← Volver a Hivek

Seguridad

Ultima actualizacion: 10 de junio de 2026

Nuestro Compromiso

En Hivek, la seguridad es fundamental en todo lo que construimos. Como empresa de infraestructura de IA, entendemos que nuestros clientes nos confian datos comerciales sensibles, modelos de IA y flujos de trabajo criticos. Nos tomamos esa responsabilidad en serio.

Seguridad de Infraestructura

Datos en Transito

Todos los datos transmitidos entre los clientes y nuestros sistemas estan cifrados mediante TLS 1.2 o superior. Nuestros endpoints de API exigen HTTPS de forma exclusiva — las conexiones HTTP en texto plano se redirigen automaticamente.

Datos en Reposo

Los datos sensibles almacenados en nuestras bases de datos y sistemas de archivos estan cifrados en reposo. Las credenciales de base de datos, claves de API y secretos se gestionan mediante variables de entorno y nunca se almacenan en el codigo fuente.

Infraestructura de Servidores

  • Infraestructura de servidores dedicada con acceso restringido.
  • Reglas de firewall configuradas para permitir unicamente el trafico necesario.
  • Acceso SSH restringido por autenticacion basada en llaves — la autenticacion por contrasena esta deshabilitada.
  • Actualizaciones de seguridad y gestion de parches periodicas.
  • Aislamiento de procesos: los servicios se ejecutan bajo usuarios de sistema dedicados con privilegios minimos.

Seguridad de Aplicaciones

Autenticacion y Autorizacion

  • Autenticacion basada en JWT con expiracion de tokens configurable.
  • Control de acceso basado en roles (RBAC) para interfaces administrativas.
  • Hash de contrasenas mediante algoritmos estandar de la industria (bcrypt).
  • Flujos seguros de restablecimiento de contrasena con tokens de uso unico y tiempo limitado.

Validacion de Entradas y Proteccion

  • Validacion y sanitizacion de entradas del lado del servidor en todos los endpoints de API.
  • Proteccion contra vulnerabilidades web comunes: SQL injection, XSS, CSRF.
  • Limitacion de solicitudes en endpoints de autenticacion para prevenir ataques de fuerza bruta.
  • Politicas de CORS configuradas para permitir unicamente origenes autorizados.

Seguridad de IA y Agentes

Construir infraestructura de IA introduce consideraciones de seguridad unicas. Nuestro enfoque incluye:

  • Defensa contra inyeccion de prompts: filtrado de entradas y validacion de salidas en todas las interacciones con agentes para prevenir la manipulacion adversaria de prompts.
  • Aislamiento de datos: los datos de cada cliente estan separados logicamente. Los agentes operan dentro de los limites de su contexto asignado y no pueden acceder a datos de otros clientes.
  • Humano en el ciclo: las acciones criticas de los agentes requieren aprobacion humana antes de su ejecucion, previniendo consecuencias no deseadas.
  • Registro de auditoria: todas las acciones, decisiones y accesos a datos de los agentes se registran para transparencia y revision forense.
  • Controles de acceso a modelos: las claves de API de proveedores de LLM tienen alcance limitado y se rotan regularmente. No almacenamos credenciales de proveedores de modelos junto con los datos de la aplicacion.

Practicas de Desarrollo

  • Revision de codigo requerida para todos los cambios antes del despliegue.
  • Pipelines de CI/CD automatizados con validacion de compilacion.
  • Escaneo de dependencias y actualizaciones periodicas para abordar vulnerabilidades conocidas.
  • Los secretos nunca se incluyen en el control de versiones — solo configuracion basada en variables de entorno.
  • Principio de privilegio minimo aplicado a todas las cuentas de sistema y servicio.

Respuesta a Incidentes

En caso de un incidente de seguridad, nuestro proceso incluye:

  1. Deteccion y contencion: identificar y aislar los sistemas afectados de inmediato.
  2. Evaluacion: determinar el alcance, impacto y causa raiz.
  3. Notificacion: informar a los clientes afectados dentro de las 72 horas posteriores a la confirmacion de exposicion de datos, en cumplimiento con la ley mexicana de proteccion de datos (LFPDPPP).
  4. Remediacion: corregir la vulnerabilidad, restaurar los servicios afectados e implementar medidas preventivas.
  5. Post-mortem: documentar los hallazgos y actualizar las practicas de seguridad en consecuencia.

Divulgacion Responsable

Si descubres una vulnerabilidad de seguridad en nuestro sitio web o sistemas, agradecemos tu ayuda para divulgarla de manera responsable. Por favor reportala a contact@hivek.tech con:

  • Una descripcion de la vulnerabilidad y su impacto potencial.
  • Pasos para reproducir el problema.
  • Tu informacion de contacto para seguimiento.

Te pedimos que no divulgues publicamente el problema hasta que hayamos tenido una oportunidad razonable de abordarlo. Confirmaremos la recepcion de tu reporte dentro de las 48 horas y trabajaremos contigo para resolverlo.

Cumplimiento

Nuestras practicas de seguridad estan alineadas con:

  • LFPDPPP: Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares de Mexico.
  • OWASP Top 10: riesgos de seguridad de aplicaciones web estandar de la industria.
  • Mejores practicas de la industria para seguridad de infraestructura en la nube y sistemas de IA.

Contacto

Para preguntas relacionadas con seguridad o para reportar una vulnerabilidad: