Compromiso de Seguridad

1. Nuestro compromiso con tu seguridad

TrueSpeak está construido y mantenido con un estándar de seguridad estricto y continuo. Ejecutamos auditorías de seguridad automatizadas cada mes y actuamos sobre los hallazgos — para que la plataforma que protege los informes de tus denunciantes esté también protegida. Esta página es nuestro registro público de ese compromiso.

2. Los cuatro pilares de nuestra seguridad

3. Qué cubrimos

Nuestro proceso de auditoría verifica sistemáticamente las siguientes categorías de riesgo:

• Autenticación, gestión de sesiones y manejo de contraseñas
• Cross-Site Scripting (XSS) y Cross-Site Request Forgery (CSRF)
• Inyección SQL y otros vectores de inyección
• Deserialización insegura e instanciación de objetos no segura
• Exposición de datos sensibles y fuga de secretos
• Server-Side Request Forgery (SSRF) y abuso de recursos externos
• Cabeceras de seguridad y hardening de la capa de transporte (HTTPS, HSTS, CSP)
• Vulnerabilidades en dependencias de terceros (contraste con base de datos CVE)
• Configuración criptográfica y gestión de claves
• Gestión de carga de archivos y path traversal

4. Cadencia de auditorías

Ejecutamos cada mes una auditoría de seguridad SAST + DAST completa de forma automática. Esta es nuestra cronología pública:

Cronología de auditorías

• 26 mayo 2026 Más reciente Completada

5. Qué ocurre cuando encontramos un problema

1. Triaje. Cada hallazgo se clasifica por impacto y explotabilidad usando una escala de severidad estándar de la industria.
2. Priorización. Los problemas críticos se atienden de inmediato; los high-severity dentro del sprint en curso; los medium e inferiores en la siguiente release planificada.
3. Remediación. Las correcciones se aplican en origen — actualizando una dependencia afectada, endureciendo la configuración o refactorizando el código.
4. Verificación. El siguiente escaneo mensual confirma que el problema está cerrado y lo registra en la cronología de auditorías.