Modelo de amenazas de Kardu
Publicamos nuestro modelo de amenazas porque pedirte confianza sin demostrarla primero sería inconsistente con lo que construimos. Este documento describe qué activos protegemos, qué amenazas consideramos relevantes y qué controles hemos implementado.
01. Activos que protegemos
Estos son los activos de información que Kardu gestiona en nombre de sus clientes y que requieren protección activa.
Datos GRC del cliente
Controles, evidencias, registros de riesgos, Compliance Score y toda la documentación del programa de cumplimiento.
Credenciales de autenticación
Contraseñas (hashed), tokens de sesión, claves API y secretos de integración con herramientas externas.
Documentos de evidencia
Ficheros subidos por el cliente como evidencia de controles. Tienen integridad criptográfica garantizada.
Credenciales de integración
Tokens OAuth y claves API de integraciones con herramientas del cliente (JIRA, Slack, etc.).
02. Amenazas identificadas y controles
Para cada amenaza documentamos su severidad estimada y los controles que hemos implementado para mitigarla.
Acceso no autorizado
Un atacante externo o interno que obtiene acceso a datos de un cliente sin autorización. Incluye credential stuffing, phishing y escalado de privilegios.
Controles
- MFA obligatorio
- Principio de mínimo privilegio
- Sin acceso directo a BD para empleados
- Logs de acceso inmutables
Exfiltración de datos
Extracción no autorizada de datos GRC o documentos de evidencia, ya sea por atacantes externos o empleados deshonestos.
Controles
- Cifrado AES-256 en reposo
- TLS 1.3 en tránsito
- Sin exportación masiva sin auditoría
- DLP en entornos de producción
Amenaza interna
Empleado de Kardu con acceso a sistemas que accede, modifica o exfiltra datos de clientes de forma malintencionada o negligente.
Controles
- Acceso segmentado por rol
- Sin acceso a datos de producción en local
- Revisión de accesos trimestral
- Offboarding inmediato con revocación de credenciales
Compromiso de la cadena de suministro
Un sub-procesador de Kardu sufre una brecha que afecta indirectamente a datos de clientes.
Controles
- DPA firmado con cada sub-procesador
- Lista de sub-procesadores publicada
- Revisión anual de sub-procesadores
- Solo sub-procesadores con sede en la UE
Manipulación de evidencias
Modificación no detectada de documentos de evidencia después de su subida, comprometiendo la integridad del programa de cumplimiento.
Controles
- Hash SHA-256 en el momento de la subida
- Timestamp criptográfico inmutable
- Historial de cambios no editable
- Verificación de integridad en cada acceso
Interrupción del servicio
Ataque DDoS o fallo de infraestructura que impide el acceso al sistema durante una auditoría o período crítico de cumplimiento.
Controles
- Infraestructura redundante en Frankfurt
- Backups diarios con retención de 30 días
- SLA de disponibilidad 99.9%
- Plan de continuidad documentado
03. Fuera de ámbito
Estas áreas quedan fuera de la responsabilidad directa de Kardu, aunque las gestionamos contractualmente donde es posible.
Seguridad física del centro de datos
Responsabilidad del proveedor de infraestructura (certificaciones SOC 2, ISO 27001 del datacenter).
Dispositivos del usuario final
La seguridad del equipo desde el que el cliente accede a Kardu es responsabilidad del cliente.
Integraciones de terceros
La seguridad de las herramientas externas conectadas a Kardu (JIRA, Slack, etc.) queda fuera de nuestro control directo.
04. Notificación de incidentes
En caso de incidente de seguridad que afecte a datos de clientes, Kardu se compromete a notificar a los clientes afectados en un plazo máximo de 72 horas desde la detección, en cumplimiento con el artículo 33 del RGPD. La notificación incluirá la naturaleza del incidente, los datos afectados, las medidas tomadas y los pasos recomendados para el cliente.
Preguntas sobre nuestra seguridad
Este documento es público y se actualiza con cada cambio relevante de arquitectura. Si tienes preguntas, dudas o quieres reportar una vulnerabilidad, escríbenos directamente.