1. Configuración de la seguridad de Django

Hemos configurado varias opciones de seguridad en Django para proteger nuestra aplicación contra vulnerabilidades comunes.

• Aplicación de conexiones HTTPS seguras
  • SECURE_SSL_REDIRECT: Redirige todas las solicitudes HTTP a HTTPS, asegurando que los datos se cifren durante la transmisión.
  • SESSION_COOKIE_SECURE: Asegura que las cookies de sesión solo se envíen a través de conexiones HTTPS seguras, protegiendo las sesiones de los usuarios.
  • CSRF_COOKIE_SECURE: Asegura que los tokens CSRF solo se envíen a través de HTTPS, mejorando la protección contra ataques de falsificación de solicitudes entre sitios.
• Protección de encabezados y prevención de XSS
  • SECURE_BROWSER_XSS_FILTER: Habilita el filtro XSS incorporado en el navegador para proteger contra ataques de scripting entre sitios.
  • SECURE_CONTENT_TYPE_NOSNIFF: Previene que los navegadores interpreten archivos como un tipo MIME diferente al especificado, reduciendo el riesgo de ciertos tipos de ataques.
• Orígenes confiables para la protección CSRF
  • CSRF_TRUSTED_ORIGINS: Configura los orígenes confiables para las solicitudes protegidas por CSRF, asegurando que solo se procesen solicitudes legítimas.
• URL personalizada del administrador

  Para mejorar la seguridad del panel de administración de Django, hemos implementado una URL dinámica que cambia en función de un token seguro, lo que dificulta que los usuarios no autorizados encuentren la página de inicio de sesión del administrador.

• Autenticación de 2 factores de Google

  Hemos integrado Google 2FA (Autenticación de Dos Factores) para la página de inicio de sesión del administrador de Django, proporcionando una capa adicional de seguridad. Esto asegura que, incluso si las credenciales se ven comprometidas, el acceso no autorizado aún se evita.

• Google reCAPTCHA

  Google reCAPTCHA está integrado para proteger los formularios contra bots y abuso automatizado. Las claves públicas y privadas se gestionan de manera segura a través de variables de entorno, garantizando la integridad de la implementación de reCAPTCHA.

• Política de Seguridad de Contents (CSP)

  Hemos configurado directrices de la Política de Seguridad de Contents (CSP) para prevenir que se cargue contenido malicioso en nuestras páginas web, reduciendo el riesgo de XSS y otros ataques.

• Sanitización de Contents

  Sanitizar los datos de entrada es crucial para prevenir diversos ataques, incluyendo XSS y la inyección de SQL. Hemos implementado métodos de sanitización estrictos y normales para limpiar los datos antes de almacenarlos o mostrarlos, asegurando que sólo se procese contenido seguro.

2. Integración con Cloudflare

Utilizamos Cloudflare para mejorar el rendimiento y la seguridad del sitio web. Cloudflare proporciona caché global, optimización de código, aplicación de SSL/HTTPS, y características de seguridad potentes como cortafuegos y protección contra DDoS.

3. Protecciones SSL y Cortafuegos

• SSL de Heroku: SSL de Heroku se utiliza para cifrar los datos entre tu navegador y nuestros servidores, asegurando que todas las comunicaciones sean seguras y protegidas contra el espionaje.
• Cortafuegos: Utilizamos cortafuegos proporcionados por Cloudflare, Heroku, AWS S3 y Supabase para proteger nuestros servidores contra accesos no autorizados y ataques. El cifrado SSL se aplica en todos los servicios, asegurando la transmisión segura de datos.

4. Seguridad de la Base de Datos y Caché

• Caché de Base de Datos: Hemos implementado mecanismos de caché para reducir consultas innecesarias a la base de datos, mejorando el rendimiento y minimizando el riesgo de sobrecargar el servidor.
• Seguridad a Nivel de Fila (RLS): La Seguridad a Nivel de Fila (RLS) está habilitada en nuestras bases de datos PostgreSQL para restringir el acceso a los datos a nivel de fila, asegurando el cumplimiento de regulaciones de privacidad como el GDPR.
• Limitación de Tasa: Nuestro limitador de tasa previene solicitudes excesivas al servidor, protegiendo contra posibles ataques de denegación de servicio y asegurando un uso justo de los recursos.

5. Actualizaciones Regulares

Actualizamos regularmente el framework de Django y tus dependencias para corregir vulnerabilidades de seguridad y mantener un rendimiento óptimo.

Estas medidas de seguridad están diseñadas para proteger tanto nuestra aplicación como a los usuarios, asegurando una experiencia web segura y confiable. Estamos comprometidos con mantener los más altos estándares de seguridad y continuaremos monitoreando y mejorando nuestro sistema según sea necesario.

6. Moderación de IA y Privacidad

• Implementamos la moderación de IA a través de TogetherAI para las interacciones usuario–asistente con el fin de mantener la seguridad, prevenir abusos y cumplir con las obligaciones legales y de cumplimiento.
• Cuando se detecta contenido dañino o de alto riesgo, podemos registrar la interacción para su revisión. Estos registros están restringidos al personal autorizado y no se utilizan para publicidad ni para análisis no relacionados.
• Base legal (RGPD): nuestros intereses legítimos en la seguridad y la integridad de la plataforma (art. 6(1)(f)) y, cuando corresponda, el cumplimiento de obligaciones legales (art. 6(1)(c)).
• Datos que podemos procesar para la moderación: contenido de los mensajes, marcas de tiempo, identificadores de usuario/cuenta, salidas del modelo, etiquetas de la taxonomía (S1–S14), niveles de confianza, fragmentos y metadatos de enrutamiento.
• Conservación: los registros de moderación se mantienen solo durante el tiempo necesario para fines de seguridad, auditoría y legales. Las solicitudes de supresión de datos pueden estar limitadas cuando sea necesario conservarlos para cumplir obligaciones legales o para el establecimiento, ejercicio o defensa de reclamaciones legales.
• Decisiones automatizadas y revisión: las comprobaciones automáticas pueden restringir temporalmente contenido o accesos. Puede solicitar una revisión humana y apelar los resultados de la moderación.
• Transferencias internacionales: nuestros proveedores (incluido TogetherAI) pueden procesar datos fuera de su país. Confiamos en garantías adecuadas (p. ej., Cláusulas Contractuales Tipo) y exigimos medidas de confidencialidad y seguridad.
• Aplicamos una taxonomía S1–S14 para etiquetar las interacciones dañinas. La cobertura exacta de las etiquetas puede variar según el modelo de moderación:
  • Virtue AI VirtueGuard Text Lite
  • meta-llama/Llama-Guard-4-12B
  • meta-llama/Llama-Guard-3-11B-Vision-Turbo
  • meta-llama/Meta-Llama-Guard-3-8B
  • meta-llama/LlamaGuard-2-8b
• Sus derechos: puede tener derechos de acceso, rectificación, limitación, oposición y portabilidad. Algunos derechos (p. ej., supresión) pueden estar limitados cuando la conservación sea necesaria por motivos legales o de seguridad.
• Política de tolerancia cero frente a la explotación sexual infantil (CSE): el contenido relacionado se bloquea, se conserva como prueba y puede ser reportado a las autoridades competentes.