Seguridad en TaskBridge
Tu trabajo es crítico. Su protección también.
La seguridad no es una feature. Es el fundamento de TaskBridge.
Gestionas información confidencial de tus clientes. Datos financieros. Proyectos estratégicos. Información que, si se filtra, daña reputaciones y negocios.
Tomamos esta responsabilidad ultra en serio.
Esta página explica exactamente cómo protegemos tu información. Sin marketing fluff. Solo hechos técnicos presentados claramente.
🔒 Protección en Capas
Certificaciones & Compliance
- ✅Encriptación: TLS 1.3 + AES-256
- ✅GDPR Compliant (UE)
- ✅CCPA Compliant (California)
- 🔄SOC 2 Type I (En proceso - Q1 2026)
- 🔄ISO 27001 (Roadmap - Q2 2026)
- 💳PCI DSS (vía Stripe)
Auditorías
Última Auditoría de Seguridad:
Pendiente (Beta)
Próxima Auditoría Programada:
Q1 2026
1. Encriptación
1.1 Protección de Datos en Tránsito
✅ Conexiones HTTPS Forzadas
Habilitado:
- ✅ TLS 1.3 (más reciente y seguro)
- ✅ TLS 1.2 (fallback compatible)
- ✅ Forward secrecy (PFS)
- ✅ HSTS habilitado
Deshabilitado:
- ❌ TLS 1.1 y anterior
- ❌ SSL (completamente deprecated)
- ❌ Cipher suites débiles
- ❌ HTTP sin encriptar
📋 Configuración Técnica
- • Certificados SSL de Let's Encrypt (renovación automática)
- • Calificación SSL Labs: A+ objetivo
- • Perfect Forward Secrecy habilitado
- • OCSP Stapling para validación rápida
1.2 Protección de Datos en Reposo
🗄️ Base de Datos
- 🔐 Encriptación: AES-256-GCM
- 🔐 A nivel: Transparent Data Encryption (TDE)
- 🔐 Backups: También encriptados AES-256
- 🔐 Gestión de claves: Hardware Security Module (HSM)
- 🔐 Rotación: Automática cada 90 días
📁 Almacenamiento de Archivos
- • Archivos encriptados individualmente (AES-256)
- • Nombres aleatorizados (imposible adivinar)
- • CDN con signed URLs (expiran en 15 minutos)
- • Segregación por cuenta (aislamiento completo)
Ejemplo: Tu archivo “propuesta_confidencial.docx” → Renombrado a a8f3d2e1-4b6c-9f2e.enc → URL expira en 15 min → Imposible acceso no autorizado
🔑 Contraseñas
❌ NUNCA:
- • Almacenadas en texto plano
- • Reversibles o recuperables
- • Visibles para staff
✅ SIEMPRE:
- • Hasheadas con bcrypt
- • Cost factor 12
- • Sal única por usuario
Por qué no podemos “enviarte tu contraseña”:
No la tenemos. Solo tenemos el hash. Esto es intencional y bueno para ti.
2. Autenticación y Control de Acceso
2.1 Autenticación de Usuarios
🔐 Opciones de Login
- ✓ Email + Password (bcrypt)
- ✓ Google OAuth 2.0
- ✓ Microsoft OAuth 2.0
- ✓ 2FA/TOTP (Strongly recommended)
🛡️ Session Management
- • JWT tokens (exp: 15 min)
- • Refresh tokens (exp: 30 días)
- • Rotación automática
- • Revocación inmediata
🚨 Protecciones Anti-Abuso
- ✅ Rate limiting: Máx 5 intentos / 15 min
- ✅ Captcha después de 3 intentos
- ✅ Account lockout temporal (10 intentos)
- ✅ Alertas de login desde nueva ubicación
- ✅ Notificación de cambio de contraseña
- ✅ Detección de patterns anómalos
2.2 Autenticación de Dos Factores (2FA)
📱 Métodos Soportados
- • TOTP: Google Authenticator, Authy, 1Password, Bitwarden
- • Email: Código de verificación (fallback)
- • Recovery codes: 10 códigos de un solo uso
💡 Recomendación fuerte: Habilita 2FA en Settings → Security
🏢 Para Enterprise
- • SSO: Single Sign-On vía SAML 2.0
- • IdP Integration: Okta, Azure AD, Auth0
- • Provisioning: Automático (SCIM)
- • Policy enforcement: 2FA obligatorio a nivel organización
2.3 Autorización Granular
Jerarquía de Roles:
Permisos por Nivel
- Owner: Control total, billing
- Admin: Gestionar usuarios
- Manager: Crear proyectos
- Member: Trabajar en tareas
- Guest: Solo ver
Granularidad
- • A nivel Empresa
- • A nivel Cliente
- • A nivel Proyecto
- • A nivel Tarea
3. Infraestructura y Red
4. Compliance y Auditorías
✅Cumplimiento Actual
- • GDPR (Reglamento General de Protección de Datos)
- • CCPA (California Consumer Privacy Act)
- • PCI DSS (vía Stripe)
- • Ley 19.628 Chile (Protección de Datos Personales)
🔄En Progreso / Roadmap
- • SOC 2 Type I (Q1 2026)
- • SOC 2 Type II (Q3 2026)
- • ISO 27001 (Q2 2026)
- • HIPAA Compliance (Q4 2026 - Healthcare)
📋 Auditorías Programadas
5. Procesos y Cultura de Seguridad
👥 Equipo
- • Todo el equipo recibe training de seguridad
- • Background checks para acceso a producción
- • Principio de mínimo privilegio (least privilege)
- • MFA obligatorio para todo acceso administrativo
💻 Desarrollo Seguro
- • Code reviews obligatorios (2 aprobaciones mínimo)
- • Automated security testing en CI/CD
- • Dependency scanning (Dependabot, Snyk)
- • SAST (Static Application Security Testing)
- • DAST (Dynamic Application Security Testing)
🐛 Bug Bounty Program
Lanzamiento: Q2 2026
Creemos en la transparencia y en trabajar con la comunidad de seguridad. Reporta vulnerabilidades responsablemente y te recompensaremos.
🚨 ¿Encontraste una Vulnerabilidad?
Por favor repórtala responsablemente:
- Email a: security@taskbridge.com
- Describe el issue en detalle (pero no públicamente)
- Danos tiempo razonable para fix (90 días)
- No explotes la vulnerabilidad o accedas a datos de otros
✅ Qué esperar:
- • Confirmación de recepción: 24 horas
- • Evaluación inicial: 72 horas
- • Fix crítico: 7 días
- • Reconocimiento público (si quieres)
- • Recompensa según severidad (cuando lancemos bug bounty)
6. Transparencia y Status
Monitorea el status de TaskBridge en tiempo real
Ver Status Page →(Próximamente - actualmente en beta)
Documentos relacionados:
Seguridad de Clase Enterprise
Tu información crítica merece la mejor protección.
Por eso construimos TaskBridge con seguridad desde el día uno.