Documentos legales · Grupo TepZ

Seguridad / Security

Última actualización: 11 / 06 / 2026

1. Nuestro compromiso

En el Grupo TepZ tratamos la seguridad como una disciplina continua, no como una casilla. Diseñamos cada producto bajo los principios de privacy by design, least privilege y defense in depth.

2. Arquitectura y aislamiento

  • Infraestructura en nubes Tier-1 con presencia en Norteamérica.
  • Modelo multi-tenant con aislamiento lógico por tenant_id y políticas RLS en base de datos.
  • Redes segmentadas, WAF, protección DDoS y firewalls de aplicación.
  • Despliegues inmutables, gestionados por Infrastructure as Code.

3. Cifrado

  • En tránsito: TLS 1.2+ con suites modernas y HSTS.
  • En reposo: AES-256 para almacenamiento y backups.
  • Llaves: custodia en HSM/KMS gestionado, rotación periódica.
  • Firmas electrónicas NOM-151 con sellos de tiempo de PSC autorizado.

4. Identidad y acceso

  • Autenticación con SSO (Google, Microsoft) y MFA disponible.
  • RBAC con principio de mínimo privilegio y separación de funciones.
  • Acceso administrativo solo desde estaciones gestionadas y con MFA obligatoria.
  • Registro de auditoría inmutable para acciones sensibles.

5. Desarrollo seguro

  • Revisión de código por pares y análisis estático (SAST) en CI.
  • Escaneo de dependencias y secretos, parches automatizados.
  • Pruebas de penetración anuales por terceros independientes.
  • Programa de bug bounty privado en evaluación.

6. Continuidad y respaldos

  • Backups cifrados con retención de 30 días y restauraciones probadas trimestralmente.
  • RTO objetivo: 4 horas. RPO objetivo: 1 hora.
  • Plan documentado de continuidad y recuperación ante desastres.

7. Gestión de incidentes

Operamos un proceso 24/7 de detección, contención, erradicación y comunicación. En caso de incidente que afecte datos personales, notificaremos al cliente sin demora indebida y, cuando proceda, a las autoridades dentro de los plazos legales.

8. Divulgación responsable

Si identificas una vulnerabilidad, repórtala a security@tepz.global. Nos comprometemos a:

  • Acuse de recibo en menos de 48 horas.
  • No iniciar acciones legales contra investigadores de buena fe.
  • Reconocer públicamente tu hallazgo, si así lo deseas.

Llave PGP disponible bajo solicitud. Por favor, no realices pruebas que afecten disponibilidad o privacidad de otros usuarios.

9. Subprocesadores

Mantenemos un registro actualizado de subprocesadores (infraestructura, correo, analítica y PSC). Disponible bajo solicitud para empresas integrantes del Grupo, Aliados y Distribuidores autorizados en security@tepz.global.

10. Contacto

Equipo de seguridad: security@tepz.global.