Seguridad Actualizada el 24 de abril de 2026

Prácticas de Seguridad

La seguridad no es un checkbox. En INVYTA.events la tratamos como una disciplina continua. Esta página resume nuestras prácticas técnicas y organizativas.

Cifrado de datos

En reposo

  • Datos personales identificables (nombre, email, teléfono): cifrados con AES-256-CBC antes de persistir.
  • Búsquedas sobre datos cifrados mediante blind index HMAC-SHA256: permite buscar sin descifrar.
  • Contraseñas: hasheadas con bcrypt (cost 12).
  • Backups: cifrados con clave independiente y rotación regular.

En tránsito

  • TLS 1.3 obligatorio en todos los endpoints.
  • HSTS activo con preload.
  • Certificados emitidos por autoridad certificadora reconocida, renovación automatizada.

Autenticación y autorización

  • JWT con refresh tokens e IP binding para prevenir hijacking.
  • Tokens de corta duración (15 minutos) con rotación automática.
  • Rate limiting agresivo en endpoints sensibles (login, registro, validación QR).
  • 5 roles granulares: superadmin, dist_admin, group_admin, admin, cajero/operador.
  • Sesiones auditables con bitácora inmutable de accesos sensibles.

Códigos QR

  • Tokens opacos y firmados criptográficamente (no contienen datos personales visibles).
  • Validación single-use con lockForUpdate en base de datos (previene duplicados en concurrencia).
  • Expiración configurable por evento.
  • Firma verificada server-side en cada escaneo.

Aislamiento multi-tenant

Cada tenant está aislado a nivel de aplicación mediante tenant_id forzado en todos los queries. El modelo está validado con pruebas automatizadas que detectan fugas de datos entre tenants antes de cada despliegue.

Módulo de fotos

El módulo de galería de fotos tiene 12 controles de seguridad específicos:

  • Validación estricta de MIME type (whitelist).
  • Re-codificación server-side para eliminar payloads maliciosos.
  • Escaneo antivirus (ClamAV).
  • Límites de tamaño por archivo y por usuario.
  • Rate limiting por IP y por cuenta.
  • Moderación manual obligatoria antes de publicación.
  • EXIF stripping automático (elimina metadata GPS).
  • CDN con hotlink protection.
  • Retención máxima de 10 días post-evento.
  • Generación de nombres aleatorios (no predictibles).
  • Separación de almacenamiento por tenant.
  • Logs de todas las acciones sobre archivos.

Infraestructura

  • Backups diarios automáticos con retención geo-redundante.
  • Monitoreo 24/7 con alertas inmediatas.
  • Logs centralizados con retención de 90 días mínimo.
  • Separación estricta entre ambientes (producción, staging, desarrollo).
  • Secretos gestionados con bóveda cifrada, nunca en código.

Desarrollo seguro

  • Revisión de código obligatoria antes de merge.
  • Análisis estático de seguridad (SAST) en CI/CD.
  • Dependencias actualizadas con alertas automáticas de vulnerabilidades.
  • Pruebas de seguridad antes de cada release mayor.

Cumplimiento normativo

  • Ley 8968 de Costa Rica (Protección de la Persona frente al tratamiento de sus datos personales).
  • GDPR (Reglamento General de Protección de Datos de la UE) para asistentes europeos.
  • Reportes de cumplimiento disponibles bajo NDA para clientes empresariales.

Programa de reporte responsable

Si descubre una vulnerabilidad de seguridad, por favor repórtela de forma responsable a hola@invyta.events con el asunto "Security report". Nos comprometemos a:

  • Responder en menos de 72 horas.
  • Investigar y comunicar hallazgos.
  • Agradecer públicamente al reportante (si lo desea).
  • No tomar acciones legales contra investigadores de buena fe que sigan este proceso.

Continuidad del servicio

Contamos con planes de recuperación ante desastres con objetivos definidos (RTO/RPO) según el plan contratado. Clientes empresariales reciben SLA específicos con compensaciones en caso de incumplimiento.