confianza institucional
Arquitectura de seguridad
Cuidamos cada donación, certificado y contrato con controles modernos auditables. Esta página explica nuestra arquitectura técnica de manera transparente.
PCI DSS por tokenización
Nunca almacenamos datos de tarjetas. Los pagos se procesan a través de Bold, una pasarela certificada PCI DSS Nivel 1, y solo conservamos tokens y referencias firmadas.
Cifrado de extremo a extremo
Cifrado AES-256-GCM para secretos y PII sensible (documento, teléfono, claves privadas de firma). Hash con HMAC-SHA-256 para búsquedas ciegas. TLS 1.2+ en todas las conexiones.
Firmas Ed25519 verificables
Cada certificado tributario se firma con un par de claves Ed25519 institucional. El hash, la firma y el código de referencia permiten verificar autenticidad de forma pública.
Autenticación multifactor
MFA TOTP obligatorio para todo el equipo (admin, gestores, auditores y directivos) y opcional para donantes. Compatible con Google Authenticator, Authy, 1Password.
Auditoría con trazabilidad total
Triggers de base de datos registran cada INSERT/UPDATE/DELETE en tablas críticas (certificados, donaciones, contratos, documentos, roles, firmas, configuración) con datos antes/después y autoría.
Antifraude y rate limiting
Throttling por IP, ventanas deslizantes persistidas y detección automática de IPs sospechosas con bloqueo administrable. Cada intento de verificación queda registrado con un código de referencia único.
RLS por rol
Row Level Security activo en todas las tablas. Funciones SECURITY DEFINER aisladas, ejecución pública revocada en operaciones sensibles. Acceso de solo lectura para auditores y directivos.
Cumplimiento
- Ley 1581 de 2012 (Habeas Data Colombia)
- PCI DSS por tokenización vía Bold
- Buenas prácticas SOC 2 Type II
- Buenas prácticas OWASP Top 10
Tu papel
Activa MFA en tu cuenta y verifica los certificados que recibas con su código de referencia. Si detectas algo sospechoso, escríbenos: seguridad@esenciahumana.org.