Seguridad — Portal RH

En Portal RH, la seguridad no es una característica opcional — es la base de todo lo que construimos. A continuación detallamos las medidas que implementamos para proteger la información de tu organización.

Cifrado en tránsito

Todas las comunicaciones usan TLS 1.2 o superior. Ningún dato viaja sin cifrar.

Cifrado en reposo

La base de datos y los backups están cifrados en disco con AES-256.

Aislamiento por empresa

Cada empresa opera en un subdominio propio con datos completamente aislados.

Backups automáticos

Respaldos diarios automáticos con retención de 30 días y restauración probada.

Autenticación y control de acceso

Portal RH implementa controles estrictos sobre quién puede acceder a cada recurso:

Las contraseñas se almacenan con hash bcrypt — nunca en texto plano.
Las sesiones expiran automáticamente tras un período de inactividad.
El sistema aplica control de acceso basado en roles (RBAC): administrador, supervisor y empleado, cada uno con permisos diferenciados.
Cada empresa solo puede ver y operar con sus propios datos — es técnicamente imposible acceder a datos de otra organización.

Infraestructura y disponibilidad

Portal RH se aloja en infraestructura de nube de nivel empresarial:

Vercel para el frontend y API — CDN global, auto-scaling, protección DDoS incluida.
PostgreSQL gestionado con alta disponibilidad y réplicas automáticas.
Actualizaciones de seguridad del sistema operativo y dependencias aplicadas regularmente.
Objetivo de disponibilidad: 99.9% mensual.

Gestión de acceso interno

El acceso del equipo de Portal RH a los sistemas de producción es:

Restringido al mínimo personal necesario (principio de mínimo privilegio).
Auditado con registros de actividad.
Protegido con autenticación multifactor (MFA) en todas las cuentas administrativas.

Ningún miembro del equipo accede a datos de clientes sin una solicitud de soporte explícita y autorizada.

Correo electrónico transaccional

Los correos enviados desde Portal RH (notificaciones, aprobaciones, alertas) utilizan el servicio Resend con dominio verificado y registros SPF, DKIM y DMARC activos, lo que garantiza autenticidad y reduce riesgo de suplantación.

Responsabilidad compartida

La seguridad es una responsabilidad compartida. Portal RH protege la infraestructura y los datos en tránsito y en reposo. A su vez, la empresa cliente es responsable de:

Mantener contraseñas seguras y no compartirlas.
Desactivar cuentas de empleados que abandonen la organización.
Reportar accesos sospechosos o incidentes de seguridad de forma oportuna.

Reportar una vulnerabilidad

Si descubres un problema de seguridad en Portal RH, te pedimos reportarlo de forma responsable escribiendo a info@portal-hr.com. Nos comprometemos a responder en un plazo máximo de 48 horas hábiles y a reconocer públicamente las contribuciones responsables.