DroneEye — The Sky Where Every Flight Becomes a Mission
Seguridad

Seguridad en DroneEye

Nos tomamos en serio la seguridad de tus datos, tus documentos y tu cuenta. Así es como te protegemos.

Última revisión: abril de 2026

Prácticas de seguridad

Autenticación

  • Tokens de acceso basados en JWT con expiración corta
  • Tokens de actualización almacenados en cookies HttpOnly
  • Rotación de tokens en cada actualización
  • Cierre de sesión automático al expirar el token o con firma inválida
  • Control de acceso basado en roles (CLIENT, PILOT, ADMIN)

Cifrado de datos

  • Todos los datos en tránsito se cifran mediante TLS 1.2+
  • Las contraseñas se cifran con bcrypt antes de almacenarse
  • Las cookies de sesión están marcadas como Secure y HttpOnly
  • Los archivos de documentos sensibles se almacenan con comprobaciones de control de acceso

Infraestructura

  • Los servicios backend se ejecutan en contenedores aislados
  • La base de datos no es directamente accesible desde la Internet pública
  • Los archivos subidos se validan por tipo y tamaño antes de almacenarse
  • Se aplica limitación de tasa a los endpoints de autenticación

Privacidad por diseño

  • Solo se recopilan los datos mínimos necesarios por operación
  • Los datos de perfil solo son visibles para usuarios autenticados y autorizados
  • El acceso de administradores a los datos de usuario queda registrado y auditable
  • Se utiliza borrado lógico: los datos se conservan brevemente antes de su eliminación permanente

Seguridad de documentos

  • Los documentos de cualificación de pilotos se almacenan en el servidor y no están expuestos públicamente
  • Las URL de los documentos están acotadas y validadas en el servidor antes de servirse
  • Los administradores revisan todos los documentos enviados: no hay confianza automática

Seguridad de la aplicación

  • Todas las entradas de la API se validan con Bean Validation (Jakarta)
  • La inyección SQL se previene mediante consultas parametrizadas de JPA
  • CORS está configurado para restringir el acceso entre orígenes
  • Protección CSRF mediante política de cookies SameSite

Divulgación responsable

Si descubres una vulnerabilidad de seguridad en DroneEye, te pedimos que nos la comuniques de forma privada antes de divulgarla públicamente. Nos comprometemos a colaborar con los investigadores de seguridad de buena fe.

Por favor, no intentes acceder a los datos de otros usuarios, ejecutar escáneres automatizados contra los sistemas de producción ni realizar ninguna acción que pueda afectar a la disponibilidad de la plataforma.

Nuestros compromisos con los investigadores

  • Revisamos todos los informes de seguridad en un plazo de 2 días hábiles
  • No emprenderemos acciones legales contra investigadores de buena fe
  • Reconoceremos los problemas confirmados y describiremos la solución una vez resuelta
  • Te pedimos que no divulgues públicamente los problemas hasta que los hayamos corregido

Informar de una vulnerabilidad

Envía una descripción detallada del problema, incluidos los pasos para reproducirlo, a nuestro equipo de seguridad a través del formulario de contacto. Incluye "Informe de seguridad" en el asunto.

Informar de un problema de seguridad