Seguridad y compliance
Última actualización:
Los operadores mueven dinero real en nuke.ai. La postura de seguridad de la plataforma es la garantía estructural detrás de cada marca que operamos. Esta página documenta los controles que ejecutamos, los estándares que nos imponemos, y el proceso de respuesta cuando algo sale mal. Es deliberadamente específica — las páginas de seguridad vagas son la firma de los proveedores que no tienen los controles de verdad.
1. Residencia de datos
Los datos de operadores y jugadores se almacenan en la región correspondiente a la jurisdicción de licencia de la marca. Marcas UE almacenan en regiones UE; marcas LATAM almacenan en regiones América-del-Norte-Sur; marcas Asia en regiones AP. La replicación entre regiones es opt-in, nunca por defecto. Los backups de base de datos heredan las mismas restricciones regionales; las copias de disaster-recovery fuera de región se cifran en reposo con claves KMS atadas a la región.
2. Cifrado
TLS 1.3 con HSTS preload en todo endpoint público; solo cifradores con perfect-forward-secrecy. Los datos en reposo usan AES-256-GCM con envelope encryption — claves a nivel columna para instrumentos de pago y registros KYC, claves a nivel schema para el resto. La rotación de claves es automática en ciclo de 90 días; la rotación manual es una llamada de API en respuesta a incidente.
3. Controles de acceso
El acceso a la consola del operador requiere SSO (Google Workspace, Okta, Azure AD) e impone MFA. Los permisos son RBAC con siete roles por defecto más un constructor de roles custom. Cada acción administrativa — cambio de config, pago, override de KYC, deploy de marca — produce una entrada inmutable en el log de auditoría, visible tanto para los admins del operador como para el soporte de nuke.ai en triaje de incidente.
4. Pruebas de penetración
Las pruebas de penetración externas se realizan trimestralmente por una firma independiente acreditada CREST. Los hallazgos se siguen en el registro CVE interno; los hallazgos críticos/altos se arreglan dentro del SLA (24h / 7d respectivamente) y se reflejan en el changelog de ingeniería. Un resumen redactado está disponible para los equipos de seguridad de operadores bajo NDA.
5. Certificaciones
ISO 27001 en el roadmap. El alcance PCI-DSS está confinado al gateway de tokenización — los datos de tarjeta de los operadores no transitan por los servidores de aplicación de nuke.ai. Reportes de compliance disponibles bajo NDA.
6. Disclosure de vulnerabilidades
Los investigadores de seguridad pueden reportar hallazgos a [email protected]. Nos comprometemos a acusar recibo en 72 horas, dar estado de remediación en 14 días, y dar crédito a los investigadores externos en el changelog público de seguridad (opt-in).
7. Respuesta a incidentes
Los incidentes Sev-1 (caídas que afectan operadores, exposición de datos) se confirman en 15 minutos, con actualizaciones en la página de estado cada 30 minutos hasta resolución, y un post-mortem público en 5 días hábiles. Los incidentes Sev-2 (degradación de performance, fallo parcial de feature) se confirman en 1 hora. El estado actual de la plataforma se publica en la franja de estado de la home y se actualiza en cada release.
8. Contacto
Consultas de seguridad: [email protected].
Compliance general: [email protected].