Kompunik
PreciosIniciar sesión

Seguridad y protección de datos

Última actualización: 16 de marzo de 2026

AVISO DEL PROGRAMA BETA Este documento se aplica al Programa Beta de Kompunik, un piloto de investigación gratuito y solo por invitación, operado por Joss Gillet (Fundador de Kompunik). Este es un prototipo experimental sin garantía de servicio.

Descripción General de Seguridad

Fecha de entrada en vigor: 1 de enero de 2026

Última actualización: 1 de enero de 2026

En Kompunik, la seguridad de sus datos y la integridad de nuestra plataforma son fundamentales en todo lo que construimos. El presente documento ofrece una visión general de las medidas de seguridad técnicas y organizativas que hemos implementado para proteger a nuestros usuarios, sus datos y la experiencia de aprendizaje.

1. Autenticación y Control de Acceso

Empleamos un sistema de autenticación multicapa para garantizar que solo los usuarios autorizados puedan acceder a la plataforma y a sus funcionalidades.

1.1 Marco de Autenticación

  • Auth.js v5 con estrategia JWT (JSON Web Token) proporciona una autenticación segura y sin estado
  • Autenticación por correo electrónico y contraseña con cifrado hash de contraseñas mediante bcrypt
  • Inicio de sesión único (SSO) mediante Google Workspace y Microsoft Entra ID para usuarios de organizaciones, utilizando los protocolos estándar OAuth 2.0 / OpenID Connect
  • Los tokens de sesión se almacenan en cookies seguras, HttpOnly y SameSite para prevenir ataques entre sitios

1.2 Autenticación Multifactor (MFA)

  • OTP por correo electrónico (contraseña de un solo uso): Activado por defecto para todos los usuarios de cuentas personales. Se envía un código de verificación de tiempo limitado a su dirección de correo electrónico registrada durante el inicio de sesión.
  • TOTP (contraseña de un solo uso basada en el tiempo): Soporte opcional para aplicaciones de autenticación (por ejemplo, Google Authenticator, Authy) para una mayor seguridad, con códigos de recuperación de respaldo
  • Política MFA de la organización: Los administradores de la organización pueden exigir MFA a todos los usuarios de su organización y configurar qué métodos MFA están permitidos

1.3 Control de Acceso Basado en Roles

  • Cuatro roles diferenciados con permisos graduales: Estudiante, Gestor, Administrador de la Organización y Superadministrador
  • Aplicación del control de acceso a nivel de ruta en el middleware, que garantiza que los usuarios solo puedan acceder a las páginas y funcionalidades apropiadas para su rol
  • Protección de los endpoints de la API con verificación del rol en cada acción del servidor

1.4 Gestión de Sesiones

  • Tokens JWT con expiración configurable y lógica de renovación
  • Atributos de cookies seguros (HttpOnly, Secure, SameSite=Lax) para prevenir el secuestro de sesiones y ataques CSRF
  • Limitación de frecuencia en los endpoints de autenticación para prevenir ataques de fuerza bruta (5 intentos por 15 minutos por correo electrónico)

2. Cifrado de Datos

Todos los datos están cifrados tanto en tránsito como en reposo para protegerlos contra el acceso no autorizado.

2.1 Cifrado en Tránsito

  • Se aplica TLS 1.2 o superior en todas las conexiones entre los usuarios y la plataforma
  • HTTPS es obligatorio; las conexiones HTTP se redirigen automáticamente
  • Las cabeceras HTTP Strict Transport Security (HSTS) están configuradas para prevenir ataques de degradación del protocolo

2.2 Cifrado en Reposo

  • Cifrado AES-256 para todos los datos almacenados en MongoDB Atlas
  • Copias de seguridad automatizadas y cifradas gestionadas por la infraestructura de MongoDB Atlas
  • El contenido multimedia en DigitalOcean Spaces está cifrado en reposo mediante cifrado del lado del servidor

2.3 URLs Firmadas para Contenido Multimedia

  • Las pistas de audio, vídeos, imágenes y certificados se entregan mediante URLs firmadas con tiempo limitado con una expiración de una (1) hora
  • Las URLs firmadas se generan en el servidor y no pueden compartirse ni reutilizarse tras su expiración
  • La protección contra hotlinking valida las cabeceras de origen y referencia de la solicitud

3. Privacidad y Tratamiento de Datos

La privacidad está integrada en el diseño de la plataforma y no se trata como un aspecto secundario.

3.1 Cumplimiento del RGPD

  • Pleno cumplimiento del Reglamento General de Protección de Datos (RGPD) para todos los interesados de la UE
  • El tratamiento de datos se basa en fundamentos jurídicos claros: ejecución del contrato, interés legítimo y consentimiento explícito
  • Los usuarios pueden ejercer sus derechos sobre los datos (acceso, rectificación, supresión, portabilidad) en cualquier momento

3.2 Privacidad por Defecto

  • Los perfiles de usuario son privados por defecto: ninguna información personal es visible para otros usuarios salvo que se active expresamente
  • Los perfiles públicos, tarjetas para compartir y la visibilidad comunitaria son funcionalidades de activación voluntaria
  • Respuestas 404 que preservan la privacidad para perfiles inexistentes o privados (sin enumeración de usuarios)

3.3 Comunicación de Datos Basada en el Consentimiento

  • Las funcionalidades comunitarias (publicaciones, comentarios, círculos, retos) requieren una participación activa
  • Las funcionalidades de comparación entre pares requieren la aceptación explícita tanto de la organización como del usuario
  • La configuración del avatar y la visibilidad del perfil son granulares y controladas por el usuario

3.4 Sin Seguimiento de Terceros

  • Sin servicios de análisis de terceros (sin Google Analytics, Mixpanel u otros similares)
  • Sin cookies publicitarias ni tecnologías de seguimiento entre sitios
  • Sin venta de datos a anunciantes, intermediarios de datos ni terceros
  • Todos los análisis se calculan internamente a partir de nuestra propia base de datos, utilizando datos anonimizados y agregados

3.5 Derecho de Supresión

  • Los usuarios pueden solicitar la eliminación completa de su cuenta
  • Los datos de la cuenta se purgan en el plazo de 30 días desde la solicitud de eliminación
  • Los registros financieros se conservan durante 7 años conforme a la legislación francesa

4. Infraestructura y Alojamiento

Nuestra infraestructura está diseñada para garantizar la fiabilidad, la seguridad y la protección de los datos.

4.1 Base de Datos

  • Base de datos alojada en la nube MongoDB Atlas con copias de seguridad automatizadas, recuperación en un punto en el tiempo y cifrado a nivel de clúster
  • Infraestructura certificada SOC 2 Tipo II
  • El acceso a la base de datos está restringido a cuentas de servicio de la aplicación con permisos de privilegio mínimo

4.2 Almacenamiento de Contenido

  • DigitalOcean Spaces (almacenamiento de objetos compatible con S3) para archivos multimedia, certificados y activos cargados
  • Cifrado del lado del servidor en reposo
  • Acceso controlado mediante URLs firmadas con expiración temporal

4.3 Alojamiento de la Aplicación

  • Aplicación Next.js con entorno de ejecución Node.js
  • El aislamiento de variables de entorno garantiza que los secretos nunca se expongan al código del lado del cliente
  • Separación en tiempo de compilación y ejecución del código del servidor y del cliente

4.4 Copias de Seguridad Automatizadas

  • Las copias de seguridad de la base de datos están automatizadas y cifradas por MongoDB Atlas
  • Capacidad de recuperación en un punto en el tiempo para la recuperación ante desastres
  • El contenido multimedia se almacena de forma redundante en DigitalOcean Spaces con replicación integrada

5. Seguridad de la Aplicación

La aplicación se ha desarrollado con prácticas de desarrollo centradas en la seguridad en todas las capas.

5.1 Validación de Entradas

  • Todas las entradas de los usuarios se validan en el lado del servidor antes de ser procesadas
  • Verificación estricta de tipos con TypeScript en toda la base de código
  • Las cargas de archivos se validan en cuanto a tipo, tamaño y contenido (incluida la sanitización de SVG para eliminar scripts maliciosos)

5.2 Sanitización de Contenido

  • El contenido generado por los usuarios (publicaciones comunitarias, comentarios) se renderiza como texto plano utilizando la protección XSS integrada de React
  • El contenido del blog (creado por administradores) se sanitiza mediante sanitize-html con una lista blanca estricta de etiquetas HTML seguras
  • Las cargas de SVG se procesan mediante un sanitizador dedicado que elimina scripts, gestores de eventos y objetos foráneos

5.3 Seguridad de la Base de Datos

  • Solo consultas parametrizadas: todas las consultas de MongoDB utilizan filtros parametrizados, eliminando por completo las vulnerabilidades de inyección
  • Sin uso de $where, eval() ni construcción dinámica de consultas
  • Las operaciones de base de datos están encapsuladas en funciones dedicadas de la capa de acceso a datos

5.4 Limitación de Frecuencia

  • Se aplica limitación de frecuencia en todos los endpoints sensibles:
    • Inicio de sesión: 5 intentos por 15 minutos por correo electrónico
    • Registro: 5 intentos por hora por correo electrónico
    • Restablecimiento de contraseña: 3 intentos por 15 minutos
    • Endpoints de la API: límites configurables por ruta
    • Funcionalidades asistidas por IA: presupuestos diarios por usuario
  • Las cabeceras de limitación de frecuencia (X-RateLimit-Remaining, X-RateLimit-Reset) informan a los clientes de su cuota restante

5.5 Cabeceras de Seguridad

  • Content Security Policy (CSP): Restringe las fuentes de scripts, estilos, imágenes y conexiones a orígenes de confianza
  • X-Content-Type-Options: nosniff para prevenir la confusión de tipos MIME
  • X-Frame-Options: SAMEORIGIN para prevenir el clickjacking
  • Referrer-Policy: strict-origin-when-cross-origin para limitar la fuga de información del referente
  • Permissions-Policy: Restringe el acceso a las APIs sensibles del navegador

5.6 Protección CSRF

  • Las acciones del servidor cuentan con protección CSRF integrada a través de los mecanismos del framework Next.js
  • El atributo de cookie SameSite=Lax previene la falsificación de solicitudes entre sitios
  • Las rutas de la API están protegidas por autenticación y verificación de roles

6. Aislamiento de Inquilinos de Organizaciones

Las organizaciones en la plataforma operan en entornos aislados para prevenir la fuga de datos entre inquilinos.

6.1 Aislamiento de Datos

  • Todas las consultas de base de datos para datos de organizaciones incluyen el identificador de la organización como filtro obligatorio
  • Los usuarios solo pueden acceder a los datos pertenecientes a su propia organización
  • El acceso a datos entre organizaciones se previene a nivel de consulta de base de datos

6.2 Control de Acceso

  • Las puertas de acceso por roles en el middleware garantizan que los usuarios solo puedan acceder a las rutas apropiadas para su organización y rol
  • Los administradores de la organización solo pueden gestionar usuarios y configuraciones dentro de su propia organización
  • La visibilidad de los gestores se limita a sus equipos asignados (los gestores solo ven a los estudiantes de su equipo)

6.3 Aislamiento de Imagen de Marca

  • La imagen de marca de la organización (logotipos, nombres para mostrar) tiene un alcance por organización
  • La imagen de marca personalizada no afecta a otras organizaciones ni a la experiencia global de la plataforma
  • Los activos de marca cargados se almacenan en rutas específicas de cada organización

6.4 Aislamiento de la Comunidad

  • Los espacios comunitarios de la organización están completamente separados de la comunidad global
  • Las publicaciones, círculos, retos y salas de práctica creados en un espacio de organización solo son visibles para los miembros de dicha organización
  • Las funcionalidades comunitarias de la organización pueden ser activadas o desactivadas por el administrador de la organización

6.5 Gestión de Contratos y Puestos

  • Las condiciones del contrato y las asignaciones de puestos se gestionan por organización
  • Las asignaciones de puestos se validan contra los límites del contrato con operaciones atómicas de base de datos para prevenir la sobreasignación
  • Los cambios en los puestos activan las modificaciones de acceso correspondientes (períodos de gracia, actualizaciones de inscripción)

7. Moderación de Contenido

El contenido comunitario se modera a través de un sistema integral de seis capas para mantener un entorno seguro y respetuoso.

7.1 Sistema de Moderación

  1. Limitación de frecuencia: Previene la publicación rápida y el spam
  2. Sanitización de HTML: Elimina cualquier marcado HTML y posibles vectores XSS de la entrada del usuario
  3. Normalización de texto: Normaliza el texto para detectar técnicas de evasión (homoglifos, lenguaje leet, caracteres de ancho cero)
  4. Comparación con listas de bloqueo: Verifica el contenido contra listas de bloqueo de términos prohibidos específicas por idioma
  5. Clasificación por IA: El contenido se analiza mediante la API de Moderación de OpenAI para detectar discurso de odio, violencia, acoso y otras categorías de contenido perjudicial
  6. Revisión humana: El contenido marcado se dirige a la cola de moderación del administrador para su revisión manual

7.2 Marcado Automatizado

  • El contenido que activa los umbrales de la lista de bloqueo o de la clasificación por IA se retiene automáticamente para su revisión
  • Los usuarios reciben comentarios claros cuando su contenido requiere modificaciones

7.3 Denuncia y Revisión

  • Todos los usuarios pueden denunciar contenido o comportamiento mediante un sistema de denuncia estructurado con categorías de motivos predefinidas
  • Las denuncias se rastrean y se escalan cuando se reciben múltiples denuncias sobre el mismo contenido
  • Los administradores tienen acceso a una cola de moderación dedicada con herramientas de filtrado y acción

7.4 Diseño de Fallo Abierto

  • Si el servicio de moderación por IA no está disponible temporalmente, el contenido se permite para evitar la interrupción del servicio
  • La moderación automatizada se complementa con las denuncias de la comunidad para detectar cualquier contenido que eluda los controles automatizados

8. Seguridad de los Pagos

Las transacciones financieras se gestionan con los más altos estándares de seguridad a través de nuestra asociación con Stripe.

8.1 Cumplimiento PCI-DSS

  • Todo el procesamiento de pagos lo gestiona Stripe, que cuenta con la certificación PCI-DSS Nivel 1 (el nivel más alto de certificación de seguridad de pagos)
  • Kompunik nunca recibe, procesa ni almacena números de tarjetas de crédito, CVV ni datos completos de medios de pago en sus servidores
  • Los datos de las tarjetas de pago se introducen directamente en los elementos de pago seguros de Stripe

8.2 Seguridad de Webhooks

  • Los eventos de webhook de Stripe se verifican mediante validación de firma criptográfica antes de su procesamiento
  • La deduplicación de identificadores de eventos previene el procesamiento duplicado del mismo evento de pago
  • El endpoint de webhook tiene limitación de frecuencia para prevenir el abuso

8.3 Procesamiento Idempotente

  • La activación de pagos es idempotente: el procesamiento del mismo evento varias veces produce el mismo resultado sin cargos ni activaciones duplicados
  • Los registros de transacciones proporcionan un registro de auditoría completo de todas las actividades de pago

9. Cumplimiento y Estándares

9.1 Cumplimiento Actual

  • Alineación con el RGPD para todos los interesados de la UE, incluyendo bases jurídicas documentadas, derechos de los interesados y acuerdos de tratamiento de datos con subencargados
  • Objetivo de respuesta a incidentes de 48 horas para incidentes de seguridad: nos comprometemos a investigar y comenzar la remediación en las 48 horas siguientes a la detección del incidente
  • Revisiones de seguridad internas periódicas del código, dependencias y configuración de la infraestructura
  • Auditoría de dependencias mediante análisis automatizado de vulnerabilidades de paquetes de terceros

9.2 Notas de Transparencia

Creemos en la transparencia sobre nuestra postura de seguridad actual y nuestra hoja de ruta de mejora:

  • Las certificaciones SOC 2 e ISO 27001 están previstas para una fase futura a medida que la organización escale
  • La limitación de frecuencia utiliza actualmente almacenamiento en memoria (adecuado para despliegues de instancia única); se planifica la migración a limitación de frecuencia distribuida basada en Redis para entornos de producción multi-instancia
  • Las pruebas de seguridad se realizan actualmente mediante revisiones internas; se prevé la contratación de una empresa externa de pruebas de penetración
  • La infraestructura de registro de auditoría está en desarrollo para proporcionar registros de actividad completos con fines de cumplimiento y análisis forense

10. Divulgación Responsable

Si descubre una vulnerabilidad de seguridad en la plataforma Kompunik, le animamos a comunicarla de forma responsable.

10.1 Cómo Comunicar

Envíe los informes de vulnerabilidad a compliance@kompunik.org indicando:

  • Una descripción detallada de la vulnerabilidad
  • Los pasos para reproducir el problema
  • El impacto potencial de la vulnerabilidad
  • Cualquier remediación sugerida, si procede

10.2 Nuestro Compromiso

  • Acusaremos recibo de su informe en un plazo de 48 horas
  • Investigaremos y proporcionaremos una evaluación inicial en un plazo de 5 días hábiles
  • Le mantendremos informado de nuestro progreso en la resolución de la vulnerabilidad
  • No emprenderemos acciones legales contra los investigadores que comuniquen vulnerabilidades de buena fe y sigan las prácticas de divulgación responsable

10.3 Alcance

La presente política de divulgación responsable cubre la aplicación web de Kompunik y sus APIs asociadas. Los servicios de terceros (Stripe, MongoDB Atlas, DigitalOcean) disponen de sus propios canales de comunicación de seguridad.

11. Contacto

Si tiene preguntas sobre nuestras prácticas de seguridad o desea comunicar una preocupación de seguridad, póngase en contacto con nosotros en:

Joss Gillet (Founder of Kompunik) Aviñón, Francia

La presente Descripción General de Seguridad entra en vigor el 1 de enero de 2026.

Términos Específicos del Beta

Naturaleza Experimental

Esta plataforma es un prototipo experimental. Las funciones pueden cambiar, eliminarse o funcionar mal sin previo aviso. No se ofrece garantía de disponibilidad, tiempo de actividad o rendimiento.

Manejo de Datos

Los datos recopilados durante el beta pueden eliminarse al final del período beta. Si bien tomamos precauciones razonables para proteger sus datos, no se ofrecen garantías sobre la persistencia o respaldo de datos.

Uso de Comentarios

Cualquier comentario, sugerencia o idea que proporcione durante el beta puede utilizarse para mejorar el producto sin compensación ni atribución.

Sin Compensación Financiera

La participación en el beta es voluntaria y no remunerada. No se aplican compensaciones financieras, créditos ni reembolsos.

Limitación de Responsabilidad

Joss Gillet (Fundador de Kompunik) no será responsable de ningún daño directo, indirecto, incidental o consecuente derivado de su uso de esta plataforma beta. El uso es completamente bajo su propio riesgo.

Confidencialidad (Opcional)

Puede encontrar funciones o contenido que aún no están disponibles públicamente. Aunque no es legalmente vinculante, le pedimos que trate las funciones no publicadas con discreción.

Sin Relación Comercial

Este beta no constituye un servicio comercial, contrato ni suscripción. No se emitirán facturas y no se aplican acuerdos de nivel de servicio.