Una Fortaleza Digital para el Futuro Inmobiliario

Una exploración interactiva de la arquitectura de ciberseguridad integral diseñada para proteger a SafeTrade, sus clientes y sus datos más valiosos.

El "Porqué": Nuestros Principios Fundamentales

La confianza es nuestro activo más importante. Nuestra estrategia de seguridad se basa en principios probados de la industria para garantizar que cada aspecto de la plataforma esté diseñado para ser seguro por defecto.

La Tríada CIA: El Pilar de la Seguridad

🛡️ Confidencialidad

Prevenir la divulgación no autorizada de datos. Solo los usuarios autorizados pueden acceder a información sensible como PII y documentos legales, protegidos mediante cifrado y control de acceso granular.

🔗 Integridad

Asegurar que los datos sean precisos y no hayan sido alterados. Las firmas digitales y las pistas de auditoría inmutables garantizan la fiabilidad de la información.

✅ Disponibilidad

Garantizar que la plataforma esté siempre operativa para los usuarios. La redundancia, las copias de seguridad y la mitigación de DDoS aseguran la continuidad del negocio.

Defensa en Profundidad (DiD)

Capa 1: Perímetro (Cloudflare/Vercel)
Capa 2: Control de Acceso (IAM/Zero Trust)
Capa 3: Red (AWS VPC)
Capa 4: Aplicación (EC2)
🎯 Capa 5: Datos (Base de Datos/Storage)

Cada capa de defensa está diseñada para ralentizar y detener a un atacante, protegiendo los activos críticos en el núcleo.

El "Cómo": Nuestra Arquitectura Multi-Nube

Adoptamos un "Modelo de Protección Dividida", aprovechando los mejores servicios de Vercel para el frontend, Cloudflare para el perímetro de seguridad y AWS para un backend robusto y aislado.

Escanea el QR para ver la arquitectura en detalle o haz click aquí

Arquitectura de SafeTrade

Flujo de Tráfico del Modelo de Protección Dividida

👤
Usuario Final
🔒
2FA Google Authenticator
🖥️
Vercel (Frontend)
🛡️
Cloudflare (Perímetro)

WAF, API Shield, DDoS

🔒
Cloudflare Tunnel (Backend)
⚙️
AWS (Backend)

Elastic Beanstalk → EC2

🗃️
Capa de Datos
AWS KMS (Cifrado)
Hashicorp Vault (Cifrado)
Supabase (Base de Datos)
Cloudflare R2 (Documentos)

El "Con Qué": Selección Estratégica de Tecnologías

Cada componente de nuestra pila ha sido elegido tras un riguroso análisis para maximizar la seguridad, la eficiencia y la velocidad de desarrollo, sin comprometer la protección.

WAF: Cloudflare vs. AWS

Recomendación: Cloudflare por su superior inteligencia de amenazas y facilidad de uso.

Almacenamiento: Cloudflare R2 vs. Digital Ocean Spaces

Recomendación: Cloudflare R2 por su integración nativa y cero tarifas de egreso.

Base de Datos: Supabase vs. AWS RDS

Recomendación: Supabase por su seguridad a nivel de fila (RLS) y aceleración del desarrollo.

Asegurando el Núcleo: Protección de Datos Avanzada

Los datos más sensibles requieren defensas adicionales. Usamos una combinación de tokenización y cifrado de sobre para proteger PII y documentos, reduciendo drásticamente el riesgo.

Flujo de Tokenización de PII

  1. 1. Entrada de PII

    Usuario introduce un dato sensible (ej. nº de cuenta) en la app.

  2. 2. Envío a Bóveda

    La app envía el dato a un servicio de tokenización aislado.

  3. 3. Generación de Token

    La bóveda almacena el dato original y devuelve un token no sensible.

  4. 4. Almacenamiento Seguro

    La app guarda el token (no el dato real) en la base de datos principal.

Cifrado de Sobre (Documentos)

  1. 1. Solicitar Clave de Datos

    La app solicita a AWS KMS una nueva clave de cifrado de datos.

  2. 2. Cifrar Documento

    KMS devuelve una clave en texto plano. La app la usa para cifrar el documento y luego la destruye de la memoria.

  3. 3. Almacenar Artefactos

    La app guarda en R2 el documento cifrado junto con la clave de datos (también cifrada por KMS).

  4. 4. Descifrado Seguro

    Para leer, la app pide a KMS que descifre la clave de datos, descifra el documento, y destruye la clave.

El "Cuándo": Nuestra Hoja de Ruta de Implementación

Implementaremos esta arquitectura de seguridad en un plan por fases, asegurando que cada componente se construya sobre una base sólida y segura desde el primer día.

FASE 1

Infraestructura Fundacional

Configuración de cuentas (AWS, Cloudflare, Vercel), despliegue de VPC, políticas IAM iniciales y creación de clave KMS.

FASE 2

Backend y Capa de Datos

Desarrollo de API con Lambda, configuración de WAF, implementación de RLS en Supabase y lógica de cifrado.

FASE 3

Frontend e Integración

Construcción de la app Next.js, comunicación segura con la API y flujo de carga de archivos directa a R2.

FASE 4

DevSecOps y Automatización

Integración de escaneo de vulnerabilidades (SAST) en CI/CD, centralización de logs y creación de plan de respuesta a incidentes.

FASE 5 (Continuo)

Endurecimiento y Mejora Continua

Pruebas de penetración, auditorías de cumplimiento, formación y monitoreo constante post-lanzamiento.