Seguridad y divulgación responsable

KM0 Digital está operado por AMVARA CONSULTING S.L. Aplicamos prácticas adecuadas para un sitio público de marketing y una plataforma cloud autogestionada:

• Cifrado: HTTPS/TLS en km0digital.com y cloud.km0digital.com (certificados Let's Encrypt).
• Cabeceras HTTP de seguridad: incluidas Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy cuando estén configuradas.
• Infraestructura en la UE: hosting en Alemania (Hetzner) con datos tratados principalmente en la UE.
• Control de acceso: mínimo privilegio para acceso operativo; autenticación multifactor en sistemas internos cuando proceda.
• Desarrollo: rama main protegida, revisión de código, monitorización de dependencias y operaciones documentadas en el blog técnico.
• Copias de seguridad y monitorización: copias operativas y registros para fiabilidad e respuesta a incidentes.

No afirmamos cumplimiento SOC 2, HIPAA, CCPA, programas de pruebas de penetración ni auditorías de terceros salvo verificación y publicación expresa.

Para privacidad, consulte nuestra página legal y de privacidad.

AMVARA CONSULTING S.L. está certificada según ISO/IEC 27001:2022 por TÜV NORD CERT. Kilómetro 0 Digital y cloud.km0digital.com están incluidos en el alcance del certificado de AMVARA como parte de su plataforma y servicios cloud nativos asociados.

KM0 Digital no tiene certificación ISO 27001 a nombre propio. Diseñamos, desplegamos y mantenemos KM0 bajo el sistema de gestión de seguridad de la información certificado de AMVARA y seguimos esos controles en nuestras operaciones.

Si necesita el certificado, la declaración de aplicabilidad o un cuestionario de seguridad, contacte con hello.yoel@amvara.de.

Agradecemos informes de buena fe sobre vulnerabilidades que afecten a km0digital.com, cloud.km0digital.com e infraestructura operada por AMVARA relacionada con KM0.

Por favor:

• Informe vulnerabilidades con prontitud a hello.yoel@amvara.de.
• Proporcione pasos de reproducción y evaluación de impacto.
• Evite acceder, modificar, eliminar o exfiltrar datos que no sean suyos.
• Detenga las pruebas una vez confirmada la vulnerabilidad.
• Permita un plazo razonable para la corrección antes de divulgación pública.

Evite:

• Ataques de denegación de servicio.
• Ingeniería social, phishing, spam o ataques físicos.
• Acceso o exfiltración de datos no autorizados.
• Escaneo automatizado intrusivo en producción sin aprobación previa por escrito.
• Movimiento lateral, persistencia o divulgación pública antes de que podamos abordar el problema.

AMVARA:

• Acusará recibo de informes válidos.
• Investigará y comunicará cuando proceda.
• Corregirá según gravedad y riesgo.
• No emprenderá acciones legales contra investigadores que sigan esta política de buena fe.

Contacto de seguridad: hello.yoel@amvara.de. Política legible por máquina: /.well-known/security.txt.