Fordrax
Security
 ← Inicio← Home
Enterprise Security

Seguridad por diseño, no por remiendo.by design, not by patch.

Cada decisión de arquitectura en Fordrax pasa por un filtro de seguridad primero. Este es el detalle público de nuestras prácticas — para CISOs que necesitan firmar RFPs con rigor.Every architectural decision at Fordrax passes through a security filter first. This is the public detail of our practices — for CISOs who need to sign RFPs with rigor.

3 pilares fundacionales3 foundational pillars
🔐
Encriptación end-to-endEnd-to-end encryption
TLS 1.3 en tránsito, AES-256 en reposo. Claves rotadas trimestralmente. Zero data almacenada en texto plano.TLS 1.3 in transit, AES-256 at rest. Keys rotated quarterly. Zero data stored in plaintext.
👥
Least Privilege Access
Row-level security en la DB. JWT short-lived. MFA obligatorio. Auditoría completa de accesos.Row-level security in the DB. Short-lived JWT. Mandatory MFA. Complete access auditing.
📊
Observability completaFull observability
Logs estructurados con retención 12 meses. SIEM correlacionando eventos. Alertas en < 60 segundos.
Controles técnicos en producciónTechnical controls in production
HTTPS obligatorio con HSTS 1 añoMandatory HTTPS with 1-year HSTS
Redirect permanente HTTP → HTTPS. HSTS max-age=31536000; includeSubDomains
TLS 1.3
Content Security Policy estrictaStrict Content Security Policy
CSP con default-src 'self', whitelisting explícito de CDNs, bloqueo de object-src, form-action controlado.
CSP Level 3
Row Level Security (RLS) en la base de datosRow Level Security (RLS) in the database
Cada tabla tiene políticas RLS explícitas. Anon solo puede INSERT con CHECK constraints. SELECT únicamente a emails autorizados vía JWT claims.
PostgreSQL RLS
Rate limiting por IP en Edge FunctionsPer-IP rate limiting on Edge Functions
Máximo 3 requests/minuto por IP. Origin allowlist explícito. Honeypot invisible para detectar bots.
Anti-abuse
Input validation + HTML escape
Todos los campos del lead form pasan por clamp de longitud, whitelist de valores, email regex estricto. HTML escape antes de renderizar en emails (anti email-injection XSS).
OWASP Top 10
Separation of secrets
Service role keys nunca tocan el bundle del frontend. Guard en build script aborta el ZIP si detecta un secret. Secrets en variables de entorno server-only, gitignored en repo.
Zero Trust
Security headers completosComplete security headers
X-Frame-Options, X-Content-Type-Options, Referrer-Policy strict, Permissions-Policy deny camera/mic/geo/payment/usb/FLoC, CORS whitelist específico por dominio.
9 headers
Magic link auth para adminMagic link auth for admin
Admin dashboard solo accesible vía magic link a emails específicamente whitelisteados. OTP caduca en 1 hora, single-use. JWT + refresh token rotation.
Passwordless
SMTP con STARTTLS + App PasswordsSMTP with STARTTLS + App Passwords
Comunicación SMTP via Gmail Workspace con STARTTLS en puerto 587. App passwords rotables. Sin credenciales de cuenta principal expuestas.
TLS + 2FA
Error messages sin stack leaksError messages without stack leaks
Nunca se devuelve información técnica al cliente. Errores internos se loguean server-side con request ID; cliente recibe código genérico.
Defense in depth
Compliance · Estado actualCompliance · Current status
✓ ACTIVE
LFPDPPP
México · Aviso de Privacidad publicadoMexico · Privacy Notice published
✓ ACTIVE
GDPR-ready
UE · Cookies + consentEU · Cookies + consent
⟳ IN PROGRESS
SOC 2 Type II
Expected Q3 2026
⟳ IN PROGRESS
ISO 27001
Assessment Q4 2026
✓ ACTIVE
OWASP Top 10
Controles implementadosControls implemented
✓ ACTIVE
NIST 800-207
Zero Trust alineadoZero Trust aligned
Respuesta a incidentesIncident response

En caso de detectar un incidente de seguridad que afecte los datos de nuestros clientes:If we detect a security incident affecting our customers' data:

  1. Contención inmediataImmediate containment — aislamiento del sistema comprometido en < 30 minutos
  2. Notificación a clientes afectadosNotification to affected customers — dentro de las 24h siguientes
  3. Notificación al INAINotification to INAI si aplica bajo LFPDPPP Art. 20 — dentro del plazo legal
  4. Post-mortem públicoPublic post-mortem — análisis de causa raíz y plan de remediación publicados
  5. Mejora del sistemaSystem improvement — regla auto-blindada agregada para que el mismo vector nunca se repita

¿Encontraste una vulnerabilidad?Found a vulnerability?

Tenemos política de responsible disclosure. Reportes válidos se reconocen públicamente y compensamos según severidad.We have a responsible disclosure policy. Valid reports are publicly acknowledged and compensated based on severity.

Reportar vulnerabilidadReport a vulnerability