YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.
Cómo protegemos los datos de los clientes, mantenemos la disponibilidad de la plataforma y cumplimos con EU GMP Annex 11, 21 CFR Part 11 y GDPR.
YARDtwin se ejecuta en Microsoft Azure con cómputo en Norway East y Sweden Central para datos, registro y secretos. Todos los datos de clientes permanecen dentro de la UE/EEE, en cumplimiento con los artículos 44–49 del GDPR.
| Control | Implementación | Estado |
|---|---|---|
| TLS | TLS 1.3 con AES-256-GCM mediante Azure | Verificado |
| WAF | Azure Front Door WAF (modo Prevención) | Activo |
| HSTS | max-age de 2 años con precarga | Verificado |
| Solo HTTPS | Aplicado por App Service | Verificado |
| Cortafuegos de BD | Solo Azure + lista de IP permitidas para administradores | Verificado |
| Control | Implementación | Estado |
|---|---|---|
| Política de contraseñas | 8+ caracteres, mayúscula, minúscula, número y carácter especial | Aplicado |
| Verificación de filtraciones | Consulta k-anonimato HIBP en registro/cambio | Activo |
| MFA | TOTP (Google/Microsoft Authenticator) | Disponible |
| SSO/SAML | SAML 2.0 (Azure AD, Okta, Google Workspace) | Activo |
| Fuerza bruta | 5 intentos, bloqueo de 15 min (429) | Activo |
| Tokens JWT | Acceso de 1 hora, renovación de 7 días | Activo |
| RBAC | 8 roles con control de acceso a nivel de ruta | Activo |
| Aislamiento de inquilino | Cada consulta filtrada por tenant_id | Verificado |
| Control | Implementación | Estado |
|---|---|---|
| Cifrado en reposo | Azure PostgreSQL AES-256 | Activo |
| Cifrado en tránsito | TLS 1.3 | Activo |
| Hash de contraseñas | bcrypt (12 rondas) | Activo |
| SQL parametrizado | 154 consultas, 0 concatenaciones | Verificado |
| Secretos | Azure Key Vault | Activo |
| Registro de auditoría | Solo adición, conforme a ALCOA+ | Activo |
CSP estricta con nonces por solicitud en scripts (sin unsafe-inline). Conjunto completo de cabeceras de seguridad devueltas en cada respuesta: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.
Prueba de penetración independiente los días 17–18 de abril de 2026 (10 categorías OWASP, 36 cargas útiles): 0 vulnerabilidades.Pruebas funcionales de seguridad el 11 de abril de 2026, cubriendo más de 1.890 llamadas API en 270 citas: 0 fallos.Pentest anual de terceros programado y auditoría SOC 2 Type II en curso.
Agradecemos los informes de investigadores de seguridad. Envíe un correo a admin@yardtwin.comcon una descripción del hallazgo y los pasos para reproducirlo. Confirmamos la recepción en un plazo de 2 días hábiles y nos comprometemos a corregir los problemas críticos en 7 días. Le rogamos que no divulgue públicamente las vulnerabilidades antes de que hayamos tenido la oportunidad de remediarlas.
Última actualización: abril de 2026 · yardtwin.com