Seguridad.

Wave Design S.A. de C.V., propietaria de la plataforma PaperworkLab®, marca de CEFEM, declara su compromiso con la confidencialidad, integridad y disponibilidad de la información de nuestros clientes y usuarios. Esta política aplica a todos los empleados, contratistas, proveedores y sistemas que tratan datos del servicio.

La Dirección General de Wave Design aprueba esta política y asigna responsabilidades. El Responsable de Seguridad de la Información (CISO)coordina la operación de los controles, supervisa incidentes y reporta trimestralmente al Comité de Riesgos.

Cualquier empleado puede reportar vulnerabilidades o incidentes a security@paperworklab.com.

• Autenticación multifactor (MFA TOTP) obligatoria para roles administrativos.
• Bcrypt cost 12 para hash de contraseñas (OWASP 2026).
• Lockout tras 5 intentos fallidos (15 min) + rate-limit IP (10 intentos/5 min).
• Modelo RBAC con 11 roles granulares (cliente · CEFEM interno · operador).
• Aislamiento multi-tenant mediante Row-Level Security en PostgreSQL.
• API authentication vía OAuth 2.0 RFC 6749 o API keys con prefijo público + hash bcrypt.
• Sesiones JWT con expiración de 30 días, renovación automática.

• AES-256-GCM at-rest para documentos sensibles (IV 12-byte aleatorio + TAG 16-byte de autenticación).
• TLS 1.3 obligatorio en tránsito + HSTS preload (1 año).
• HMAC-SHA256 firmado en webhooks salientes.
• Claves rotables anualmente y almacenadas exclusivamente en variables de entorno cifradas.
• Server-side encryption AES256 en almacenamiento S3 (cuando aplica).

• Bitácora inmutable de accesos y operaciones críticas (16 tipos de eventos auditables).
• Retención de auditoría: 13 meses (mínimo LFPDPPP: 12 meses).
• Logging estructurado con Sentry opcional + JSON a stderr.
• Healthcheck público en /api/health para monitoreo externo.
• Backups automáticos diarios de Postgres con retención de 30 días.
• Pruebas de restauración trimestrales.

• HTTPS forzado vía HSTS · cookies con flags Secure, HttpOnly, SameSite=Lax.
• Content Security Policy estricta: default-src 'self' · frame-ancestors 'none' · object-src 'none'.
• X-Frame-Options: DENY · X-Content-Type-Options: nosniff.
• Referrer-Policy: strict-origin-when-cross-origin.
• Permissions-Policy restrictiva (sin camera/microphone/geolocation/payment).

• Pipeline CI con typecheck estricto + validación de schema + build (en cada commit).
• Revisión de dependencias con npm audit en CI.
• Validación de entrada con Zod en todos los endpoints de mutación.
• Prisma ORM con consultas parametrizadas (zero SQL raw).
• Storage hardening: allowlist MIME/extensión, max 25MB, path-traversal protection.
• Code review obligatorio antes de merge a main (para repos con más de 1 desarrollador).

SLA de respuesta a incidentes de seguridad:

• Severidad CRÍTICA (compromiso de datos): contención en 4 horas · notificación al cliente y autoridad (INAI) en 72 horas conforme a LFPDPPP.
• Severidad ALTA (vulnerabilidad explotable): mitigación en 24 horas · parche en 7 días.
• Severidad MEDIA: parche en 30 días.
• Severidad BAJA: backlog priorizado.

Reporte responsable de vulnerabilidades: security@paperworklab.com. Agradecemos la divulgación responsable; no perseguimos legalmente investigaciones de buena fe.

• Backups diarios automáticos de la base de datos con retención de 30 días.
• Almacenamiento documental en volumen persistente o S3-compatible con replicación.
• RTO (Recovery Time Objective): 4 horas para incidentes mayores.
• RPO (Recovery Point Objective): 24 horas máximo de pérdida de datos.
• Plan de Continuidad de Negocio revisado semestralmente.

• LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares - México).
• OWASP Top 10 2021 · controles preventivos implementados.
• ISO 27001:2022 · alineación de controles (sin certificación formal actual).
• NIST CSF v2 · framework de referencia para identificación, protección, detección, respuesta y recuperación.
• Código Fiscal de la Federación · retención de información fiscal (5 años).
• Auditoría externa anual planeada conforme escalamos clientes corporativos.

Publicamos los siguientes documentos para transparencia con nuestros clientes:

• Aviso de Privacidad LFPDPPP
• Términos del Servicio
• Política de Cookies
• Status page público (próximamente): status.paperworklab.com

Bajo NDA, podemos compartir con clientes corporativos:

• Reporte SOC 2 Type II (en curso · 2026 Q4).
• Resultados de pentests externos.
• Matriz detallada de controles ISO 27001.
• Plan de Continuidad de Negocio.