Seguridad de la Informacion

Ultima actualizacion: 11 de abril de 2026

1. Compromiso de seguridad

En BAKU, la proteccion de la informacion de nuestros clientes es una prioridad. Implementamos medidas tecnicas y organizacionales para resguardar la confidencialidad, integridad y disponibilidad de los datos que gestionamos.

2. Cifrado y transmision de datos

• Todas las comunicaciones se realizan sobre HTTPS/TLS con certificados vigentes.
• Las contrasenas se almacenan como hashes SHA-256 con salt aleatorio unico por usuario. Nunca almacenamos contrasenas en texto plano.
• Los tokens de sesion se generan con crypto.getRandomValues (32 bytes de entropia).
• Los datos de pago son procesados exclusivamente por MercadoPago. BAKU no almacena ni tiene acceso a datos de tarjetas de credito.

3. Autenticacion y control de acceso

• Politica de contrasenas robusta: minimo 8 caracteres, mayuscula, numero y caracter especial.
• Proteccion contra fuerza bruta: bloqueo temporal tras 5 intentos fallidos de inicio de sesion.
• Sesiones con expiracion automatica: 7 dias maximo, 30 minutos de inactividad.
• Sistema de clave de recuperacion con hash independiente para restablecer acceso.

4. Cabeceras y proteccion del navegador

• Content-Security-Policy para mitigar ataques XSS.
• Strict-Transport-Security (HSTS) con max-age de 1 ano.
• X-Frame-Options: DENY para prevenir clickjacking.
• X-Content-Type-Options: nosniff contra MIME-sniffing.
• Referrer-Policy: strict-origin-when-cross-origin para limitar fuga de URLs.
• Permissions-Policy restrictiva: sin acceso a camara, microfono, geolocalizacion ni pago.

5. Proteccion de APIs

• Validacion de precios en servidor: el cliente solo envia tipo de plan y cantidad, nunca el precio.
• CORS restringido unicamente a dominios autorizados de agenciabaku.com.
• Verificacion HMAC-SHA256 de webhooks de MercadoPago para garantizar autenticidad de notificaciones de pago.
• Sanitizacion y validacion de todos los inputs en endpoints de API.

6. Cookies y almacenamiento local

Utilizamos unicamente cookies esenciales para el funcionamiento del sitio. No empleamos cookies de rastreo, publicidad ni de terceros. Los datos de sesion se almacenan en localStorage del navegador y no se transmiten a servidores externos.

7. Respuesta ante incidentes

En caso de detectar una brecha de seguridad que comprometa datos personales:

• Notificaremos a los usuarios afectados dentro de 72 horas habiles.
• Comunicaremos la naturaleza de la brecha, los datos involucrados y las medidas correctivas adoptadas.
• Registraremos el incidente internamente con fecha, alcance y acciones tomadas.
• Si corresponde, notificaremos a las autoridades competentes conforme a la legislacion vigente.

8. Divulgacion responsable

Si descubres una vulnerabilidad de seguridad en nuestra plataforma, te pedimos que nos la reportes de forma responsable:

• Contacto: seguridad@agenciabaku.com
• No explotes la vulnerabilidad mas alla de lo necesario para demostrarla.
• Danos un plazo razonable para corregir el problema antes de divulgarlo publicamente.
• Archivo de seguridad: /.well-known/security.txt

9. Infraestructura

• Hosting: Vercel, con edge network global, certificados TLS automaticos y proteccion DDoS integrada.
• Pagos: MercadoPago, plataforma PCI-DSS Level 1 certificada.
• Codigo: Repositorio privado con control de acceso y revisiones de codigo.

10. Actualizaciones

Revisamos y actualizamos esta politica de seguridad periodicamente. Los cambios sustanciales seran comunicados a traves de nuestra plataforma. La fecha de ultima actualizacion se indica al inicio de este documento.