La mayoría de las empresas de software hablan de seguridad cuando ya tuvieron un incidente. Nosotros preferimos hablar de ella ahora, mientras todavía estamos construyendo.
ArcaSign está en desarrollo activo. No tenemos clientes en producción aún. Pero sí tenemos una posición clara sobre lo que significa manejar datos empresariales con responsabilidad — y queremos que sea pública desde el día uno.
El principio base
Los datos de su empresa no son nuestros. Son suyos.
Cuando una empresa confía su contabilidad, su inventario o sus contratos a un sistema externo, está cediendo algo valioso. Nuestro trabajo es custodiar esa información como si fuera nuestra, devolver control al cliente siempre que sea posible, y ser completamente transparentes sobre cómo lo hacemos en todo momento.
No creemos en la seguridad como feature de marketing. Creemos en ella como obligación operativa.
Infraestructura y datos en reposo
Antes de que cualquier producto ArcaSign procese datos reales de clientes, la infraestructura cumplirá con los siguientes estándares:
Encriptación en tránsito. Todo el tráfico entre cliente y servidor via TLS 1.3. Sin HTTP. Sin excepciones para ningún endpoint, incluyendo APIs internas.
Encriptación en reposo. Bases de datos, backups y archivos almacenados encriptados con AES-256. Las llaves de encriptación gestionadas separadamente de los datos que protegen.
Backups verificados. No basta con hacer backups — hay que probar que funcionan. Restauraciones periódicas automatizadas para verificar integridad antes de que haga falta.
Separación de ambientes. Datos de producción nunca en ambientes de desarrollo o staging. Los datos de prueba son sintéticos, no copias enmascaradas de datos reales.
Control de acceso
Mínimo privilegio por defecto. Cada persona del equipo accede únicamente a lo que necesita para su función específica. Los permisos se otorgan explícitamente, no se heredan por defecto.
2FA obligatorio. Autenticación de dos factores requerida para todo acceso interno a sistemas de producción, sin excepciones por rol o antigüedad.
Logs de acceso auditables. Todo acceso a datos de clientes queda registrado — quién, cuándo, desde dónde, qué operación. Logs inmutables con retención mínima de 12 meses.
Offboarding inmediato. Cuando alguien deja el equipo, el acceso se revoca el mismo día. Sin cuentas huérfanas, sin credenciales compartidas que sobreviven a las personas.
Ciclo de desarrollo seguro
La seguridad no se evalúa solo en producción — se construye en cada etapa del desarrollo.
Revisión de código con foco en seguridad. Todo cambio que toque autenticación, manejo de datos o lógica de permisos pasa por revisión específica antes de merge, no solo revisión funcional.
Dependencias monitoreadas. Escaneo automatizado de vulnerabilidades en dependencias de terceros. Política de actualización activa, no reactiva.
Penetration testing externo. Antes del lanzamiento de cada producto, auditoría de seguridad por una firma externa independiente. Los hallazgos son accionables — no van a un cajón.
Bug bounty. Una vez en producción, programa formal de recompensas para investigadores que reporten vulnerabilidades de forma responsable.
Divulgación responsable
Si usted descubre una vulnerabilidad en cualquier producto o infraestructura de ArcaSign, queremos saberlo.
Nuestro compromiso:
- Respuesta de acuse de recibo en 72 horas
- Evaluación y plan de remediación en 7 días hábiles
- Corrección de vulnerabilidades críticas en 30 días
- Reconocimiento público a quien reporta, si así lo desea
- Cero acciones legales contra investigadores que actúen de buena fe
Reportes a [email protected]. Por favor incluya pasos para reproducir, impacto estimado y cualquier sugerencia de mitigación.
Cumplimiento normativo
Las empresas que operan en Costa Rica manejan datos bajo el marco de la Ley 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales. Todos los productos ArcaSign están diseñados para cumplir con esta ley desde el nivel de arquitectura, no como un parche posterior.
Para clientes que operen bajo regulación SUGEF o requieran cumplimiento con estándares internacionales (SOC 2, ISO 27001), tenemos ese camino en el roadmap. Si su organización tiene requisitos específicos, hablemos antes de firmar.
El camino hacia la certificación
Somos honestos: aún no tenemos SOC 2. No tenemos ISO 27001. Estamos en desarrollo.
Lo que sí tenemos es la arquitectura diseñada para soportar esas certificaciones, y el compromiso de obtenerlas conforme escalemos. Cuando las tengamos, serán verificables por terceros independientes — no solo declaraciones en una página web.
Por qué lo decimos antes de tenerlo
Porque los compromisos que se hacen en público son más difíciles de abandonar.
Y porque las empresas que confían sus operaciones a software externo merecen saber en qué estándar opera su proveedor antes de firmar, no después de que algo sale mal.
Si tiene preguntas sobre seguridad, quiere revisar nuestra arquitectura antes de contratar, o simplemente quiere entender mejor cómo protegemos sus datos, escríbanos a [email protected]. Respondemos.