PaQva logo
PaQva

Seguridad y confianza

Postura de seguridad

Cómo protegemos nuestros sistemas y cómo protegemos los de nuestros clientes.

Solicitar security reviewVer servicios

Principios

Cómo diseñamos seguridad

Principios base que guían nuestro stack interno y el trabajo con clientes.

Mínimo privilegio por defecto

Defensa en profundidad en identidad, red y aplicación

Configuraciones secure-by-default con excepciones revisadas

Auditabilidad con cambios trazables y approvals

Preparación de recuperación con restores probados y runbooks

Controles internos

Cómo operamos internamente

Controles operativos que ejecutamos en PaQva con evidencia y cadencia.

Con evidencia

Identidad y Accesos

MFA/2FA en superficies admin, roles acotados y SSO cuando aplica.

  • RBAC para consolas, código y datos con revisiones trimestrales
  • MFA con hardware o app para administradores
  • Cuentas de servicio con mínimo privilegio y rotación documentada
Frecuencia: Revisiones trimestrales de accesoEvidencia: Logs de auditoría, registros de revisión

Backups y Recuperación

Backups cifrados con RPO/RTO claros y pruebas de restore.

  • Backups diarios cifrados para sistemas clave; retención por criticidad
  • RPO/RTO documentados con seguimiento de variaciones
  • Pruebas de restauración trimestrales con evidencia
Frecuencia: Pruebas de restore trimestralesEvidencia: Reportes de restore, tableros de backups

Endpoints y Parches

Actualizaciones gestionadas, EDR/AV y hardening base.

  • Ventanas de parches de OS y navegador con oleadas
  • Alertas de EDR/AV triageadas con playbooks
  • Hardening base en laptops/servidores (cifrado de disco, bloqueo de pantalla)
Frecuencia: Ventanas semanales de parchesEvidencia: Reportes de parches, cobertura EDR

Monitoreo y Logging

Alertas centralizadas con retención ajustada a riesgo y cumplimiento.

  • Alertas de salud y seguridad con severidades documentadas
  • Retención de logs por criticidad; sincronización de reloj
  • Runbooks vinculados en alertas para responder más rápido
Frecuencia: Monitoreo continuoEvidencia: Historial de alertas, retención de logs

Gestión de Cambios

Revisiones y approvals para código, infraestructura y accesos.

  • Revisión entre pares para cambios de infraestructura y app
  • Rollback y ventanas de mantenimiento documentadas
  • Elevación de accesos con registro y expiración
Frecuencia: Por cambioEvidencia: Pull requests, tickets de cambio

Respuesta a Incidentes

Playbooks, roles y comunicaciones listas para contener y recuperar.

  • Roles definidos para comando, comunicaciones y forense
  • Tabletops de escenarios críticos (trimestrales)
  • Plantillas de comunicación a clientes y stakeholders
Frecuencia: Tabletops trimestralesEvidencia: Notas de drills, playbooks

Controles para clientes

Controles que recomendamos a clientes

Dimensionados según industria, tamaño y stack.

Adaptamos los controles al tamaño, industria y stack existente.

MFA y política de contraseñas

Enforce de MFA, gestores de contraseñas y roles admin acotados.

Estrategia de backups con restores

Definir RPO/RTO por sistema; probar restores con cadencia.

Cumplimiento de dispositivos

Hardening base, cifrado de disco y cobertura EDR.

Vulnerability scanning

Escaneo ligero con priorización y SLAs de parcheo.

Seguridad de email

Controles anti-phishing, DMARC/SPF/DKIM y reporte de usuarios.

Políticas de firewall y accesos

Mínimo privilegio en redes, VPN/zero trust donde aplique.

Mínimo privilegio en apps

RBAC, API keys acotadas y offboarding disciplinado.

Concientización en seguridad

Entrenamientos cortos y drills de phishing con métricas.

Plan 90 días

Plan típico de 90 días

Secuenciado para quick wins, hardening, monitoreo y handoff.

Cadencia de roadmap

Semanas 1-2

Baseline + quick wins

  • Inventario de accesos y activos; MFA base
  • Verificación de backups y restores críticos
  • Revisiones de seguridad de email (DMARC/SPF/DKIM)

Semanas 3-6

Hardening + monitoreo

  • Hardening de endpoints y SLAs de parches
  • Logging y rutas de alertas con owners
  • Escaneo de vulnerabilidades con lista de remediación

Semanas 7-10

Auditorías + drills

  • Revisión de accesos y limpieza de mínimo privilegio
  • Prueba de restore con verificación de RPO/RTO
  • Tabletop o drill de phishing con acciones

Semanas 11-12

Documentación + handoff

  • Runbooks y rutas de escalamiento
  • Métricas y plan del siguiente trimestre
  • Handoff con owners y KPIs

Certificaciones

Certificaciones y credenciales

Sin claims sin verificación. Transparencia de estado y evidencia bajo NDA.

Certificaciones o atestaciones se comparten o validan bajo NDA.

Seguimos frameworks de la industria solo como guía (no como certificación).

SOC 2

Planificado

No certificado; mapeo de controles disponible bajo solicitud.

ISO 27001

Planificado

No certificado; roadmap disponible bajo solicitud.

Alineación CIS Controls / NIST CSF

En progreso

Alineación de prácticas; no implica certificación.

Cuestionarios de seguridad de clientes

En progreso

Se completan bajo solicitud con evidencia.

Certificaciones disponibles bajo solicitud

Compartimos cuestionarios o atestaciones con evidencia bajo NDA.

Solicitar security review

Políticas

Políticas y documentos (a pedido)

Se comparten bajo NDA; no se publican en abierto.

  • Security overview (bajo NDA)
  • Resumen de respuesta a incidentes
  • Resumen de política de Backups/DR
  • Procedimiento de revisión de accesos

FAQ

FAQ de seguridad

Respuestas claras sin promesas absolutas.