Última actualización: 1 de febrero de 2026

Prácticas de Seguridad

PostMonk se toma la seguridad de tus datos muy en serio. Esta página describe las medidas técnicas y organizativas que implementamos para proteger tu información y las cuentas de redes sociales que conectas a nuestra plataforma.

1. Seguridad de Infraestructura

  • Alojamiento en la nube: PostMonk está alojado en Google Cloud Platform (GCP), que mantiene certificaciones SOC 1, SOC 2, SOC 3 e ISO 27001
  • Redundancia geográfica: Los datos se replican en múltiples zonas de disponibilidad para asegurar alta disponibilidad
  • Seguridad de red: Todo el tráfico pasa a través de balanceadores de carga en la nube con protección DDoS y reglas de Firewall de Aplicaciones Web (WAF)
  • Aislamiento: Los entornos de producción, staging y desarrollo están completamente aislados

2. Cifrado de Datos

  • En tránsito: Todos los datos transmitidos entre tu navegador y PostMonk se cifran usando TLS 1.3. Aplicamos HSTS para prevenir ataques de degradación
  • En reposo: Todos los datos en reposo se cifran usando AES-256. Los tokens de OAuth de redes sociales reciben una capa adicional de cifrado a nivel de aplicación usando AES-256-GCM con claves únicas por token
  • Cifrado de respaldos: Todos los datos de respaldo se cifran usando el cifrado predeterminado de Google Cloud con claves de cifrado gestionadas por el cliente (CMEK)

3. Autenticación y Control de Acceso

  • Autenticación multifactor: MFA está disponible para todas las cuentas y es obligatoria para usuarios de nivel administrador
  • Soporte SSO: Los planes empresariales soportan Single Sign-On vía SAML 2.0 y OpenID Connect
  • Gestión de sesiones: Las sesiones expiran después de un período configurable de inactividad. Las sesiones concurrentes son limitadas y registradas
  • Acceso basado en roles: PostMonk soporta control de acceso basado en roles (RBAC) granular con roles de Propietario, Admin, Editor y Visor
  • Claves de API: Las claves de API usan permisos con alcance y pueden ser rotadas o revocadas en cualquier momento

4. Seguridad de Tokens OAuth

Cuando conectas cuentas de redes sociales, PostMonk usa OAuth 2.0 (el estándar de la industria) para recibir tokens de acceso autorizados. Manejamos estos tokens con cuidado:

  • Los tokens se cifran con AES-256-GCM antes de almacenarse
  • Solo solicitamos los alcances (permisos) mínimos necesarios para cada integración de plataforma
  • Los tokens se refrescan automáticamente y los tokens antiguos se invalidan
  • Los tokens se eliminan inmediatamente cuando desconectas una cuenta social
  • Nunca almacenamos contraseñas de cuentas de redes sociales — solo almacenamos tokens de OAuth emitidos por la plataforma

5. Seguridad de la Aplicación

  • Ciclo de desarrollo seguro: Todos los cambios de código pasan por revisión de pares y pruebas de seguridad automatizadas antes del despliegue
  • Escaneo de dependencias: Usamos herramientas automatizadas para escanear vulnerabilidades conocidas en bibliotecas de terceros
  • OWASP Top 10: Nuestra aplicación está diseñada para mitigar los 10 principales riesgos de seguridad de aplicaciones web de OWASP
  • Limitación de velocidad: Los endpoints de API tienen límites de velocidad para prevenir abuso y ataques de fuerza bruta
  • Validación de entradas: Todas las entradas de usuario se validan y sanean tanto en el lado del cliente como del servidor

6. Monitoreo y Respuesta a Incidentes

  • Monitoreo 24/7: Sistemas automatizados monitorean eventos de seguridad, anomalías de rendimiento e intentos de acceso no autorizados
  • Registro de auditoría: Todas las acciones administrativas, eventos de autenticación y accesos a datos se registran y retienen
  • Respuesta a incidentes: Mantenemos un plan documentado de respuesta a incidentes. Los incidentes de seguridad críticos se investigan y resuelven dentro de 24 horas
  • Divulgación de vulnerabilidades: Mantenemos una política de divulgación responsable. Los investigadores de seguridad pueden reportar vulnerabilidades a [email protected]

7. Acceso de Empleados

  • El acceso a sistemas de producción está restringido al personal autorizado según necesidad de conocimiento
  • Todos los empleados pasan por verificaciones de antecedentes y capacitación en conciencia de seguridad
  • El acceso de empleados se audita regularmente y se revoca inmediatamente al salir
  • Usamos gestión de acceso privilegiado (PAM) para sistemas sensibles

8. Cumplimiento

PostMonk está comprometido con cumplir los siguientes estándares:

  • RGPD: Cumplimos con el Reglamento General de Protección de Datos para usuarios del EEE
  • CCPA: Cumplimos con la Ley de Privacidad del Consumidor de California para residentes de California
  • Términos de Plataforma de Meta: Cumplimos con las Políticas de Desarrolladores y Términos de Plataforma de Meta
  • Acuerdo de Desarrolladores de X: Cumplimos con el Acuerdo y Política de Desarrolladores de X (Twitter)
  • Términos de API de LinkedIn: Cumplimos con los Términos de Uso de la API de LinkedIn
  • Términos de Desarrolladores de TikTok: Cumplimos con los Términos de Servicio para Desarrolladores de TikTok
  • Política de Datos de Servicios de API de Google: Cumplimos con los requisitos de Google para acceso a la API de YouTube

9. Respaldo y Recuperación de Datos

  • Respaldos diarios automatizados con capacidad de recuperación a un punto en el tiempo
  • Los respaldos se cifran y almacenan en una región geográfica separada
  • Los procedimientos de recuperación ante desastres se prueban trimestralmente
  • Objetivo de Tiempo de Recuperación (RTO): 4 horas. Objetivo de Punto de Recuperación (RPO): 1 hora

10. Contacto

Si tienes preocupaciones de seguridad, necesitas reportar una vulnerabilidad o tienes preguntas sobre nuestras prácticas de seguridad: