curpify
/ legal / seguridad

Seguridad

Última actualización: 9 de junio de 2026

La seguridad de tus datos y los de tus usuarios es central a la operación de Curpify. Esta página describe las medidas que aplicamos y cómo reportar vulnerabilidades.

Medidas de seguridad

Cifrado end-to-end

Todo el tráfico entre tus sistemas y Curpify viaja sobre TLS 1.2+. Los datos en reposo se cifran. Las credenciales y secretos de servicio se gestionan como variables de entorno, separadas del código fuente, con acceso restringido al entorno de producción.

Autenticación y control de acceso

Las API keys se generan con entropía criptográfica y se almacenan de forma irreversible usando funciones hash criptográficas. El acceso al panel soporta autenticación de dos factores (2FA). Los permisos internos siguen el principio de mínimo privilegio con roles definidos por equipo.

Infraestructura

Los servicios corren en contenedores aislados con límites de recursos explícitos. Aplicamos segmentación de red y aislamiento de componentes siguiendo el principio de mínimo privilegio. Aplicamos actualizaciones de seguridad en menos de 72 horas.

Monitoreo y detección

Cada solicitud a la API genera un evento de auditoría inmutable. Contamos con alertas automáticas para patrones anómalos: rate de error elevado, picos de uso, accesos desde IPs nuevas. Los logs se retienen por 12 meses.

Prácticas recomendadas para integradores

Como responsable del acceso a tu cuenta, te recomendamos:

  • Rota tus API keys periódicamente. Puedes generar nuevas claves y revocar las antiguas desde el panel sin tiempo de inactividad.
  • Nunca expongas tu API key en código público (repositorios, apps del lado del cliente, logs). Usa variables de entorno o un secrets manager.
  • Activa 2FA en tu cuenta de Curpify para proteger el acceso al panel.
  • Restringe el acceso a tu API key usando variables de entorno y secrets managers en tu infraestructura.
  • Monitorea tu uso en el panel. Picos inesperados pueden indicar un uso no autorizado de tu clave.
  • No almacenes los datos de identidad consultados más allá de lo necesario para cumplir con tu finalidad declarada, de acuerdo con la LFPDPPP.

Cumplimiento normativo

Curpify opera en cumplimiento de:

  • LFPDPPP - Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México).
  • Estándares PCI-DSS - delegados a Mercado Pago para el procesamiento de pagos.
  • OWASP Top 10 - nuestro proceso de revisión de código incluye controles contra las vulnerabilidades más críticas en aplicaciones web.

Gestión de incidentes

En caso de un incidente de seguridad que afecte tus datos:

  1. Notificaremos a los usuarios afectados dentro de las 72 horas siguientes a la identificación del incidente.
  2. Publicaremos una actualización en curpify.mx/status con el alcance, impacto y acciones tomadas.
  3. Reportaremos a las autoridades competentes cuando la ley aplicable lo requiera.

Reporte de vulnerabilidades

Si descubres una vulnerabilidad de seguridad en Curpify, te pedimos que la reportes de forma responsable antes de divulgarla públicamente. Nos comprometemos a:

  • Acusar recibo de tu reporte dentro de 24 horas.
  • Mantenerte informado del progreso de la corrección.
  • No emprender acciones legales por reportes de buena fe que sigan este proceso.
  • Acreditar públicamente tu hallazgo si así lo deseas.
seguridad@curpify.mx