Seguridad por diseño.
Esta página documenta de forma transparente el estado actual y el roadmap de las medidas de seguridad que ARDA aplica al tratar datos técnicos de operaciones mineras. Publicarla pública y honestamente es nuestra mejor garantía: si dice "implementado" es porque ya está auditable; si dice "roadmap" es porque estamos trabajando en ello con fecha objetivo.
1. Estado actual del programa
| Control | Estado | Detalle |
|---|---|---|
| NDA con el cliente | Operativo | Firmado antes de cualquier transferencia técnica. |
| Cifrado en tránsito | Operativo | HTTPS / TLS 1.3 en todo el sitio y en el correo. |
| Acceso restringido por rol | Operativo | Limitado al equipo técnico autorizado bajo controles definidos por rol. |
| Cifrado en reposo | Roadmap | Almacenamiento con cifrado a nivel objeto. Objetivo: Q3 2026. |
| Autenticación multifactor | Roadmap | MFA en consola de administración. Objetivo: Q3 2026. |
| Bitácora auditable e inmutable | Roadmap | Verificación criptográfica en ingreso + bitácora append-only. Objetivo: Q4 2026. |
| Aislamiento dedicado por proyecto | Roadmap | Entorno aislado por cliente. Objetivo: Q4 2026. |
| Certificado de borrado formal | Roadmap | Plantilla firmada por QP al cierre del piloto. Objetivo: Q3 2026. |
| Pentest externo | Planificado | Cuando la plataforma esté en producción. |
| SOC 2 Type I | Planificado | Scoping cuando los requerimientos del cliente lo justifiquen. |
2. Cómo reportar una vulnerabilidad
Si descubres una vulnerabilidad de seguridad en cualquier propiedad digital de ARDA (sitio, correo, plataforma del piloto), contáctanos antes de hacerla pública. Nos comprometemos a:
- Acusar recibo en un plazo máximo de 72 horas hábiles.
- Mantenerte informado del avance de la remediación.
- Reconocer públicamente tu reporte (con tu autorización) una vez resuelto.
- No emprender acciones legales contra reportes hechos de buena fe que sigan estos lineamientos.
El archivo /.well-known/security.txt contiene la información canónica de contacto, conforme a la RFC 9116.
3. Lineamientos de divulgación responsable
- Reporte privado a seguridad@ardahq.com.
- No accedas, modifiques ni elimines datos de terceros.
- No degrades la disponibilidad del servicio.
- Permite un período razonable de remediación antes de cualquier divulgación pública (recomendado: 90 días).
4. Incidentes y notificación
ARDA mantiene un protocolo interno de respuesta a incidentes. En caso de un incidente que afecte datos personales de titulares mexicanos, notificaremos al INAI dentro del plazo previsto en el artículo 20 de la LFPDPPP y a los titulares afectados.
5. Cambios a esta política
Esta política se actualiza cuando avanza la implementación del roadmap o cuando cambian los controles. Te recomendamos suscribirte a las actualizaciones siguiéndonos en LinkedIn o escribiéndonos a seguridad@ardahq.com.
Contacto de seguridad
Reportes de vulnerabilidad: seguridad@ardahq.com
Reportes DMARC y abuso de dominio: dmarc@ardahq.com
Idiomas soportados: español, inglés.