Centro de Confianza
Transparencia sobre cómo protegemos las credenciales digitales emitidas a través de nuestra plataforma, nuestras prácticas de seguridad y nuestro cumplimiento legal.
Seguridad de datos
Implementamos múltiples capas de seguridad para proteger las credenciales digitales y las cuentas de usuario en nuestra plataforma.
Cifrado en tránsito
Todas las comunicaciones están protegidas con TLS 1.2/1.3. Cloudflare proporciona una capa adicional de protección con SSL en modo Full Strict. Se fuerza redirección HTTP a HTTPS en todo el sistema.
Cifrado en reposo
La base de datos PostgreSQL y los volúmenes de almacenamiento utilizan cifrado AES-256. Las conexiones a la base de datos requieren SSL obligatorio y no son accesibles desde internet público.
Firma criptográfica de credenciales
Cada credencial emitida incluye una firma digital Ed25519 (DataIntegrityProof) basada en el estándar Open Badges 3.0. Utilizamos identificadores descentralizados (DID Web) para la verificación independiente de la autenticidad e integridad de cada credencial.
Infraestructura AWS
Nuestra infraestructura corre en Amazon Web Services (us-east-1) con base de datos en subredes privadas, grupos de seguridad con principio de mínimo privilegio, almacenamiento cifrado y protección IMDSv2 contra ataques SSRF.
Control de acceso
Sistema de control de acceso basado en roles (RBAC) con autenticación JWT. Cada organización opera en aislamiento multi-tenant completo, sin posibilidad de acceso cruzado entre instituciones.
Cabeceras de seguridad
Strict-Transport-Security (HSTS), X-Frame-Options, X-Content-Type-Options y Referrer-Policy configurados en todas las respuestas del servidor.
Despliegue automatizado
Los despliegues se realizan automáticamente mediante CI/CD (GitHub Actions). Cada cambio pasa por revisión de código antes de desplegarse en producción.
Monitoreo
Alertas automáticas de CloudWatch monitorean CPU, almacenamiento, memoria y conectividad de la base de datos. Health checks verifican la disponibilidad del sistema cada 30 segundos con reinicio automático ante fallos.
Protección de datos de menores de edad
Cuando instituciones educativas emiten credenciales a estudiantes menores de 18 años, la institución es responsable de obtener el consentimiento parental conforme a la LFPDPPP, el Código Civil Federal y la LGDNNA. Unicreda actúa como encargado del tratamiento y privilegia el interés superior del menor en todo momento. Los datos de menores reciben las mismas medidas de seguridad que todos los datos personales y no se utilizan para finalidades distintas a la emisión de credenciales.
Cumplimiento legal
Cumplimos con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y sus disposiciones regulatorias.
Datos que almacenamos
Datos de cuenta
Los únicos datos que Unicreda recopila directamente de los usuarios para la operación de la plataforma:
| Dato | Finalidad |
|---|---|
| Correo electrónico | Cuenta de usuario, autenticación y notificaciones |
Datos en credenciales
Estos datos son proporcionados por la universidad emisora al momento de emitir una credencial. No se almacenan como datos de perfil de usuario — existen únicamente dentro del documento JSON-LD firmado criptográficamente (Open Badges 3.0):
| Dato | Finalidad |
|---|---|
| Nombre completo | Identificación del receptor en la credencial (opcional, configurado por la universidad) |
| CURP | Identificador nacional (opcional, configurado por la universidad) |
| Teléfono | Identificador adicional (opcional) |
| Matrícula | Vinculacion con el sistema academico (opcional) |
Cada universidad decide qué identificadores incluir en sus credenciales. Unicreda no recopila estos datos por cuenta propia — los recibe de la institución emisora exclusivamente para integrarlos en la credencial firmada.
Derechos ARCO
Como titular de datos personales, la LFPDPPP te otorga los siguientes derechos:
- Acceso
- Conocer qué datos personales tenemos y cómo los utilizamos.
- Rectificación
- Solicitar la corrección de datos personales inexactos o incompletos.
- Cancelación
- Solicitar la eliminacion de datos personales cuando ya no sean necesarios.
- Oposición
- Oponerse al tratamiento de datos personales para fines específicos.
Cómo ejercer tus derechos ARCO
Envia un correo a [email protected] con tu nombre completo, una descripción de tu solicitud y un documento que acredite tu identidad. Plazo de respuesta: 20 días hábiles conforme a la LFPDPPP.
Retención de datos
- Los datos de cuenta (correo electrónico) se conservan mientras la cuenta esté activa.
- Las credenciales emitidas se conservan mientras sean válidas y verificables.
- Las credenciales revocadas mantienen un registro mínimo necesario para la verificación de su estado.
- Si solicitas la cancelación de tus datos, se eliminarán conforme a la LFPDPPP, respetando las obligaciones legales de conservación.
Documentos legales completos
Para información detallada sobre el tratamiento de datos y las condiciones de uso de la Plataforma:
Aviso de privacidad
Unicreda pone a disposicion de los titulares de datos personales su Aviso de Privacidad Integral, elaborado de conformidad con la Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares (LFPDPPP).
El Aviso de Privacidad describe en detalle los datos personales que se recaban, las finalidades de su tratamiento, las transferencias a terceros, las medidas de seguridad implementadas, y los mecanismos para ejercer los derechos ARCO.
Subprocesadores
Servicios de terceros que utilizamos para operar la plataforma. Cada uno ha sido evaluado para garantizar el manejo adecuado de datos.
| Servicio | Propósito | Datos | Ubicación |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting de infraestructura | Todos los datos de la plataforma | us-east-1, Virginia, EE.UU. |
| Resend | Envío de correos transaccionales | Direcciones de email, nombres | EE.UU. |
| Cloudflare | CDN, DNS, protección DDoS | Trafico de red (sin almacenamiento) | Global |
| Google OAuth | Autenticación de usuarios (opcional) | Email, nombre | Global |
| Microsoft OAuth | Autenticación de usuarios (opcional) | Global |
Última actualización: marzo 2026.
Respuesta a incidentes
Contamos con un proceso definido para responder a incidentes de seguridad de forma rápida y transparente.
- Detección. Monitoreo continuo para identificar actividades anómalas.
- Contención. Aislamiento inmediato de la amenaza para limitar el impacto.
- Investigación. Análisis para determinar el alcance y la causa raíz.
- Notificación. Comunicación a afectados y autoridades dentro de 72 horas.
- Remediación. Corrección de vulnerabilidades y mejora de controles.
Compromiso de notificación: 72 horas
En caso de un incidente que comprometa datos personales, nos comprometemos a notificar a las universidades y usuarios afectados en un plazo máximo de 72 horas, conforme a las mejores prácticas internacionales y la LFPDPPP.
Reportar una vulnerabilidad
Si descubres una vulnerabilidad de seguridad, te pedimos que nos la reportes de forma responsable antes de divulgarla públicamente.
Contacto: [email protected]
Preguntas frecuentes
Respuestas a las dudas más comunes sobre seguridad y privacidad.
Contacto de seguridad
Si tienes preguntas sobre seguridad, privacidad, o deseas reportar una vulnerabilidad, contáctanos directamente:
Divulgación responsable
- Si descubres una vulnerabilidad, repórtala por correo antes de divulgarla públicamente.
- Incluye una descripción detallada del problema y los pasos para reproducirlo.
- Nos comprometemos a responder en un plazo de 48 horas hábiles.
- No tomaremos acciones legales contra investigadores que actuen de buena fe.