Seguridad

PUY Group SAS es una plataforma B2B de conciliación financiera que procesa datos financieros sensibles de fondos de pensión, fiduciarias y banca corporativa en Colombia y Latinoamérica. La seguridad no es un añadido — es un requisito fundamental de nuestra arquitectura y operación.

Estamos actualmente en proceso de certificación SOC 2 Tipo I a través de Vanta, con fecha de auditoría prevista para junio de 2026. Esta página describe nuestras prácticas de seguridad actuales y los controles implementados para proteger los datos de nuestros clientes.

Toda la infraestructura de producción de PUY está alojada en Amazon Web Services (AWS), región us-east-1. PUY no opera centros de datos propios. La seguridad física y ambiental de los servidores de producción es responsabilidad de AWS, que mantiene certificaciones SOC 2 Tipo II, ISO 27001 y PCI DSS.

Todos los datos de clientes de PUY están protegidos mediante cifrado en reposo y en tránsito:

• En tránsito: TLS 1.3 en todas las conexiones entre clientes y la plataforma PUY. Los endpoints HTTP son redirigidos automáticamente a HTTPS. HSTS (HTTP Strict Transport Security) está habilitado con max-age de 1 año.
• En reposo: AES-256 en todas las bases de datos gestionadas (AWS RDS, MongoDB Atlas) y objetos en S3.
• Archivos en S3: Los buckets de producción tienen acceso público bloqueado. Todos los archivos se entregan mediante URLs prefirmadas con TTL de 15 minutos — ningún archivo es accesible permanentemente sin autenticación.
• Credenciales y secretos: Las claves de API, contraseñas y tokens se almacenan en variables de entorno cifradas y AWS Secrets Manager. Nunca se almacenan en repositorios de código.

PUY implementa control de acceso basado en roles (RBAC) con el principio de mínimo privilegio en todos sus sistemas:

• Autenticación de dos factores (2FA): Obligatoria para todos los usuarios de la plataforma sin excepción. Se utiliza TOTP (Google Authenticator o compatible). Las cuentas se bloquean tras 5 intentos fallidos.
• Roles de usuario: Administrador, Operador, Revisor y Auditor — cada uno con permisos estrictamente delimitados al mínimo necesario para su función.
• Sesiones: Los tokens de acceso JWT expiran a los 30 minutos de inactividad. Los tokens de refresco tienen TTL de 7 días y son de uso único.
• Acceso AWS: Las políticas IAM siguen el principio de mínimo privilegio. Los desarrolladores utilizan credenciales de corta duración (AWS IAM Identity Center). MFA obligatorio en todas las cuentas humanas de AWS.
• Revisiones de acceso: Revisión anual de todos los accesos a AWS, GitHub y Microsoft 365 a través de Vanta, con evidencia documentada.
• Offboarding: El acceso a todos los sistemas se revoca en un máximo de 5 días hábiles tras la terminación de un empleado o contratista.

La seguridad perimetral de PUY está implementada a través de la infraestructura de red de AWS:

• VPC (Virtual Private Cloud): Toda la infraestructura de producción opera dentro de una VPC de AWS, aislada de acceso externo no autorizado.
• AWS WAF: Reglas de firewall de aplicaciones web desplegadas en el Application Load Balancer (ALB) para protección contra patrones de ataque comunes (OWASP Top 10).
• Headers de seguridad HTTP: HSTS, Content-Security-Policy, X-Frame-Options (DENY), X-Content-Type-Options (nosniff) y Referrer-Policy aplicados en todas las respuestas de API mediante Helmet.js.
• Validación de inputs: Todos los endpoints de la API validan los cuerpos de solicitud mediante esquemas Zod en modo estricto — los campos desconocidos son rechazados con error 400.
• Gestión de errores: Las respuestas de error en producción devuelven mensajes genéricos. Los stack traces se registran únicamente en AWS CloudWatch, nunca se exponen al cliente.

PUY integra seguridad en cada etapa del ciclo de vida de desarrollo de software:

• Revisión de código: Todos los cambios de código se envían como pull requests en GitHub. Se requiere al menos una aprobación de revisión por pares antes de fusionar con la rama principal.
• CI/CD seguro: GitHub Actions ejecuta automáticamente npm audit en cada build. Las builds con vulnerabilidades críticas o altas fallan y bloquean el despliegue.
• Snyk (en proceso): Integración de Snyk para análisis de composición de software (SCA), análisis estático (SAST) y escaneo de imágenes de contenedores — en implementación.
• Entornos separados: Los entornos de desarrollo y staging están lógicamente separados de producción. Los datos de clientes reales no se usan en entornos de no producción.
• Secretos en código: Las claves de API y tokens nunca se almacenan en código fuente. Las variables de entorno se gestionan mediante secretos de GitHub Actions y AWS Secrets Manager.
• Pruebas de penetración: Prueba de penetración externa planificada con Workstreet para Q3 2026 (previa al cierre de auditoría SOC 2 Tipo I).

PUY mantiene monitoreo continuo de su infraestructura y controles de seguridad:

• AWS GuardDuty: Sistema de detección de intrusiones (IDS) gestionado que monitorea continuamente la infraestructura AWS en busca de amenazas y comportamientos anómalos. Activo en us-east-1 con protección S3 habilitada.
• AWS CloudTrail: Registro completo de toda la actividad de la API de AWS. Los logs se retienen para auditoría forense. CloudTrail está habilitado en todas las regiones.
• AWS CloudWatch: Monitoreo de infraestructura, alertas y gestión centralizada de logs para todos los componentes de la plataforma.
• Vanta: Monitoreo automatizado de cumplimiento 24/7 — más de 100 checks sobre configuraciones de AWS, políticas IAM, acceso a S3, habilitación de MFA y más. Las alertas se escalan a Microsoft Teams.
• Escaneo de dependencias: npm audit en cada build de CI/CD. Dependabot habilitado en GitHub para actualizaciones automáticas de CVEs conocidos.

PUY mantiene un Plan de Respuesta a Incidentes documentado y realiza ejercicios periódicos de prueba:

• Plan documentado: El Plan de Respuesta a Incidentes cubre detección, contención, erradicación, recuperación y revisión post-incidente para los tipos de incidentes más probables en PUY.
• Ejercicios tabletop: PUY realiza ejercicios tabletop de respuesta a incidentes al menos anualmente. En 2026 se han completado dos ejercicios: sabotaje de datos (junio) y ataque de ransomware (mayo).
• Notificación de incidentes: Los incidentes de seguridad que afecten datos de clientes son notificados a los clientes afectados dentro de las 72 horas siguientes a la confirmación del impacto, conforme a las obligaciones contractuales y la Ley 1581 de 2012.
• Comandante de incidentes: El CEO (Alejandro Álvarez) tiene autoridad para activar formalmente el plan. El Lead Developer (Nicolás Gutiérrez) lidera la respuesta técnica.
• Pruebas de seguridad internas: El equipo de ingeniería realiza pruebas de seguridad aplicación trimestralmente, documentando hallazgos y remediaciones.

PUY implementa copias de seguridad automáticas de todos los datos de producción:

• PostgreSQL (AWS RDS): Backups automáticos habilitados con retención de 30 días. Restauración a punto en el tiempo (PITR) disponible para cualquier momento dentro de la ventana de retención.
• MongoDB Atlas: Backups automáticos continuos con retención de 30 días. Snapshots adicionales configurados en MongoDB Atlas.
• Almacenamiento S3: Los objetos de S3 están protegidos mediante versionado de objetos en buckets críticos.
• RPO/RTO objetivo: Objetivo de punto de recuperación (RPO) de menos de 24 horas. Objetivo de tiempo de recuperación (RTO) de menos de 12 horas para restauración completa de servicios críticos.
• Ubicación de backups: Todos los backups se almacenan en AWS us-east-1 con acceso restringido a personal de ingeniería clave mediante políticas IAM.

PUY revisa la postura de seguridad de sus proveedores críticos al menos anualmente:

PUY celebra acuerdos de procesamiento de datos (DPA) con sus proveedores cuando aplica, y revisa sus informes SOC 2 anualmente para confirmar la continuidad de los controles de seguridad.

PUY realiza revisiones de riesgos anuales, mantiene un registro de riesgos actualizado y usa Vanta para monitoreo continuo de cumplimiento en todos los controles SOC 2 aplicables.

La seguridad del personal es una prioridad en PUY desde el primer día de empleo:

• Verificación de antecedentes: Realizadas para todos los empleados como parte del proceso de contratación.
• Acuerdos de confidencialidad: Todos los empleados y contratistas firman un Acuerdo de Seguridad de la Información que cubre confidencialidad, uso aceptable y protección de datos antes de su primer día.
• Capacitación en seguridad: Capacitación anual obligatoria en concientización sobre seguridad para todos los empleados, incluyendo phishing, ingeniería social, codificación segura y privacidad de datos. Completada en febrero 2026.
• Dispositivos gestionados: Dispositivos de trabajo gestionados mediante Microsoft Intune, con políticas de control de medios extraíbles y cifrado de disco obligatorio.
• Offboarding: Checklist de terminación que incluye revocación de acceso a todos los sistemas en máximo 5 días hábiles.

Para reportar una vulnerabilidad de seguridad, solicitar una copia de nuestro informe SOC 2, o hacer preguntas sobre nuestras prácticas de seguridad, contáctenos: