Seguridad

Centro de Confianza

Nyverra trata la seguridad como un requisito de arquitectura, no como una capa adicional. Esta página documenta nuestros controles técnicos, políticas y canales de reporte para clientes, prospects y evaluadores de riesgo.

Controles Técnicos

Nuestros servicios y operaciones siguen prácticas alineadas con frameworks reconocidos (NIST CSF, CIS Controls), adaptadas al tamaño y perfil de riesgo de cada entorno gestionado.

• Cifrado en tránsito (TLS 1.2/1.3) y en reposo (AES-256) para datos bajo gestión.
• Segmentación de red entre entornos de producción, preproducción y acceso administrativo.
• Autenticación multifactor (MFA) obligatoria para accesos administrativos a sistemas gestionados.
• Registro de auditoría (logging) y monitoreo continuo de accesos privilegiados.
• Firewall perimetral con política de mínimo privilegio, revisada trimestralmente.
• Gestión de vulnerabilidades con escaneo mensual y corrección basada en severidad (CVSS).
• Respaldo con restore probado periódicamente — periodicidad y retención definidas en contrato.

Datos y Subprocesadores

Como procesador de datos bajo la LGPD brasileña, Nyverra mantiene un contrato de tratamiento con cada cliente, define finalidades explícitas y mantiene un inventario de subprocesadores.

Los datos de clientes se almacenan en centros de datos y nubes contratadas en Brasil, salvo acuerdo explícito en contrario. Nuestros principales subprocesadores de infraestructura incluyen:

• Proveedores de datacenter y cloud (bajo contrato de tratamiento y SLA).
• Herramientas de monitoreo e ITSM (Zabbix, Grafana, GLPI) — datos de rendimiento y tickets.
• Servicios de correo electrónico transaccional para notificaciones del portal del cliente.
• La lista completa de subprocesadores activos se proporciona en el contrato de prestación de servicios y se mantiene actualizada en el Anexo de Subprocesadores.

Respuesta a Incidentes

Mantenemos un proceso documentado de respuesta a incidentes, con roles definidos, canales de escalación y plazos de comunicación proporcionales a la severidad.

• Clasificación de severidad (Crítico, Alto, Medio, Bajo) con SLAs de respuesta y comunicación.
• Canal de notificación para clientes afectados en un plazo de 2 horas para incidentes críticos.
• Análisis de causa raíz (RCA) entregado en un plazo de 10 días hábiles tras la contención.
• Comunicación con ANPD y autoridades competentes cuando sea legalmente exigido.

Controles de Acceso

El acceso a sistemas y datos de clientes sigue el principio de mínimo privilegio y se revisa periódicamente:

• Acceso lógico: cuentas nominales, MFA, revisión trimestral de perfiles y credenciales.
• Acceso físico: control de acceso biométrico y registro de entrada en centros de datos bajo gestión Nyverra.
• Registro de todas las acciones administrativas con pista de auditoría inmutable.
• Revocación de acceso en un plazo de 4 horas tras la notificación de baja.

Certificaciones y Auditorías

Nyverra está en proceso de adecuación a la ISO 27001. Hasta la certificación formal, mantenemos y publicamos:

• Política de Seguridad de la Información (documento interno, disponible bajo NDA para clientes y prospects).
• Controles documentados alineados con NIST CSF y CIS Controls v8.
• Informes de vulnerabilidades y pentests (cuando sean contratados por el cliente).
• Evidencias de auditoría proporcionadas durante el proceso de vendor onboarding.

Divulgación de Vulnerabilidades

Nyverra valora la seguridad de sus sistemas y acoge las contribuciones de la comunidad de investigación. Esta política define cómo reportar vulnerabilidades de forma responsable, qué esperar de nuestro proceso y las protecciones ofrecidas a quienes reportan de buena fe.

Cómo reportar

Envíe su informe a [email protected], preferiblemente con:

• Descripción clara de la vulnerabilidad encontrada, con pasos para reproducir.
• Producto, URL, versión o endpoint afectado.
• Impacto potencial y escenario de explotación (si se conoce).
• Herramientas o payloads utilizados (cuando corresponda).
• Sus datos de contacto (nombre, correo electrónico) — opcional, pero recomendado para seguimiento.

Alcance

Esta política cubre:

• nyverra.com y nyverra.com.br (sitio corporativo y landing pages).
• portal.nyverra.com.br (portal del cliente).
• APIs públicas accesibles bajo los dominios anteriores.
• Servicios gestionados expuestos públicamente cuya propiedad sea Nyverra.

Fuera del alcance: ataques de denegación de servicio, ingeniería social contra empleados, escaneos agresivos que degraden servicios y vulnerabilidades en infraestructura de terceros no gestionada por Nyverra.

Safe Harbor

Consideramos que las actividades realizadas de acuerdo con esta política constituyen conducta autorizada bajo las leyes aplicables (incluyendo, entre otras, la CFAA en EE. UU., la Lei Carolina Dieckmann / Lei 14.155/2021 en Brasil y directivas equivalentes).

No iniciaremos acciones legales contra usted ni solicitaremos a las autoridades que lo hagan, siempre que:

• Nos reporte la vulnerabilidad antes de divulgarla públicamente.
• Respete el tiempo de respuesta acordado (predeterminado: 90 días desde el primer contacto).
• No acceda, modifique, extraiga, destruya ni retenga datos más allá del mínimo necesario para demostrar la vulnerabilidad.
• No explote la vulnerabilidad para obtener beneficio económico, acceder a sistemas de clientes o interrumpir servicios en producción.

Tiempo de respuesta

Nuestro compromiso con quienes reportan:

• Acuse de recibo en un plazo de 3 días hábiles.
• Evaluación inicial y clasificación de severidad en un plazo de 10 días hábiles.
• Corrección y aviso de finalización en un plazo de 90 días (salvo complejidad excepcional, comunicada al reportante).
• Reconocimiento público (si el reportante lo autoriza) tras la corrección.

Los informes de buena fe reciben respuesta incluso si están fuera del alcance; informaremos el motivo y, cuando sea posible, redirigiremos al responsable.

Clave PGP

Para informes que contengan información sensible, utilice nuestra clave PGP disponible en https://nyverra.com.br/.well-known/security.txt o solicítela por correo electrónico. La huella digital se publicará en este mismo archivo cuando esté disponible.

Programa de recompensas

Actualmente, Nyverra no mantiene un programa de bug bounty con recompensa financiera. Los informes de calidad se reconocen públicamente (con autorización) en nuestra página de agradecimientos. Las empresas que realicen pentests comerciales o escaneos no autorizados deben contactar a [email protected] antes de iniciar cualquier actividad.