Arquitectura de Seguridad Institucional.

Wellogi Academy opera sobre infraestructura de seguridad certificada con controles técnicos verificables, auditorías externas trimestrales y protocolos documentados de respuesta a incidentes. La protección de información académica, credenciales profesionales y datos transaccionales se gestiona bajo estándares de la industria con transparencia operacional completa.

I. Infraestructura de Hosting y Redes.

Hosting y Servidores.

– Proveedor: GoDaddy en data center certificado ISO 27001.

– Ubicación: Los Ángeles, California, Estados Unidos de América con cumplimiento LFPDPPP.

– Uptime SLA: 99.9% garantizado con monitoreo 24/7.

– Redundancia: Servidores en configuración de alta disponibilidad.

Encriptación y Protección de Datos en Tránsito.

– Protocolo: TLS 1.3 (Transport Layer Security).

– Certificado SSL: Calificación A+ (SSL Labs).

– Perfect Forward Secrecy (PFS) habilitado.

– HSTS (HTTP Strict Transport Security) activo.

Encriptación de Datos en Reposo.

– Algoritmo: AES-256 para bases de datos y backups.

– Gestión de claves: Rotación automatizada trimestral.

– Acceso a claves: Restringido a personal autorizado mediante MFA.

Red de Distribución de Contenido (CDN) y Firewall.

– Proveedor: GoDaddy con Web Application Firewall (WAF).

– Protección DDoS: Mitigación automática de ataques distribuidos.

– Filtrado de tráfico: Bloqueo de bots maliciosos y técnicas de evasión.

– Rate limiting: Protección contra intentos automatizados de acceso.

II. Control de Acceso y Autenticación.

Autenticación de Usuarios.

– Contraseñas: Requisitos de complejidad (mínimo 12 caracteres, mezcla alfanumérica).

– Hash: Bcrypt con salt para almacenamiento seguro.

– Autenticación de dos factores (2FA): Disponible para profesores y equipo adminstrativo mediante aplicaciones TOTP.

– Sesiones: Expiración automática tras 30 minutos de inactividad.

Control de Acceso Administrativo.

– Modelo: RBAC (Role-Based Access Control) con principio de mínimo privilegio.

– MFA obligatorio: Requerido para todos los accesos administrativos.

– Logs de acceso: Auditables con retención de 12 meses.

– Monitoreo de intentos fallidos: Bloqueo automático tras 5 intentos erróneos.

Gestión de Privilegios.

– Revisión trimestral de permisos de usuario.

– Revocación automática de acceso tras finalización de relación académica.

– Acceso temporal: Tokens de un solo uso para operaciones críticas

III. Protección contra Amenazas Web.

Web Application Firewall (WAF).

– Bloqueo de patrones de ataque: SQL injection, XSS, CSRF, RCE.

– Filtrado de métodos HTTP innecesarios: Solo GET, POST, PUT, DELETE autorizados.

– Protección contra carga de archivos ejecutables: Validación de tipo MIME y extensión.

– Detección de evasión: Identificación de técnicas de ofuscación y encoding malicioso.

Monitoreo de Seguridad.

– Escaneo de malware: Análisis automatizado diario de archivos cargados.

– Detección de vulnerabilidades: Escaneos trimestrales con Sucuri y herramientas OWASP.

– Security headers: Implementación de CSP, X-Frame-Options, X-Content-Type-Options.

– Análisis de código: Revisión de seguridad en actualizaciones de plataforma.

Protección de Endpoints.

– Plugin de seguridad: Wordfence para protección WordPress.

– Firewall de sistema operativo: Configuración restrictiva en servidores.

– Hardening de servidores: Deshabilitación de servicios no esenciales.

IV. Procesamiento Seguro de Transacciones.

Wellogi NO almacena información completa de tarjetas de crédito. El procesamiento de pagos se delega a pasarelas certificadas PCI-DSS Level 1:

Procesadores Autorizados.

– Stripe: Tokenización de tarjetas, cumplimiento PCI-DSS.

– PayPal: Procesamiento mediante redirección segura.

– MercadoPago: Integración certificada para Latinoamerica.

Datos Almacenados por Wellogi.

– Últimos 4 dígitos de tarjeta (solo para referencia de usuario).

– Estado de transacción (aprobada/rechazada).

– Historial de pagos para emisión de facturas fiscales.

Datos NO Almacenados:

– Números completos de tarjetas de crédito/debito.

– Códigos CVV/CVC.

– Información de cuentas bancarias.

V. Continuidad Operacional y Recuperación ante Desastres.

Backups Automatizados.

– Frecuencia: Diarios (incrementales) + Semanales (completos).

– Ubicación: Almacenamiento cifrado off-site con redundancia geográfica.

– Retención: 30 días para backups diarios, 12 meses para backups mensuales.

– Encriptación: AES-256 para todos los backups.

Procedimiento de Recuperación.

– RTO (Recovery Time Objective): <4 horas para servicios críticos.

– RPO (Recovery Point Objective): <24 horas (pérdida máxima de datos).

– Pruebas de restauración: Trimestrales con documentación de resultados.

Monitoreo de Integridad.

– Verificación automatizada de consistencia de backups.

– Alertas de fallos en procesos de respaldo.

– Documentación de procedimientos de recuperación.

VI. Auditorías y Cumplimiento Normativo.

Auditorías Externas.

– Escaneo de vulnerabilidades: Trimestral mediante Sucuri y herramientas complementarias.

– Análisis SSL/TLS: Calificación A+ en Qualys SSL Labs.

– Security headers: Calificación A en SecurityHeaders.com (by Snyk).

– Análisis de malware: Escaneos mensuales con múltiples engines antivirus.

Cumplimiento Normativo.

– Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

– Lineamientos PROFECO para comercio electrónico.

– Estándares de referencia: OWASP Top 10, CWE/SANS Top 25.

Transparencia de Auditorías. Los resultados de auditorías de seguridad están disponibles bajo solicitud para profesionales activos. Contacto: contacto@wellogi.com

VII. Respuesta a Incidentes de Seguridad.

Protocolo de Detección.

– Monitoreo automatizado: 24/7 con alertas en tiempo real.

– Análisis de logs: Revisión diaria de eventos de seguridad.

– Detección de anomalías: Machine learning para identificación de patrones sospechosos.

Procedimiento de Contención.

– Aislamiento de sistemas afectados: <2 horas desde detección.

– Análisis forense: Investigación de causa raíz.

– Mitigación: Implementación de parches de seguridad urgentes.

Notificación y Comunicación.

– A usuarios afectados: Notificación en <24 horas vía correo electrónico institucional.

– A autoridades: Según aplique por LFPDPPP (INAI) en <72 horas.

– Transparencia: Publicación de post-mortem (cuando aplique) con medidas correctivas.

Reporte de Vulnerabilidades. Wellogi mantiene un canal abierto para reporte responsable de vulnerabilidades:

– Contacto: contacto@wellogi.com.

– Respuesta inicial: <48 horas.

– Reconocimiento público: A discreción del investigador.

VIII. Revisión y Mejora Continua.

Actualización de Infraestructura.

– Parches de seguridad: Aplicación mensual de actualizaciones críticas.

– Revisión de configuraciones: Trimestral conforme a mejores prácticas CIS Benchmarks.

– Evaluación de nuevas amenazas: Análisis continuo de landscape de ciberseguridad.

Capacitación de Personal.

– Training de seguridad: Anual para todo el equipo con acceso a sistemas.

– Concientización de phishing: Simulacros trimestrales.

– Actualización de procedimientos: Revisión semestral de protocolos.

Métricas de Seguridad (Transparencia Operacional).

– Incidentes reportados: 0 brechas de datos en 5 años.

– Tiempo promedio de respuesta a incidentes: <2 horas.

IX. Contacto de Seguridad.

Oficial de Seguridad Institucional.

– Correo: contacto@wellogi.com

– Teléfono: +52 332 214 5684

Para reportar:

– Vulnerabilidades de seguridad (responsible disclosure).

– Sospecha de acceso no autorizado.

– Incidentes de phishing o ingeniería social.

– Consultas sobre arquitectura de seguridad.

Respuesta garantizada.

– Acuse de recibo: <48 horas.

– Evaluación inicial: <5 días hábiles.

– Resolución según criticidad: CVSSv3 High/Critical <7 días.

---