POLÍTICA DE SEGURIDAD

Alineada con ISO/IEC 27001 y SOC 2

1. Introducción

DeskCamera es una aplicación de software que transmite la pantalla y el audio del ordenador a sistemas NVR/VMS mediante protocolos ONVIF/RTSP. Está diseñada para funcionar completamente de forma local dentro de la red del cliente, sin transmitir, recopilar ni almacenar ningún dato del usuario ni contenido de vídeo. El software se desarrolla siguiendo estrictos estándares de seguridad y prácticas de cumplimiento.

2. Objetivo de la política

Definir el marco de seguridad y las responsabilidades para garantizar la confidencialidad, integridad y disponibilidad de la aplicación DeskCamera, en alineación con los estándares ISO/IEC 27001 y los Criterios de Confianza de SOC 2.

3. Principios clave de seguridad

  • Arquitectura exclusivamente local: DeskCamera opera completamente dentro de la infraestructura del cliente y no requiere conexión a internet ni a servidores externos. Puede haber una conexión opcional a la infraestructura en la nube de DeskCamera únicamente para verificación de licencia o comprobación de actualizaciones. En ningún caso se transmite información personal durante dicha conexión.

  • Sin recopilación de datos: La aplicación no recopila ni transmite datos del usuario, vídeo ni telemetría.

  • Gestión segura del código fuente (ISO 27001 A.9, A.12): El código fuente se gestiona en un repositorio DevOps protegido con control de acceso basado en roles, registros de actividad y auditorías periódicas.

  • Compilaciones firmadas (SOC 2 – Integridad del sistema): Todas las compilaciones del software están firmadas digitalmente mediante un certificado almacenado de forma segura y cifrada en un token de hardware (como HSM o Yubikey), conforme a los estándares modernos de cifrado y seguridad física.

  • Ciclo de vida de desarrollo seguro (SDLC): DeskCamera sigue un SDLC seguro que incluye diseño seguro, revisión de código, análisis estático y pruebas de penetración al menos una vez al año.

  • Integridad de las actualizaciones (SOC 2 – Gestión de cambios): Todas las actualizaciones siguen un proceso formal de control de cambios, pruebas de regresión y verificación de integridad antes del lanzamiento. Los cambios se rastrean mediante un sistema de control de versiones con trazabilidad de auditoría.

4. Control de acceso

  • Solo el personal autorizado puede acceder al código fuente o a la infraestructura de compilación.

  • Los accesos se revisan trimestralmente (ISO/IEC 27001 A.9.2.5).

  • Todas las acciones administrativas se registran y conservan para fines de auditoría.

5. Gestión de riesgos de proveedores y terceros (ISO 27001 A.15)

  • Todas las bibliotecas y dependencias de terceros son rastreadas y monitorizadas.

  • Se revisan los avisos de seguridad semanalmente y se aplican parches de manera regular.

  • Se evitan o aíslan (sandbox) los componentes de alto riesgo o sin soporte.

6. Preparación ante incidentes (ISO 27001 A.16, SOC 2)

  • Hay un punto de contacto específico para informar sobre vulnerabilidades e incidentes.

  • Los incidentes de seguridad siguen un proceso estructurado: detección, clasificación, contención, resolución y análisis de causa raíz.

  • Se revisan las lecciones aprendidas para mejorar la respuesta futura.

7. Responsabilidades del cliente

  • Aplicar las actualizaciones del software proporcionadas a través del sitio web oficial de DeskCamera.

  • Mantener configuraciones de sistema seguras y restringir el acceso de red a los puntos finales de DeskCamera.

8. Cumplimiento y revisión

Esta política se revisa anualmente y siempre que se realicen cambios significativos en el sistema o el entorno.

9. Contacto para cuestiones de seguridad

Cualquier problema de seguridad puede reportarse a: [email protected]