor privilegio

Roles granulares, credenciales rotadas, secretos en variables de entorno, permisos mínimos por servicio. Lo que no se necesita, no se concede.

01
Cifrado

Cifrado en tránsito y en reposo, por defecto.

Todo el tráfico entre navegadores, apps móviles y nuestras APIs viaja sobre TLS 1.2+, con HSTS preload habilitado en los dominios productivos. Los datos en reposo se cifran con AES-256 a nivel de disco y a nivel de almacenamiento de objetos.

  • TLS 1.2+ obligatorio, protocolos antiguos rechazados, HSTS con preload.
  • AES-256 at-rest para base de datos y storage de objetos.
  • Contraseñas en bcrypt con factor de costo elevado; nunca en texto plano ni en logs.
  • Tokens de sesión firmados como JWT con rotación y expiración corta; refresh tokens revocables.
  • Certificados gestionados por Cloudflare con renovación automática.
02
Multi-tenancy

Aislamiento multi-tenant en cuatro capas.

Una app multi-tenant solo es segura si el aislamiento es impuesto por el motor de datos, no por cada endpoint. Separamos a cada Cliente en cuatro capas complementarias:

  • Columna tenant_id obligatoria en toda tabla con datos de cliente.
  • Postgres Row-Level Security (RLS) activo en cada tabla, con políticas que filtran por el tenant_id del JWT. Si una consulta omite el filtro, la base lo aplica igual.
  • Prefijos de storage por tenant en buckets de objetos (tenant_<id>/...), con políticas de acceso que validan el prefijo contra el claim.
  • Claim tenant_id en el JWT, emitido por el servicio de autenticación y verificado en cada request; imposible de falsificar sin la clave privada.

Corremos tests automatizados en CI que intentan violar el aislamiento (un usuario del tenant A leyendo tenant B) y fallan el pipeline si alguno pasa.

03
Roles · RBAC

Roles granulares con el menor privilegio.

Dentro de cada tenant, cuatro roles cubren las operaciones típicas de una compañía de carga. Cada uno recibe el conjunto mínimo de permisos necesario.

RolPuedeNo puede
AdminTodo dentro del tenant: usuarios, sucursales, configuración, facturación.Acceder a otros tenants.
StaffOperar envíos, clientes, rutas, reportes.Gestionar facturación ni eliminar usuarios.
SucursalOperar envíos y clientes de su sucursal.Ver datos de otras sucursales ni editar configuración global.
ConductorVer su hoja de ruta, escanear guías, marcar entregas.Ver datos financieros, listas de clientes o reportes.

La autenticación multifactor (MFA) estará disponible como refuerzo opcional para Admin y Staff a partir del Q3 de 2026, y será obligatoria para Admin en planes Pro y Enterprise.

04
Proveedores

Subprocesadores auditados y documentados.

Trabajamos con proveedores de infraestructura reconocidos y con certificaciones independientes. Todos están cubiertos por contratos de tratamiento de datos (DPA).

ProveedorServicioCertificaciones
SupabaseBase de datos, autenticación, storageSOC 2 Type II
CloudflareCDN, WAF, DNS, anti-DDoSSOC 2 · ISO 27001
ResendEmail transaccionalSOC 2 Type II
TwilioSMS y WhatsApp BusinessSOC 2 · ISO 27001
StripeProcesamiento de pagosPCI DSS Level 1

La lista completa y actualizada vive en esta página; cualquier incorporación o sustitución se anuncia con 30 días de antelación a los Clientes antes de entrar en producción.

05
Respaldos

Respaldos y recuperación con RPO y RTO medibles.

Tratamos los respaldos como un producto: cifrados, probados y con objetivos explícitos. Durante un incidente, las horas cuentan.

RPO ≤ 15 minutosObjetivo de punto de recuperación: máxima pérdida aceptable de datos en caso de desastre.
RTO ≤ 4 horasObjetivo de tiempo de recuperación: máximo admisible para restablecer el Servicio tras un desastre total.
Point-in-time recovery (PITR) 7 díasRestauración a cualquier instante dentro de la última semana, útil frente a corrupción lógica o borrados accidentales.
Retención rotativa 35 díasSnapshots cifrados conservados en ventana rodante; expiración automática tras ese plazo.
Separación regionalRespaldos replicados a una región geográficamente distinta a la productiva, para resistir desastres a nivel de zona.
06
Observabilidad

Monitoreo continuo y trazabilidad.

No podemos responder a lo que no vemos. Monitoreamos salud del Servicio en tiempo real, y conservamos una bitácora auditable de las acciones sensibles.

  • Uptime y latencia 24/7 en endpoints críticos, con alertas automáticas al on-call.
  • Logs de aplicación y acceso retenidos por 90 días en almacenamiento inmutable.
  • Tabla audit_log por tenant: quién hizo qué, cuándo, sobre qué entidad, desde qué IP. Acceso a datos de facturación y cambios de rol quedan siempre registrados.
  • Alertas automáticas ante errores críticos, picos anómalos de latencia, intentos de login sospechosos y cambios en superficies de seguridad.
  • Página pública de status con histórico de incidentes y RCA.
07
Incidentes

Respuesta a incidentes con plazos claros.

Cuando ocurre un incidente, lo que importa es la velocidad y la honestidad. Nuestro plan formal de respuesta define roles, pasos y tiempos:

  • Detección. Alertas automáticas, reportes internos o reportes externos vía seguridad@oceangatesoftware.com.
  • Contención. Aislar sistemas afectados, revocar credenciales expuestas, evitar propagación.
  • Comunicación. Notificación a los Clientes impactados dentro de las 72 horas posteriores a la confirmación, indicando naturaleza, alcance estimado y acciones que deben tomar.
  • Remediación. Corrección de causa raíz, parches, rotación de secretos, restauración desde respaldos si aplica.
  • Post-mortem. Análisis de causa raíz y publicación del RCA al Cliente afectado, con plan de acciones preventivas.
08
SDLC

Prácticas de código seguro en cada commit.

La seguridad empieza en el teclado. Antes de que una línea llegue a producción, pasa por varias capas de revisión automática y humana.

Code review obligatorioTodo cambio requiere aprobación de al menos otro mantenedor antes de fusionar.
Dependabot y escaneo de dependenciasAlertas automáticas de vulnerabilidades en librerías; parches priorizados por severidad.
Lint y análisis estático en CIReglas automáticas bloquean patrones inseguros (SQL concatenado, secretos hardcodeados, uso de APIs prohibidas).
Secretos en variables de entornoNunca en el repositorio; provistos por el gestor de secretos del runtime, con acceso auditado.
Tests de RLS en CISuite dedicada que intenta acceder entre tenants; el pipeline falla si cualquier test de aislamiento pasa indebidamente.
Rotación periódica de credencialesClaves de servicio, API tokens y firmas JWT rotadas en cadencia fija y tras cualquier sospecha de exposición.
09
Cumplimiento

Marco regulatorio y roadmap transparente.

Nos comprometemos al cumplimiento de las regulaciones aplicables a nuestros Clientes y a crecer con certificaciones formales conforme escala la operación.

Ley 172-13 RD

Vigente

Ley de Protección de Datos de Carácter Personal de la República Dominicana. Implementada en nuestra política de privacidad y procesos.

CCPA / CPRA

Vigente

California Consumer Privacy Act y su reforma CPRA. Reconocemos y atendemos los derechos de residentes de California.

SOC 2 Type I

Roadmap 2026-Q4

Auditoría independiente sobre el diseño de nuestros controles de seguridad, disponibilidad y confidencialidad.

SOC 2 Type II

Roadmap 2027

Auditoría continua sobre la eficacia operativa de los controles durante un período mínimo de seis meses.

Divulgación responsable

¿Encontraste una vulnerabilidad?

Nos tomamos los reportes en serio. Si descubres un problema de seguridad en OceanGateSoftware, avísanos antes de divulgarlo públicamente. Actuamos de buena fe con quienes reportan responsablemente.

Reportar una vulnerabilidad → Ver alcance y reglas
Canal
PGP seguro
Llave pública disponible bajo solicitud
Primera respuesta
48 horas
Acuse automático + revisión humana
Triage
5 días
Clasificación de severidad y plan
Safe harbor
Sin acciones legales contra reportes de buena fe

Qué aceptamos

  • Vulnerabilidades en dominios *.oceangatesoftware.com y en las aplicaciones móviles oficiales.
  • Fallos de autenticación, autorización o aislamiento entre tenants.
  • Inyección, XSS, CSRF, SSRF, IDOR y bugs lógicos con impacto verificable.
  • Exposición de datos sensibles o de secretos de configuración.
  • Escalamiento de privilegios dentro o entre roles.
  • Vulnerabilidades de dependencia con explotación práctica en nuestro contexto.

Qué no aceptamos

  • Ataques de denegación de servicio (DoS/DDoS) o pruebas de carga agresivas.
  • Ingeniería social contra empleados, clientes o proveedores.
  • Acceso físico a oficinas o infraestructura.
  • Hallazgos de scanners automáticos sin demostración de impacto.
  • Best-practices sin vulnerabilidad concreta (cabeceras ausentes, falta de rate-limit cosmético).
  • Vulnerabilidades en software de terceros fuera de nuestro control sin vector de explotación en OGS.
Sin programa monetario todavía. Aún no ofrecemos recompensas en efectivo, pero sí reconocimiento público en nuestro Hall of Fame de investigadores que contribuyan a mejorar la seguridad del producto, y merchandise oficial para hallazgos de impacto alto. Escríbenos a seguridad@oceangatesoftware.com.
Chatear por WhatsApp