Seguridad en TesoreroEscolar.cl

Cifrado de datos en tránsito y en reposo

Toda la comunicación entre su navegador y nuestros servidores se realiza a través del protocolo HTTPS (TLS 1.2 o superior), garantizando que los datos no puedan ser interceptados en tránsito.

Las contraseñas de los usuarios se almacenan utilizando el algoritmo bcrypt con sal aleatoria, lo que significa que incluso en el evento improbable de un acceso no autorizado a la base de datos, las contraseñas originales no podrían ser recuperadas.

Control de acceso y autorización

Implementamos un modelo estricto de control de acceso para garantizar que cada usuario solo pueda ver y modificar sus propios datos:

• Cada consulta a la base de datos valida que el recurso solicitado pertenezca al usuario autenticado.
• Las sesiones se identifican mediante tokens seguros almacenados en el servidor.
• Las sesiones expiran automáticamente tras un período de inactividad.
• Los códigos de acceso a cursos compartidos con apoderados son de solo lectura y no permiten modificar datos.

Los tokens de recuperación de contraseña tienen una vigencia de 1 hora y se invalidan inmediatamente tras su uso. Un usuario solo puede tener un token activo a la vez.

Seguridad de la infraestructura

Nuestra plataforma está hospedada en servidores con las siguientes características de seguridad:

• Servidor web con reglas de firewall y protección contra ataques comunes.
• Base de datos MySQL accesible únicamente desde el servidor de aplicación (no expuesta a internet).
• Copias de seguridad periódicas de la base de datos.
• Actualizaciones regulares del sistema operativo y del software del servidor.
• Logs de acceso monitoreados para detectar actividad anómala.

Seguridad de la aplicación

Aplicamos las siguientes medidas de seguridad a nivel de aplicación:

• Consultas parametrizadas (PDO): todas las consultas SQL usan sentencias preparadas para prevenir inyección SQL.
• Escapado de salida (XSS): toda la información mostrada al usuario se escapa con htmlspecialchars() para prevenir ataques de Cross-Site Scripting.
• Validación de entradas: todos los datos recibidos del usuario son validados y saneados antes de ser procesados o almacenados.
• Gestión de sesiones segura: uso de session_start() con configuración de cookies seguras y ruta de sesión en servidor.
• Tokens criptográficamente seguros: los tokens de recuperación de contraseña se generan con random_bytes(), función de entropía del sistema operativo.
• Protección enumeración de usuarios: el formulario de recuperación de contraseña siempre muestra el mismo mensaje, independientemente de si el correo existe, para no revelar información.

Recomendaciones para el usuario

La seguridad es una responsabilidad compartida. Le recomendamos:

• Utilizar una contraseña única y robusta (mínimo 8 caracteres, letras y números).
• No compartir sus credenciales de acceso con terceros.
• Cerrar sesión al terminar de usar la plataforma, especialmente en dispositivos compartidos.
• Mantener actualizado el navegador que utiliza para acceder a TesoreroEscolar.cl.
• Desconfiar de correos que soliciten sus credenciales. Nunca pedimos contraseñas por correo.
• Revisar periódicamente los datos del curso para detectar cualquier inconsistencia.

Respuesta ante incidentes de seguridad

En caso de detectar un incidente de seguridad que afecte a los datos de los usuarios, nos comprometemos a:

• Notificar a los usuarios afectados en un plazo máximo de 72 horas desde la detección.
• Informar a las autoridades competentes cuando sea requerido por la ley.
• Tomar medidas inmediatas para contener y remediar el incidente.
• Proporcionar información clara sobre qué datos se vieron afectados y qué medidas se adoptaron.