ChinaSiteReady ChinaSiteReady
Comprobación gratuita
Inicio · Seguridad

Seguridad y cumplimiento

Cómo protegemos los datos del cliente, los controles que aplicamos y nuestra postura de cumplimiento.

Este documento es una traducción de referencia. En caso de conflicto con la versión en inglés, prevalece la versión en inglés. Ver versión en inglés →

Última revisión: 26-05-2026 · Versión 1.0

Resumen: ChinaSiteReady es un equipo de ingeniería pequeño y enfocado. No nos hacemos pasar por certificados en SOC 2 ni en ISO 27001, y lo decimos abajo con franqueza. Lo que sí aportamos: flujo de datos claro, pocos proveedores conocidos, valores por defecto defendibles y disposición a responder por escrito a cuestionarios de seguridad.

Datos que conservamos

El Servicio espeja y opera páginas informativas estáticas de su sitio. Conservamos:

  • Materiales del cliente — copias de las páginas, imágenes, fuentes y textos que nos pide espejar, además de las autorizaciones de marca o dominio y los documentos corporativos que aporte.
  • Registros operativos — URLs solicitadas, IPs, marcas de tiempo, códigos de respuesta, trazas de error. Para supervisión, depuración y cumplimiento normativo en China. Conservación habitual de 30 a 90 días.
  • Comunicaciones — correos, envíos del formulario de contacto y notas de proyecto.

El Servicio está pensado para contenido de marketing informativo estático. No aceptamos la transmisión por el Servicio de datos personales de personas físicas, de pago, de salud, financieros ni biométricos salvo que se firme un DPA específico (véase DPA).

Dónde se almacenan los datos

El Servicio se entrega sobre infraestructura AWS. El hosting de producción puede estar en:

  • AWS Global — para su sitio global actual (que no tocamos).
  • AWS China (operado por Sinnet/NWCD) — para el sitio espejo en China que servimos a visitantes de China continental.
  • La región concreta de su proyecto se documenta en el plan de proyecto y depende de la ruta de despliegue ICP elegida.

La analítica del sitio de marketing (este mismo sitio) se envía a PostHog Cloud en la región de EE. UU.

Cifrado

  • En tránsito: todo el tráfico expuesto se sirve por HTTPS con TLS 1.2 o superior. Desactivamos TLS 1.0 y 1.1, RC4 y los cifrados rotos conocidos. Se activa HSTS cuando la titularidad del dominio del cliente lo permite.
  • En reposo: todo el almacenamiento usa por defecto el cifrado en servidor de S3 (SSE-S3); los materiales del cliente residen en volúmenes cifrados. Las copias de seguridad se cifran con claves gestionadas por AWS.
  • Secretos: los secretos de despliegue y los tokens de API se guardan en AWS Secrets Manager (o un equivalente en China si se usa AWS China), nunca en el control de código. Los accesos quedan registrados.

Controles de acceso

  • El acceso a producción se limita a los ingenieros que trabajan en su proyecto. Se concede según el principio de mínimo privilegio.
  • Todo acceso a producción exige autenticación multifactor.
  • El acceso a la cuenta raíz de AWS está restringido, protegido con MFA y auditado.
  • Las credenciales del lado del cliente (tokens del proveedor DNS, credenciales del CMS, etc.) solo se aceptan por canal seguro y se guardan en nuestro almacén de secretos; no se conservan más allá del proyecto salvo solicitud expresa.

Red

  • El cómputo de origen corre en subredes VPC privadas con controles de salida por grupos de seguridad.
  • El tráfico público se sirve a través de AWS CloudFront (o equivalente en China) con reglas WAF para las categorías OWASP Top 10.
  • Los endpoints administrativos no son públicos.

Supervisión y respuesta a incidentes

  • Supervisamos la disponibilidad y comprobaciones sintéticas en cada activo de producción que operamos. La notificación de guardia llega al ingeniero de turno por email; los incidentes graves se escalan por busca.
  • Los registros de auditoría de los accesos a producción se conservan.
  • Si tenemos conocimiento de un incidente de seguridad que afecte a sus Materiales del cliente, (a) investigaremos, (b) tomaremos medidas de contención y (c) le notificaremos por escrito sin demora indebida. Buscamos una notificación inicial en las setenta y dos (72) horas siguientes a la confirmación de un incidente material y, después, un informe post-incidente más completo.

Copias de seguridad y continuidad

  • Los activos del sitio espejo están versionados en el control de código y se pueden reconstruir en cualquier momento desde la fuente.
  • Los registros operativos y la analítica se respaldan en niveles de almacenamiento duraderos de AWS.
  • En proyectos de larga duración, los objetivos de recuperación se documentan en el plan de proyecto y se ajustan a la cadencia real de actualización de contenido del cliente.

Gestión de vulnerabilidades

  • Las imágenes del sistema operativo se actualizan en una cadencia definida; los parches de seguridad se siguen.
  • Las dependencias de aplicación están fijadas en versión y se revisan antes de actualizar.
  • De momento no tenemos un programa público de bug bounty. Para divulgación coordinada, escriba a chinasiteready@autoinfra.cn con asunto «Security disclosure». Confirmamos por escrito en 5 días hábiles.

Postura de cumplimiento — versión honesta

  • No estamos certificados en SOC 2 ni en ISO 27001 a día de hoy. La certificación independiente está en nuestra hoja de ruta a medio plazo; no fijamos fecha rígida porque solo la abordaremos cuando creamos que podemos superarla con limpieza.
  • Cuando corresponde, presentamos los registros ICP bajo la normativa china para cualquier despliegue en la región China. Véase Cómo funciona § Despliegue conforme con ICP para las rutas y nuestro papel.
  • Respondemos de buena fe a los cuestionarios de seguridad (SIG / CAIQ y similares) sin coste adicional para clientes activos.
  • Podemos firmar un NDA mutuo antes de una llamada de diligencia más profunda.

Pruebas de penetración

A día de hoy no contratamos un proveedor externo de pruebas de penetración en un calendario fijo. En proyectos mayores, coordinamos con el proveedor externo elegido por el cliente, a cargo del cliente, en el ámbito del sitio espejo en China que operamos. Realizamos pruebas internas con escáneres estándar de forma periódica.

Proveedores en los que nos apoyamos

Mantenemos una lista corta y conocida de proveedores externos. Hoy: AWS (Global y AWS China para hosting y CDN), PostHog (analítica solo en nuestro sitio de marketing) y herramientas operativas estándar. Los clientes pueden solicitar la lista actual y las ubicaciones como parte de la diligencia previa a la firma.

Acuerdo de tratamiento de datos

Para clientes que necesiten un DPA antes de firmar, nuestro DPA estándar está en la página DPA. También podemos aceptar la plantilla de DPA preferida del cliente caso por caso.

Contacto

Consultas de seguridad y cumplimiento: chinasiteready@autoinfra.cn. Solemos responder en cinco días hábiles.

Envíenos su URL.

Comprobación gratuita de acceso desde China. Cinco días hábiles. Sin formularios de tracking.

Contáctenos Ver cómo funciona