Cómo protegemos
tu código y tus datos
Siendo una empresa de seguridad, aplicamos en casa los mismos estándares que exigimos afuera. Esta página documenta cómo funcionamos internamente.
Nuestra arquitectura de seguridad
No almacenamos código fuente
Los análisis se ejecutan en entornos efímeros que se destruyen al finalizar. Solo persistimos metadatos de hallazgos: nombre de archivo, línea, tipo de issue. Nunca el contenido del código.
Cifrado extremo a extremo
Todo el tráfico entre tu CI/CD y nuestra plataforma viaja cifrado con TLS 1.3. Los datos en reposo se cifran con AES-256. Las claves se rotan automáticamente cada 90 días.
Acceso mínimo necesario
Los tokens de acceso que solicita Hexcore Consulting tienen permisos de solo lectura sobre el código. No pueden escribir, hacer merge ni modificar configuraciones. El scope se audita en cada conexión.
Aislamiento por tenant
Cada organización corre en un namespace aislado. No hay datos compartidos entre clientes. Los workers de análisis se destruyen y re-crean por cada ejecución.
Auditoría continua
Cada acción dentro de la plataforma queda registrada en logs inmutables. Los accesos de empleados a datos de clientes requieren aprobación por dos personas y dejan rastro completo.
Infraestructura como código
Toda nuestra infraestructura está definida en Terraform y versionada en Git. Cualquier cambio de configuración pasa por revisión y pipeline de seguridad antes de aplicarse.
Aplicamos lo que predicamos
Aplicamos Hexcore Consulting sobre el propio código de Hexcore Consulting. El mismo pipeline que usan nuestros clientes es el que usamos nosotros.
SAST en cada PR interno
Ningún cambio al código de la plataforma llega a main sin pasar por análisis estático. Los mismos controles que ofrecemos, aplicados a nosotros mismos.
Pentesting regular
Realizamos ejercicios de pentesting externo de forma periódica con equipos independientes. Los hallazgos se publican internamente y se remedian con SLA definido.
Bug bounty activo
Tenemos un programa de divulgación responsable. Si encontrás una vulnerabilidad en nuestra plataforma, queremos saber. Contacto: security@hexcoreconsulting.com
Revisión de dependencias semanal
Todas las dependencias de nuestros servicios son auditadas semanalmente. Actualizamos con SLA máximo de 7 días para vulnerabilidades críticas.
Zero standing access
Ningún empleado tiene acceso permanente a producción. El acceso se solicita, se aprueba para una ventana de tiempo, y se revoca automáticamente.
Qué pasa si hay
un incidente de seguridad
Tenemos un proceso de respuesta documentado. Si detectamos o recibimos reporte de un incidente que pueda afectar datos de clientes:
Contención del incidente y evaluación de impacto.
Notificación a los clientes afectados con detalle técnico del incidente.
Post-mortem público con causa raíz, impacto y medidas correctivas.
Reportar una vulnerabilidad
Si encontrás una vulnerabilidad en nuestra plataforma, reportala de forma responsable. Respondemos en menos de 48 hs hábiles.
security@hexcoreconsulting.com¿Preguntas sobre nuestra seguridad?
Nuestros ingenieros responden todas las consultas técnicas antes de que firmes nada.
Hablar con el equipo →