Confianza

La postura de seguridad de Impleia, en vivo.

Todo en esta pagina es observable, fechado y auditable. Si nos estas evaluando para trabajo que toca datos sensibles, esto deberia responder la mayoria de tus preguntas en menos de cinco minutos.

Postura actual
Escaneo de secretos
Limpio
Gitleaks + patrones propios sobre todo el historial de git. 0 hallazgos en el repo publico.
Dependencias
Al dia
Dependabot activo. Advisories de alta severidad parchadas en menos de 7 dias.
SAST en cada PR
Forzado
Semgrep con rulesets OWASP, Next, TypeScript, React. Bloquea el merge ante hallazgos.
Ultima auditoria
2026-04-23
Baseline multi-proyecto. Sin secretos en el historial publicado. Cada advisory de dependencia de alta severidad fue aplicada.
Proxima auditoria
2026-07-23
Cadencia trimestral: pentest con Shannon, auditoria de dependencias, rotacion de secretos.
Seguros
En proceso
Technology E&O + Cyber Liability contratado para Q3 2026. Hasta entonces, no ofrecemos engagements de pentest a clientes externos.
01 — Como aseguramos nuestro propio stack

Cuatro capas, cada una con la herramienta que realmente usamos.

Codigo

Cada repositorio corre analisis estatico en cada pull request. Bloqueamos merges sobre hallazgos que no podemos justificar, no sobre warnings.

  • Semgrep (OWASP / Next / TypeScript / React)
  • TypeScript strict
  • ESLint + reglas propias

Dependencias

Dependabot vigila el arbol. CI corre npm audit al umbral de alta severidad en cada push. Checks de provenance estilo Shai-Hulud corren sobre releases nuevos de paquetes que tocan secretos o pagos.

  • Dependabot (semanal, agrupado)
  • npm audit (alta+)
  • Provenance de cadena de suministro sobre deps sensibles

Secretos

No se permite que un secreto llegue al historial de git. Un pre-commit hook bloquea commits con credenciales filtradas. CI corre gitleaks en cada push y en cada barrido calendarizado. Cada llave tiene fecha de rotacion.

  • Gitleaks en CI
  • Pre-commit propio (audit-secrets.mjs)
  • Inventario de credenciales con rotacion trimestral

Runtime

Antes de lanzamiento, cada sitio construido por Impleia pasa por un pentest con Shannon contra un ambiente de staging con el codigo en mano. Los hallazgos se reportan con prueba de concepto funcional. Corremos el mismo proceso sobre nuestro propio sitio cada trimestre.

  • Shannon (pentest IA caja-blanca)
  • Red-team sobre chatbot (OWASP LLM Top 10)
  • Revision de DNS y autenticacion de correo
02 — ¿Encontraste algo?

Por favor, cuentanos.

Si crees haber encontrado un problema de seguridad en algo que operamos — impleia.com, un sitio de cliente que construimos, un API que exponemos — reportalo y respondemos.

security@impleia.com

Nos comprometemos a un acuse de recibo en menos de 24 horas y a una primera respuesta sustantiva en menos de 72 horas.

No corremos un bug bounty pagado hoy. Damos credito publico en nuestro changelog (si quieres), y para reportes sustantivos mandamos un agradecimiento que no es solo una playera.

security.txtPublic repository
03 — Autorizacion para probar

Cada engagement corre bajo una clausula escrita.

Antes de cualquier escaneo, el cliente firma una clausula que nombra los sistemas en scope, la ventana de prueba y los proveedores fuera de scope. La clausula esta escrita para funcionar en ambos lados de la frontera Mexico-EE.UU.

Estados Unidos (federal)
18 U.S.C. §1030
Massachusetts
M.G.L. ch. 266 §120F
Mexico
Codigo Penal Federal Art. 211 bis-1 al 211 bis-7
04 — Changelog

Que cambio recientemente.

2026-04-23
Auditoria baseline sobre cada repositorio propio de Impleia. Next.js parchado en dos proyectos. Pipeline de CI de seguridad desplegado. Inventario de credenciales establecido.

Esta pagina se escribe a mano. Los badges reflejan el estado de nuestros repositorios publicos al corte de la ultima auditoria fechada. Los feeds de estado machine-readable se anaden junto con la siguiente auditoria.

← Ver el servicio de seguridad