bungaflow
Cómo funcionaPreciosIntegraciones
Iniciar sesiónEmpieza

Plan de respuesta a incidentes

Ultima actualizacion: 25 de marzo de 2026

1. Proposito y alcance

Este plan describe como Bungaflow (operado por Redor AS) detecta, responde y se recupera de incidentes de seguridad y violaciones de datos personales.

Se aplica a todos los sistemas, datos y personal involucrado en la operacion de la plataforma Bungaflow.

2. Definiciones

  • Incidente de seguridad: Cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de la plataforma Bungaflow o sus datos.
  • Violacion de datos personales: Una brecha de seguridad que provoque la destruccion, perdida, alteracion, divulgacion o acceso no autorizado a datos personales (RGPD Art. 4(12)).
  • Niveles de gravedad: S1 Critico, S2 Mayor, S3 Menor (segun se definen en nuestro SLA).

3. Deteccion y notificacion

  • Monitorizacion automatizada: Seguimiento de errores (Sentry), monitorizacion de disponibilidad, analisis de seguridad CI/CD (Gitleaks, Dependabot).
  • Registro: Registros de actividad para todas las modificaciones de datos en la aplicacion.
  • Notificacion interna: Los miembros del equipo informan inmediatamente los incidentes sospechosos al responsable de incidentes.
  • Notificacion externa: Los usuarios pueden informar problemas de seguridad a security@bungaflow.com.
  • Divulgacion responsable: Agradecemos a los investigadores de seguridad que informen vulnerabilidades de manera responsable.

4. Clasificacion de incidentes

NivelImpactoEjemplos
S1 CriticoViolacion de datos con exposicion de datos personales, interrupcion total del servicio, explotacion activaFuga de base de datos, compromiso de credenciales, ransomware
S2 MayorDegradacion parcial del servicio, exposicion potencial de datos, vulnerabilidad de alto riesgoEvasion de autenticacion, vulnerabilidad de inyeccion, interrupcion parcial
S3 MenorImpacto limitado, sin exposicion de datos, vulnerabilidad de bajo riesgoDivulgacion de informacion (no personal), error de configuracion menor

5. Procedimientos de respuesta

Fase 1: Identificacion (0–1 hora)

  • Confirmar que el incidente es real (no un falso positivo)
  • Clasificar el nivel de gravedad
  • Asignar un responsable de incidente
  • Comenzar la documentacion en el registro de incidentes

Fase 2: Contencion (1–4 horas para S1/S2)

  • Corto plazo: aislar los sistemas afectados (revocar accesos, bloquear IP, desactivar funcionalidades)
  • Preservar evidencia (registros, capturas)
  • Evaluar el radio de impacto (que datos/usuarios afectados)

Fase 3: Erradicacion (4–24 horas para S1/S2)

  • Eliminar la causa (parchear vulnerabilidad, rotar credenciales, actualizar dependencias)
  • Verificar la correccion con revision de seguridad
  • Desplegar a traves del pipeline CI/CD con verificaciones automatizadas

Fase 4: Recuperacion (24–48 horas para S1/S2)

  • Restaurar las operaciones normales
  • Monitorizar posibles recurrencias
  • Verificar la integridad de los datos

Fase 5: Revision post-incidente (dentro de 5 dias laborables)

  • Analisis de causa raiz
  • Cronologia de eventos
  • Que funciono bien, que puede mejorar
  • Acciones correctivas y medidas preventivas
  • Actualizar este plan si es necesario

6. Notificacion de violacion RGPD

De acuerdo con los articulos 33 y 34 del RGPD:

A la autoridad de control (AEPD)

Dentro de las 72 horas siguientes al conocimiento, salvo que la violacion no suponga un riesgo para las personas. La notificacion incluye: naturaleza de la violacion, categorias y numero aproximado de afectados, datos de contacto, consecuencias probables, medidas adoptadas.

A los interesados afectados

Sin dilacion indebida cuando la violacion suponga un alto riesgo para los derechos y libertades de las personas. En lenguaje claro describiendo: naturaleza de la violacion, datos de contacto, consecuencias probables, medidas adoptadas y recomendaciones.

A los responsables del tratamiento

Si Bungaflow trata datos en nombre de un responsable del tratamiento (ver nuestro Acuerdo de tratamiento de datos), el responsable es notificado dentro de las 48 horas.

7. Comunicacion

  • Interna: El responsable de incidente coordina toda la comunicacion interna.
  • Clientes afectados: Notificacion directa por correo electronico para incidentes S1/S2 que afecten sus datos.
  • Publico: Actualizacion de la pagina de estado para incidentes que afecten al servicio.
  • Medios: Todas las consultas de medios se dirigen a contact@bungaflow.com.
  • Sin divulgacion de detalles tecnicos que puedan facilitar una explotacion posterior.

8. Medidas de seguridad vigentes (preventivas)

  • Cifrado: TLS en transito, AES-256-GCM para campos sensibles en reposo.
  • Autenticacion: Supabase Auth con OAuth y magic links (sin contrasenas almacenadas).
  • Autorizacion: Control de acceso basado en roles (Admin/Lite) con verificacion del lado del servidor.
  • Cabeceras: HSTS, X-Frame-Options, Content-Security-Policy.
  • CI/CD: Linting automatizado, verificacion de tipos, verificacion de build y escaneo de secretos (Gitleaks) en cada cambio de codigo.
  • Dependencias: Escaneo automatico de vulnerabilidades via Dependabot.
  • Minimizacion de datos: Solo se recopilan los datos necesarios, eliminacion en cascada al eliminar la cuenta.
  • Verificacion de subencargados: Todos los subencargados cuentan con DPA y certificaciones de seguridad (SOC 2 Type II, ISO 27001).

Para mas detalles, consulta nuestra Politica de privacidad.

9. Roles y responsabilidades

  • Responsable de incidente: Coordina la respuesta, toma decisiones de contencion, comunica con las partes interesadas.
  • Equipo de desarrollo: Implementa correcciones tecnicas, despliega parches.
  • Proteccion de datos: Evalua las implicaciones RGPD, gestiona las notificaciones a las autoridades.

Contacto: security@bungaflow.com

10. Revision y actualizaciones

  • Este plan se revisa al menos una vez al ano.
  • Se actualiza despues de cada incidente S1/S2 basandose en las lecciones aprendidas.
  • Todos los miembros del equipo conocen este plan.