Políticas de seguridad de "demo.laquiniela.online"

Propósito

Establecer las normas, responsabilidades y procedimientos que garantizan la seguridad, integridad y disponibilidad de la plataforma de quinielas, protegiendo a usuarios, organizadores y datos frente a accesos no autorizados, fraudes y abusos.

Alcance

Aplica a todos los usuarios, organizadores, empleados, contratistas y sistemas que interactúan con la plataforma, incluidos accesos web, API, paneles administrativos y servicios asociados.

Definiciones

• Plataforma: el sitio web y servicios relacionados donde se crean y participan quinielas.
• Usuario: persona registrada que participa en quinielas.
• Organizador: usuario que crea o administra una quiniela.
• Incidente de seguridad: evento que compromete la confidencialidad, integridad o disponibilidad de la plataforma o datos de usuarios.

Responsabilidades generales

• La plataforma mantiene controles técnicos y administrativos para proteger la infraestructura, detectar anomalías y responder a incidentes.
• Los usuarios deben usar la plataforma de forma segura, proteger sus credenciales y reportar irregularidades.
• Los organizadores deben gestionar sus quinielas con transparencia y colaborar en investigaciones.

Requisitos de cuenta y autenticación

• Información veraz: registrar datos reales o alias válidos y un correo electrónico activo.
• Contraseñas: usar contraseñas únicas y robustas; la plataforma puede requerir longitud mínima y complejidad.
• Autenticación adicional: se recomienda y puede ser obligatoria la autenticación de dos factores (2FA) para accesos sensibles o administradores.
• No compartir credenciales: cada cuenta es personal; compartir credenciales está prohibido y puede derivar en sanciones.

Protección de datos y privacidad

• Principio de mínimo acceso: solo el personal autorizado accede a datos sensibles según su rol.
• Cifrado: datos sensibles en tránsito y en reposo se cifran según estándares aceptados.
• Retención: los datos se conservan el tiempo necesario para la operación y cumplimiento legal.
• Reportes de privacidad: solicitudes relacionadas con datos personales se gestionan conforme a la política de privacidad publicada.

Uso seguro de la plataforma

• Prohibido: intentar acceder a áreas no autorizadas, manipular resultados, usar bots, explotar vulnerabilidades o interferir con la infraestructura.
• Reportar vulnerabilidades: los usuarios deben notificar fallos o comportamientos sospechosos mediante el canal oficial.
• No obstruir investigaciones: está prohibido borrar, alterar o ocultar evidencia durante una investigación.

Medidas técnicas y operativas

• Monitoreo y detección: registro de eventos, alertas por actividad anómala y análisis de patrones de fraude.
• Limitación de tasa: controles para prevenir abuso automatizado y ataques de fuerza bruta.
• Parcheo y actualizaciones: mantenimiento regular de software y dependencias.
• Backups: copias de seguridad periódicas y pruebas de restauración.
• Seguridad en APIs: autenticación, autorización y validación de entradas en todos los endpoints.

Gestión de vulnerabilidades y divulgación responsable

• Recepción de reportes: existe un canal oficial para reportar vulnerabilidades con instrucciones para enviar evidencia y contacto.
• Divulgación responsable: la plataforma investigará y coordinará mitigaciones antes de divulgación pública.
• Recompensas: la plataforma podrá ofrecer reconocimiento o recompensa según su programa de seguridad (si aplica).

Detección de irregularidades

Ejemplos de señales que pueden activar investigación:

• Patrones de apuestas anómalos que favorecen a una cuenta.
• Accesos simultáneos desde ubicaciones geográficas dispares en corto tiempo.
• Cuentas vinculadas que transfieren beneficios entre sí.
• Explotación de bugs que alteran resultados o pagos.
• Intentos de intrusión o escaneo de la plataforma.

Respuesta a incidentes

• Contención inmediata: medidas provisionales para limitar impacto (p. ej., suspender funciones, bloquear accesos).
• Investigación: recolección de logs, análisis forense y evaluación del alcance.
• Remediación: aplicar parches, revertir cambios y restaurar servicios seguros.
• Notificación: comunicar a usuarios afectados según la normativa aplicable y la política de privacidad.
• Lecciones aprendidas: revisar y mejorar controles tras cada incidente.

Sanciones y medidas disciplinarias

• Graduación de sanciones: advertencia → suspensión temporal de funciones → deshabilitar compras para una quiniela → bloqueo de cuenta permanente.
• Acciones específicas para organizadores:
• Deshabilitar compras nuevas para la quiniela cuando exista evidencia de manipulación o abuso relacionado con esa quiniela.
• Suspender o bloquear la cuenta del organizador si se confirma fraude, explotación de fallos o conducta maliciosa.
• Cerrar o transferir la quiniela si la gestión queda comprometida.
• Bloqueo de cuenta: aplicado en casos de hacking confirmado, fraude grave o reincidencia.
• Registro de sanciones: todas las medidas quedan registradas y pueden influir en decisiones futuras.

Procedimiento de notificación y apelación

• Notificación: el usuario recibirá un aviso con motivo de la medida y un resumen de la evidencia disponible.
• Plazo para apelar: el usuario dispone de un plazo definido para presentar apelación mediante el formulario de soporte.
• Revisión: el equipo de seguridad revisará la apelación y comunicará la decisión final por escrito en un plazo razonable.
• Medidas provisionales: durante la investigación la plataforma podrá mantener restricciones temporales para proteger la integridad del servicio.

Colaboración con autoridades

• Cumplimiento legal: la plataforma cooperará con autoridades competentes cuando sea requerido por ley o para perseguir delitos.
• Preservación de evidencia: se conservará información necesaria para investigaciones legales y judiciales.

Registro y auditoría

• Logs de seguridad: se mantienen registros de accesos, transacciones y acciones administrativas para auditoría.
• Retención de logs: los plazos de conservación se ajustan a necesidades operativas y legales.
• Acceso a logs: restringido a personal autorizado y usado solo para fines de seguridad y cumplimiento.

Formación y concienciación

• Usuarios: recomendaciones y guías para uso seguro de la plataforma (contraseñas, phishing, 2FA).
• Equipo interno: formación periódica en seguridad, respuesta a incidentes y manejo de datos sensibles.

Revisión y actualizaciones

• Revisión periódica: estas políticas se revisan y actualizan regularmente para adaptarse a nuevas amenazas y requisitos legales.
• Notificación de cambios: las modificaciones se publicarán y entrarán en vigor según lo indicado en la web.

Contacto y canal de reportes

• Canal oficial de seguridad: soporte@tudominio.com (reemplazar por el correo real) o el formulario de soporte en la sección Seguridad.
• Información a incluir en reportes: descripción del incidente, capturas, IDs de transacción, fechas y horas, y cualquier evidencia disponible.