Skip to content
SOTODEV

seguridad

Postura de seguridad

Las rutas de administración se interceptan en el edge antes de que corra cualquier código de aplicación.

s.01flujo

Flujo de una solicitud

  1. Navegador
  2. Vercel Edge CDN (SOC 2 Type II)
  3. Edge Auth (HTTP Basic)
  4. Aplicación React
  5. Rutas de API
  6. Supabase (SOC 2 Type II, RLS)

s.02postura

Controles

Autenticación y acceso

  • Autenticación en el edge para superficies de administración vía HTTP Basic Auth en el edge de Vercel.
  • Las superficies de administración se protegen antes de servir cualquier contenido.
  • Principio de menor privilegio en las cuentas de servicio.

Protección de datos

  • Minimización de datos — solo se recopilan los datos requeridos del encargo.
  • Los datos del cliente nunca salen del proyecto Supabase acotado a ese encargo.
  • Políticas de seguridad a nivel de fila (RLS) aplicadas.
  • Transporte vía TLS 1.2+ y HTTPS en todo.

Secretos y dependencias

  • Las claves de API, credenciales y secretos de entorno nunca se commitean.
  • Secretos provisionados vía Vercel; rotados en eventos de cambio de acceso.
  • Dependencias fijadas a versiones conocidas con auditorías regulares de Dependabot.

Operaciones

  • Cada encargo se entrega con runbooks, procedimientos de recuperación y custodia de credenciales.
  • Toda comunicación con el cliente sobre canales cifrados.
  • Ejecución de NDA para encargos con datos propietarios.

s.03lo que no tenemos

Lo que no tenemos

Actualmente no contamos con SOC 2 Type II, ISO 27001 ni otras certificaciones formales. Operamos como una práctica de un solo operador con un plan de continuidad documentado para mitigar el riesgo operativo.

Reportar una vulnerabilidad

Escriba directo a rs@sotoprojdev.com. Compromiso de acuse en 24 horas.

rs@sotoprojdev.com