Prácticas de Seguridad

Esta página describe la arquitectura de seguridad del cliente de GoDesk y el servicio de retransmisión alojado operado por upDevTeam LTD en godeskflow.com, y el proceso de divulgación responsable para reportar vulnerabilidades.

Es informativa. Los compromisos de seguridad contractuales se encuentran en los Términos de Servicio y en el DPA.

La encriptación de extremo a extremo es la propiedad central de seguridad del Servicio. La retransmisión nunca retiene el contenido de la sesión en texto claro.

Las bibliotecas criptográficas están ancladas a versiones auditadas y actualizadas según un cronograma documentado. No implementamos nuestros propios primitivos.

La infraestructura de producción se ejecuta en los siguientes proveedores:

Todos los proveedores están obligados por acuerdos de procesamiento de datos que reflejan las obligaciones en nuestro DPA.

Controles de acceso a nivel de usuario:

Estado honesto a partir de la fecha en la parte superior de esta página: GoDesk y upDevTeam LTD NO están actualmente certificados por SOC 2, ISO 27001, ISO 27017, ISO 27018, HIPAA, PCI-DSS, FedRAMP, ni ningún otro estándar de seguridad formal de terceros. Las afirmaciones públicas en contrario son incorrectas.

Nuestros proveedores de alojamiento e infraestructura (Hetzner, Cloudflare, Supabase, Stripe) son auditores de SOC 2 / ISO 27001; nuestra seguridad hereda algunas garantías de la suya, pero no es equivalente.

Estamos trabajando hacia una revisión de seguridad externa para 2026 y publicaremos el resultado en esta página cuando esté disponible. No pretendemos certificaciones que no poseemos.

Las acciones administrativas en sistemas de producción se registran en un log central, solo de apendado, con retención de al menos 90 días. El log registra al actor, la acción, la marca de tiempo y la dirección IP de origen. El acceso a producción está restringido a un pequeño número de ingenieros nombrados con autenticación de dos factores obligatoria.

Monitoreamos el tiempo de actividad, las tasas de error y señales relacionadas con abusos (picos repentinos de tráfico, intentos de fuerza bruta, enumeración de ID de pares) y rotamos la cobertura de guardia semanalmente.

Los dispositivos del personal utilizados para acceder a sistemas de producción deben:

El cliente de GoDesk es de código abierto bajo AGPL-3.0. Cualquiera puede leer el código fuente, construirlo y verificar que hace lo que afirmamos. El código del relay (un fork de hbbr / hbbs) es igualmente de código abierto.

Publicamos hashes SHA-256 para cada instalador liberado. Estamos persiguiendo la firma de código EV para Windows y la notificación de Apple para macOS; el estado actual de la compilación está en la página de Descarga.

Agradecemos los informes de investigadores de seguridad independientes. Para reportar una vulnerabilidad:

Actualmente no operamos un programa de recompensa por errores pago. Reconocemos públicamente informes significativos (con su permiso) en una página de salón de la fama una vez que el problema esté solucionado.

Los hallazgos críticos (RCE, cifrado de extremo a extremo roto, bypass de autenticación masiva) se escalan inmediatamente al ingeniero de guardia y tienen prioridad sobre el trabajo programado.

Lo siguiente no es elegible para tratamiento en puerto seguro bajo la sección 9 y puede ser reportado pero es poco probable que se trate como vulnerabilidades:

Mantenemos un manual escrito de respuesta a incidentes que cubre detección, contención, erradicación, recuperación y revisión posterior al incidente. El manual se revisa al menos anualmente y después de cada incidente significativo.

Si ocurre una violación de datos personales, se aplican los plazos de notificación en nuestra Política de Privacidad y DPA.

Cuando la arquitectura o cualquier compromiso en esta página cambie de manera significativa, actualizamos la fecha de 'Última actualización' y anunciamos el cambio en el registro de cambios.