// security

Seguridad

Última actualización: 16 de mayo de 2026

Este documento describe las prácticas de seguridad aplicadas por Tarello para proteger los datos de los Clientes y la infraestructura del Servicio.

1. Aislamiento por microservicio

Cada microservicio corre en contenedores separados, con su propia base de datos, claves de cifrado y red privada. Un project no puede acceder a datos ni recursos de otro project, incluso dentro del mismo Cliente, sin permiso explícito.

2. Cifrado

  • En tránsito: TLS 1.3 obligatorio en todas las conexiones a la API. Certificados renovados automáticamente.
  • En reposo: datos almacenados en volúmenes cifrados (AES-256). Copias de seguridad también cifradas.
  • Contraseñas: almacenadas con Argon2id; nunca en texto claro.
  • Tokens JWT: clave de firma única por project, rotable.

3. Control de acceso interno

El acceso del equipo de Tarello a la infraestructura sigue el principio del menor privilegio. Toda acción administrativa se registra en la traza de auditoría interna. El acceso al Contenido del Cliente requiere aprobación previa y justificación documentada.

4. WAF y protección contra ataques

Todas las solicitudes pasan por un Web Application Firewall con reglas OWASP Top 10. Limitaciones de tasa por IP y por project mitigan ataques de fuerza bruta y abuso. Los ataques DDoS son absorbidos por la capa CDN.

5. Copias de seguridad

Copias automáticas diarias, retenidas por 30 días. Restauración en hasta 24h bajo solicitud. Para el plan Enterprise, retención extendida a 90 días y restauración en hasta 4h.

6. Auditoría

El microservicio Audit registra de forma inmutable quién hizo qué y cuándo en todos los microservicios del project. Los logs están disponibles para el Cliente vía API y para el equipo de seguridad de Tarello en caso de incidente.

7. Respuesta a incidentes

En caso de incidente de seguridad con posible impacto en datos del Cliente, Tarello notifica en hasta 72h por Console y correo, con descripción de lo ocurrido, datos afectados y acciones correctivas. Ver también el DPA en /legal/dpa.

8. Reportar vulnerabilidades

¿Encontraste una vulnerabilidad? Escribe a hello@tarello.io con el asunto "Security report". Confirmamos la recepción en hasta 48h. No publicamos vulnerabilidades antes de su corrección.