BBe CRMIniciar sesión

Security Policy · BeCRM

Última actualización: 2026-05-24

Este documento describe a alto nivel cómo BeCRM (operado por Be Graffic LLC) protege la confidencialidad, integridad y disponibilidad de los datos que trata. Está pensado para due diligence de prospects, customers, partners e investigadores de seguridad.

Para reportes de vulnerabilidades, ver el apartado Programa de divulgación responsable.

1. Arquitectura y aislamiento

  • Multi-tenant lógico: cada Customer tiene un Workspace con scope independiente en la base de datos.
  • Firestore Security Rules + validaciones server-side imponen el aislamiento; los queries siempre se acotan por workspaceId y rol del solicitante.
  • API server-side en Next.js con verificación de sesión Firebase y workspaceId declarado.
  • Funciones backend (Cloud Functions) verifican origen, autoridad y workspace en cada invocación.

2. Cifrado

CapaMedida
TransporteTLS 1.2+ obligatorio en el dominio principal y en todas las APIs
ReposoCifrado nativo de Google Cloud / Firestore / AWS S3
Secretos sensibles (tokens OAuth, claves API de terceros)Cifrado aplicativo adicional con clave maestra SECRET_KEY_ENCRYPTION_KEY gestionada fuera de la base de datos
BackupsCifrados

3. Identidad y acceso

3.1 De los End Users del Customer

  • Autenticación vía Firebase Authentication (email/password, OAuth providers).
  • Soporte para MFA en el panel administrativo (próximamente para todos los roles).
  • RBAC por workspace: roles owner, admin, agent, etc.
  • Sesiones con expiración y posibilidad de cerrar todas las sesiones.

3.2 Del personal de BeCRM

  • Principio de mínimo privilegio para acceso a sistemas productivos.
  • Acceso a producción logueado y auditado.
  • Onboarding y offboarding documentados; revocación inmediata al desvincular.
  • Capacitación periódica en seguridad y privacidad.

4. Desarrollo seguro (SSDLC)

  • Revisión de código previa al merge a main.
  • CI con linting, type-checking, tests unitarios e integración.
  • E2E con Playwright en flujos críticos.
  • Análisis de dependencias (pnpm audit, npm audit) y monitoreo de CVEs.
  • Hardening contra OWASP Top 10 (XSS, CSRF, SSRF, injection, etc.).
  • Gestión de secretos en secret manager — nunca commiteados.
  • Branches y entornos separados; merge a producción tras checks verdes y revisión.

5. Operación e infraestructura

  • Backups automáticos cifrados, con retención rotativa.
  • Disaster Recovery documentado: RPO/RTO acorde al SLA del plan.
  • Monitoreo y alertas sobre tasa de error, latencia, anomalías de acceso, picos de envío.
  • Rate-limiting en APIs sensibles.
  • Webhooks firmados (HMAC) para endpoints que reciben eventos de terceros (SES, SNS, Stripe).
  • Headers de seguridad (CSP en construcción, X-Content-Type-Options, Referrer-Policy, Strict-Transport-Security).
  • Validación de SSRF y de redirects en integraciones outbound.

6. Respuesta a incidentes

  • Procedimiento documentado con roles definidos (lead, comms, técnico).
  • Notificación de brechas con SLA conforme al DPA §7 (≤72 h al Customer afectado).
  • Post-mortem sin culpa para cada incidente material; las mejoras se priorizan en el roadmap de seguridad.

7. Programa de divulgación responsable (coordinated disclosure)

Agradecemos los reportes de seguridad responsables.

Alcance

  • Dominio principal: crm.begraffic.com y subdominios.
  • APIs públicas del Servicio.
  • Apps móviles si se publican.

Fuera de alcance

  • Servicios de terceros (Stripe, Firebase, AWS, Meta) — repórtalos directamente al proveedor.
  • Hallazgos basados únicamente en versiones de software sin PoC explotable.
  • DoS volumétricos.
  • Ingeniería social a personal o usuarios.
  • Spam / phishing usando nuestra marca (reportar a abuse@begraffic.com).
  • Auto-XSS sin impacto, missing security headers de bajo impacto, clickjacking sin acción sensible.

Reglas

  • No accedas, modifiques ni elimines datos de otros usuarios.
  • No degrades el Servicio (sin DoS, sin spam).
  • No publiques el hallazgo antes de coordinación.
  • Cumple las leyes aplicables.

Cómo reportar

Envía a security@begraffic.com con:

  • Título corto del hallazgo.
  • Descripción técnica y pasos de reproducción (PoC).
  • Impacto estimado.
  • Tu nombre / handle para acreditación (si lo deseas).

Respondemos en hasta 5 días hábiles. Corregimos según severidad (crítico: días; alto: semanas; medio: roadmap próximo).

Actualmente no contamos con bug bounty monetario; reconocemos públicamente a quienes reporten en un Hall of Fame (si así lo aceptan).

8. Cumplimiento y certificaciones

Estado al 2026-05-24:

  • GDPR / UK GDPR: aplicable cuando atendemos clientes en UE/UK; ver DPA y Privacy Policy.
  • CCPA / CPRA: aplicable para residentes de California; los derechos se ejercen vía legal@begraffic.com.
  • LFPDPPP (México), Ley 1581 (Colombia), LGPD (Brasil): cubiertos por la Privacy Policy y el DPA.
  • PCI-DSS: BeCRM no almacena PAN; los pagos se procesan a través de Stripe (PCI-DSS Level 1).
  • Google API Services User Data Policy / Limited Use: cumplido; ver google-api-disclosure.md.
  • SOC 2 / ISO 27001: en evaluación / roadmap (no certificados a la fecha; actualizar cuando aplique).

9. Estado y disponibilidad

Cuando esté disponible publicaremos una Status Page pública con uptime, incidentes y mantenimientos. Hasta entonces, los incidentes mayores se notifican por email a administradores y por aviso en la aplicación.

10. Contacto