Domain Stabilizer

Seguridad

Última actualización: 18 jul 2026 · Contacto de seguridad: security@domainstabilizer.com · Incidentes urgentes: support@domainstabilizer.com

En Domain Stabilizer la seguridad es prioritaria. Esta página resume cómo protegemos tus datos, cómo respondemos ante incidentes y cómo reportar vulnerabilidades de forma responsable.

1) Modelo y alcance

SaaS 100%: hospedado en nube, multi-tenant, sin agentes.

Datos tratados: dominios/URLs, metadatos técnicos de DNS/DMARC/SPF/DKIM/SSL/uptime, configuraciones de cuenta, email de contacto y telemetría de uso (consulta nuestra Política de Privacidad).

Pagos: los gestiona Paddle (Merchant of Record). No almacenamos ni procesamos datos de tarjetas; Paddle trata los detalles de pago en su propia infraestructura con cumplimiento PCI-DSS.

Responsabilidad compartida: nosotros protegemos la plataforma; tú proteges tus credenciales, acceso a tu email y la correcta configuración de tus dominios/servicios.

2) Protección de datos

Cifrado en tránsito: se usa TLS para el tráfico público y las conexiones a la base de datos. HSTS está habilitado en el sitio público principal y en los subdominios de producción. Cifrado en reposo: nuestra base de datos primaria es Neon Postgres. Neon cifra los datos de clientes en reposo con AES-256 y exige TLS en las conexiones a la base de datos. Gestión de claves: la gestión de claves de la base de datos la maneja nuestro proveedor de base de datos administrada. Actualmente no usamos customer-managed keys ni un HSM dedicado. Aislamiento lógico: las cuentas y workspaces de los clientes están separados a nivel de aplicación y de base de datos. Backups y restore: la base de datos soporta point-in-time restore y capacidades de backup/restore administradas por el proveedor según el plan y la configuración de Neon activos. La recuperación del VPS/servidor depende de snapshots del proveedor y backups operativos configurados para el entorno de producción. Todavía no validamos formalmente un restore drill de todo el servicio.

3) Gobierno de accesos

Seguimos el principio de mínimo privilegio. El acceso a producción es por SSH restringido a llaves autorizadas. Hay MFA activado en las cuentas de proveedor, de control de versiones y administrativas usadas para gestionar la infraestructura donde está soportado. La aplicación directa de MFA a nivel de la sesión SSH no está implementada actualmente. Los entornos de desarrollo y producción están separados. Los logs operativos incluyen request IDs para facilitar el diagnóstico y la revisión de incidentes.

4) Desarrollo seguro (SDL)

Revisión de dependencias por problemas conocidos. Los secretos se mantienen fuera del repositorio de código (configuración por entorno). Los webhooks de pago entrantes se verifican por firma HMAC antes de cualquier escritura a la base de datos. Feature flags y un modo de solo lectura para cambios controlados. Pruebas unitarias y de integración en áreas críticas (p. ej., dedupe de alertas, runner de uptime).

5) Gestión de vulnerabilidades

Aplicamos actualizaciones del sistema operativo y de dependencias, y revisamos advisories de seguridad de los paquetes que usamos. Anunciamos ventanas de mantenimiento cuando impactan. Actualmente no realizamos pentesting formal, y no estamos certificados SOC 2 ni ISO.

6) Disponibilidad y continuidad

Diseño stateless donde es posible; los workers en segundo plano usan bloqueo CAS y retry. Objetivo operativo (no contractual, pendiente de validación formal mediante un restore drill): RPO/RTO ≤ 24 h en incidentes mayores. Monitoreo de salud, rate-limit y back-pressure para proteger la plataforma.

7) Retención y eliminación

Conservamos datos personales solo el tiempo necesario: datos de cuenta mientras esté activa y un período razonable tras el cierre; logs de seguridad típicamente 30–180 días; registros de compra según lo exige la ley fiscal (a través de Paddle). Eliminamos o anonimizamos datos al cerrar la cuenta o a petición, sujeto a una conservación mínima legal/antifraude. Ver nuestra Política de Privacidad para el detalle.

8) Subencargados (sub-processors)

Usamos proveedores con salvaguardas contractuales y técnicas adecuadas: infraestructura cloud (nuestro host VPS y la base de datos Neon), correo transaccional y Paddle (pagos, facturación e impuestos). La lista puede cambiar; notificaremos cambios materiales en la app o por email cuando corresponda.

Para más información sobre tratamiento de datos y subencargados, consulta nuestra Política de Privacidad.

9) Gestión de incidentes

Detección y clasificación; contención y erradicación (rotación de claves, hotfixes, feature flags); notificación a clientes afectados sin demoras indebidas y, cuando aplique, dentro de 72 h (p. ej., RGPD); lecciones aprendidas y medidas preventivas. Los avisos incluirán alcance, datos afectados, acciones tomadas y recomendaciones.

10) Reporte responsable de vulnerabilidades

Agradecemos reportes de seguridad. Email: security@domainstabilizer.com (opcional: adjunta PoC y pasos de reproducción). Por favor, NO: ejecutar DoS, brute-force masivo, ransomware, ingeniería social, ni extracción de datos reales. Sí: limitarte a tu propia cuenta/recursos, evitar afectar disponibilidad y respetar privacidad. Safe-harbor: no emprenderemos acciones legales por investigación de buena fe que cumpla estas pautas. A día de hoy no operamos bug bounty público; podemos reconocer tu contribución en un Hall of Fame si lo autorizas.

11) Controles del cliente (buenas prácticas)

Protege tu cuenta de correo con autenticación de dos factores, usa contraseñas únicas donde aplique, revisa quién recibe tus alertas, y restringe el acceso en tus propios firewalls, DNS, hosting y sistemas de correo cuando corresponda.

12) Cumplimiento

RGPD/LGPD: actuamos como responsable del tratamiento de los datos personales que procesamos para prestar el Servicio, según nuestra Política de Privacidad. Pagos: delegados a Paddle (PCI-DSS bajo su alcance). No estamos certificados SOC 2 ni ISO 27001.

13) Cambios y contacto

Podemos actualizar esta página. Publicaremos la versión vigente con su fecha. Consultas o solicitudes de seguridad: security@domainstabilizer.com

Documentos relacionados: Términos de Servicio · Política de Privacidad · Política de Reembolsos

Domain Stabilizer

Estabilización de dominios: DMARC, SSL, DNS, MX, blacklists y uptime — correcciones exactas y evidencia del trabajo.

Conexión segura (TLS)
Prácticas alineadas al RGPD
Soporte útil
Producto
PreciosDiagnóstico gratuito del dominio

© 2026 Domain Stabilizer. Todos los derechos reservados.

Hecho con ❤️ para equipos que aman la entrega confiable.