WhatsApp 56 3425 3664Iniciar sesión
STCS

Política de seguridad de la información

Alineada con el estándar ISO/IEC 27001:2022. Última actualización: mayo de 2026.

En STCS tratamos la seguridad de la información como parte central del servicio. Esta política describe el marco de controles que aplicamos al sitio web, los datos de nuestros clientes y la operación interna del panel administrativo.

1. Alcance

Esta política cubre el sitio público stcs.com.mx, sus servicios asociados (tienda en línea, cuenta de cliente, panel administrativo) y la infraestructura que los soporta (cómputo en la nube, base de datos, almacenamiento, pasarela de pago).

2. Principios (CID)

  • Confidencialidad: los datos personales y de pago se protegen contra accesos no autorizados.
  • Integridad: garantizamos que los datos no se alteran de forma indebida en tránsito ni en reposo.
  • Disponibilidad: el servicio se mantiene operativo dentro de un nivel razonable de uptime.

3. Controles técnicos implementados

A.9 — Control de acceso

  • Roles segregados (customer, staff, admin) con políticas de fila (RLS) a nivel de base de datos.
  • Inicio de sesión del panel separado del de clientes (/panel/login vs /login).
  • Contraseñas con longitud mínima y validación; hash cifrado a cargo del proveedor de identidad. Nunca almacenamos contraseñas en claro.
  • Bloqueo automático tras intentos fallidos repetidos en el panel.

A.10 — Criptografía

  • Todo el tráfico viaja sobre HTTPS/TLS con HSTS (max-age=63072000; includeSubDomains; preload).
  • Datos en reposo cifrados por nuestro proveedor de base de datos (AES-256).
  • Datos de tarjetas nunca se almacenan en nuestra infraestructura: los procesa Stripe (PCI DSS Level 1).

A.12 — Operaciones seguras

  • Registro de auditoría inmutable de acciones administrativas críticas (login al panel, alta/baja de usuarios, cambio de roles, cambios de estado de pedido, eliminación de productos). Solo el personal con rol admin puede consultarlo.
  • Respaldos diarios automáticos con retención mínima de 7 días.
  • Actualizaciones de seguridad aplicadas continuamente a dependencias y plataforma de despliegue.

A.13 — Seguridad en comunicaciones

  • Cabeceras de seguridad: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy y Strict-Transport-Security.
  • Aislamiento de orígenes y restricción de iframes a dominios de confianza (Stripe, Google Maps).
  • Cookies de sesión marcadas como HttpOnly, Secure y SameSite=Lax.

A.14 — Desarrollo seguro

  • Validación con esquemas tipados (Zod) en todos los puntos de entrada de servidor.
  • Webhooks de pago verificados con firma criptográfica e idempotencia.
  • Subida de imágenes con whitelist de tipo MIME y tamaño máximo (5 MB productos, 2 MB logos).

A.16 — Gestión de incidentes

Si detectas o sospechas un incidente de seguridad (vulnerabilidad, acceso no autorizado, fuga de información), repórtalo de inmediato a soporte@stcs.com.mx indicando “Reporte de seguridad” en el asunto. Acusamos recibo dentro de las siguientes 72 horas hábiles y mantenemos contacto hasta el cierre.

A.17 — Continuidad del negocio

Operamos sobre infraestructura redundante (cómputo y base de datos gestionados). En caso de degradación, contamos con respaldos para restaurar el servicio dentro de un objetivo razonable.

A.18 — Cumplimiento

  • LFPDPPP: ver Aviso de privacidad.
  • PCI DSS: cubierto a través de Stripe (no manejamos datos de tarjeta directamente).

4. Responsabilidades

El propietario del negocio actúa como responsable de seguridad de la información y supervisa la aplicación de esta política. El personal con rol admin es responsable de gestionar usuarios, revisar el registro de auditoría periódicamente y reportar cualquier anomalía.

5. Revisión

Esta política se revisa al menos una vez al año o cuando ocurra un cambio relevante en la plataforma. Las modificaciones se publican en esta misma página con la fecha de actualización.

6. Contacto

Equipo de seguridad de STCS:
Correo: soporte@stcs.com.mx
Teléfono / WhatsApp: 56 3425 3664
Horario: Lunes a viernes de 9:00 a 18:00 hrs (hora del centro de México)

Nota: declaramos alineación con ISO/IEC 27001. Esta declaración no implica, por sí sola, una certificación emitida por un organismo acreditado. Los controles descritos son verificables en el sitio y en su configuración.