Seguridad de Passwork
La seguridad es la base de la arquitectura de nuestro producto. Esta página proporciona una descripción general completa de nuestro modelo de seguridad, arquitectura de cifrado, certificaciones de cumplimiento y prácticas de desarrollo.
Seguridad de un vistazo
- Arquitectura Zero-Knowledge — sus secretos son matemáticamente inaccesibles para cualquier persona excepto usted
- Opción on-premise — sus datos nunca salen de su infraestructura
- Certificación ISO 27001 — prácticas de seguridad validadas de forma independiente
- Probado por HackerOne — pruebas de penetración independientes realizadas por la plataforma de seguridad líder mundial
| Aspecto | Descripción |
|---|---|
| Arquitectura | Zero-Knowledge — el servidor no puede descifrar los datos del usuario |
| Despliegue | On-premise o en la nube (AWS Alemania) |
| Enfoque | Seguridad empresarial, cumplimiento, auditabilidad |
Arquitectura Zero-Knowledge
Passwork está construido sobre el principio Zero-Knowledge: el servidor no tiene suficiente información para descifrar los datos del usuario. Ni los administradores ni el personal técnico pueden acceder a sus contraseñas.
- La contraseña maestra nunca sale del dispositivo del usuario
- Todas las claves criptográficas se generan en el cliente
- El servidor almacena solo datos cifrados y claves cifradas
- El descifrado solo es posible en el lado del cliente
Para detalles técnicos, consulte Alcance del cifrado.
Modelo de cifrado
Passwork utiliza un enfoque de cifrado por capas: los datos siempre están cifrados en el servidor y, opcionalmente, cifrados en el cliente antes de la transmisión.
Cómo funciona
| Capa | Cuándo está activa | Qué protege |
|---|---|---|
| Lado del servidor | Siempre | Todos los datos en reposo (AES-256-CFB) |
| Lado del cliente | Cuando CSE está habilitado | Campos sensibles antes de que salgan de su dispositivo (AES-256-CBC) |
Con el cifrado del lado del cliente (CSE) habilitado, el servidor recibe datos ya cifrados y los cifra nuevamente para almacenarlos. Esto proporciona defensa en profundidad.
Disponibilidad del cifrado del lado del cliente
| Despliegue | Estado de CSE |
|---|---|
| Passwork Cloud | Siempre habilitado, no se puede deshabilitar |
| On-premise | Configurable durante la instalación |
Para instalaciones on-premise desplegadas dentro de un perímetro seguro (redes aisladas, infraestructura de confianza), los administradores pueden deshabilitar el cifrado del lado del cliente durante la configuración. Esto puede ser útil cuando Passwork opera en un entorno aislado con sus propios controles de seguridad. El cifrado del lado del servidor permanece activo independientemente.
Jerarquía de claves
Cada pieza de datos sensibles está protegida por una cadena de claves. Para la terminología, consulte el Glosario.
| Clave | Tamaño | Propósito |
|---|---|---|
| Contraseña maestra | — | Secreto del usuario, nunca se transmite |
| Clave maestra | 512 bits | Derivada mediante PBKDF2 (300K iteraciones) |
| Clave RSA privada | 2048 bits | Cifrada con la clave maestra |
| Clave de bóveda | 256 bits | Única por bóveda, cifrada con RSA |
| Clave de registro | 256 bits | Única por registro, cifrada con la clave de bóveda |
Cada bóveda y cada registro tiene su propia clave única. Comprometer una clave no expone otros datos. Consulte la Jerarquía de claves para más detalles.
Algoritmos
| Algoritmo | Propósito | Parámetros |
|---|---|---|
| AES-256 | Cifrado de datos | CBC (cliente) / CFB (servidor) |
| RSA-2048 | Intercambio de claves | OAEP, SHA-256 |
| PBKDF2 | Derivación de claves | SHA-256, 300K iteraciones |
| CSPRNG | Generación aleatoria | WebCrypto / OpenSSL |
| TLS 1.3 | Seguridad de transporte | Todas las conexiones |
Para especificaciones completas, consulte Algoritmos criptográficos.
Funciones de seguridad
Autenticación y control de acceso
- Autenticación de dos factores (2FA/TOTP) — capa de verificación adicional
- Inicio de sesión único (SSO) — SAML 2.0, Azure AD, Keycloak (guía de configuración)
- LDAP/Active Directory — sincronización de usuarios y autenticación (guía de configuración)
- Control de acceso basado en roles (RBAC) — permisos granulares
- Políticas de contraseñas — imponer requisitos de complejidad
Para detalles del flujo de autenticación, consulte Autenticación.
Protección de datos
- Compartición segura de contraseñas — intercambio de claves cifrado con RSA (documentación)
- Archivos adjuntos cifrados — archivos protegidos con claves de registro
- Enlaces externos seguros — con tiempo limitado y protegidos por contraseña (detalles)
- Generador de contraseñas — contraseñas aleatorias criptográficamente seguras
Auditoría y monitoreo
- Registro de auditoría inmutable — todas las acciones registradas (documentación)
- Integración SIEM — exportación vía Syslog
- Gestión de sesiones — monitoreo y control (detalles)
- Control total de auditoría — los registros permanecen con el cliente
Seguridad del navegador
- Almacenamiento en caché de la clave maestra — almacenamiento seguro del navegador (documentación)
- Tokens de sesión — Access Token, Refresh Token, protección CSRF (detalles)
- Cierre de sesión automático — tiempo de espera configurable
Infraestructura
Despliegue en la nube
| Aspecto | Implementación |
|---|---|
| Centro de datos | AWS Alemania (UE) |
| Aislamiento de inquilinos | Separación completa de datos |
| Almacenamiento | Cifrado AES-256 en reposo |
| Red | TLS 1.3, protección DDoS de Cloudflare |
| Política de acceso | Acceso cero: ningún empleado accede a los datos del cliente |
Despliegue on-premise
Las instalaciones autoalojadas le dan control completo:
- Plataformas: Linux, Windows Server, Docker
- Entornos: Aislados (sin conexión) compatibles
- Escalado: Escalado horizontal, conjuntos de réplicas, balanceo de carga
Guías: Linux · Windows Server · Endurecimiento de seguridad · MongoDB
Lista de verificación de despliegue
| Categoría | Recomendación |
|---|---|
| Transporte | HTTPS con TLS 1.2+ (preferiblemente 1.3) |
| Arquitectura | Separar servidores de aplicaciones y base de datos |
| Red | Cerrar el puerto de MongoDB externamente |
| Protección | Fail2ban para prevención de fuerza bruta |
| Copias de seguridad | Copias de seguridad cifradas regulares |
| Claves | Almacenar claves de cifrado por separado |
| Autenticación | Habilitar SSO + 2FA para todos los usuarios |
Desarrollo seguro
Cada función pasa por seis etapas con verificaciones de seguridad obligatorias.
Etapas de desarrollo
| Etapa | Actividades |
|---|---|
| 1. Idea | Análisis de requisitos de seguridad, revisión del Security Champion |
| 2. Análisis | Modelado de amenazas, especificación |
| 3. Código | SAST, verificaciones SBOM, pruebas automatizadas |
| 4. Compilación | Entorno aislado, compilaciones firmadas |
| 5. Pruebas | DAST, análisis de IA, revisión del Security Champion, verificación manual |
| 6. Lanzamiento | Verificación de firmas en el portal |
Prácticas
| Práctica | Descripción |
|---|---|
| SAST/DAST | Pruebas de seguridad estáticas y dinámicas |
| SCA | Escaneo de vulnerabilidades en dependencias |
| SBOM | Lista de materiales del software |
| Revisión de código | Revisión obligatoria enfocada en seguridad |
| Protección de ramas | Sin empujes directos a main |
| Lanzamientos firmados | Todos los distributivos firmados con clave privada |
Firma de código
Todos los distributivos de Passwork están firmados criptográficamente. Puede verificar la firma usando nuestra clave pública. La verificación de firmas está integrada en nuestros scripts de despliegue.
Experiencia en seguridad
- Security Champions en cada equipo
- Capacitación OWASP para desarrolladores
- Modelado de amenazas (STRIDE) para nuevas funciones
Pruebas y auditorías
Passwork ha completado con éxito las pruebas de penetración realizadas por HackerOne — la plataforma más grande del mundo para coordinar evaluaciones de seguridad. Esta evaluación independiente confirmó el más alto nivel de protección de datos y una fuerte resiliencia contra las amenazas cibernéticas modernas.
Qué cubrió la prueba de penetración
| Área | Descripción |
|---|---|
| Arquitectura de seguridad | Diseño de infraestructura, almacenamiento, transmisión y protección de datos |
| Vulnerabilidades web | Evaluación de vulnerabilidades OWASP Top 10 y SANS Top 25 |
| Autenticación | Procesos de inicio de sesión, gestión de sesiones, control de acceso |
| Seguridad API | Validación de endpoints, autorización, protección contra solicitudes maliciosas |
| Respuesta a incidentes | Capacidades de detección, respuesta y recuperación |
| Ataques dirigidos | Resiliencia contra amenazas persistentes avanzadas |
Cumplimiento
| Estándar | Estado |
|---|---|
| ISO 27001 | Certificado (2024) |
| GDPR | Cumple |
| SOC 2 | En progreso |
Principios de protección de datos
- Minimización de datos — recopilar solo lo necesario
- Limitación de propósito — usar solo para los propósitos declarados
- Controles de retención — políticas configurables
- Derecho a la eliminación — eliminación completa bajo solicitud
- Portabilidad de datos — exportación en formatos estándar
Divulgación responsable
Agradecemos los informes de vulnerabilidades de la comunidad de seguridad.
- Contacto: [email protected]
- Respuesta: dentro de 5 días hábiles
- Puerto seguro: protección para investigadores de buena fe
Lea nuestra Política de divulgación responsable completa.
Recursos de seguridad legibles por máquinas
Para herramientas de seguridad automatizadas, sistemas de IA y escáneres de cumplimiento:
- Perfil de confianza (trust.json) — perfil de seguridad y arquitectura legible por máquinas
- security.txt — archivo estándar de contacto de seguridad
- Capa de explicación para IA — directrices para sistemas de IA que describen Passwork
Última actualización: diciembre 2025