En GPMVS nos tomamos muy en serio la seguridad de los datos de nuestros usuarios. A continuación, detallamos las medidas de seguridad implementadas en nuestra plataforma.
1. Protección contra Inyección SQL
Todos los datos enviados mediante formularios son procesados exclusivamente mediante consultas preparadas (Prepared Statements) utilizando PDO o MySQLi con parámetros enlazados.
Esto impide que entradas maliciosas puedan modificar o ejecutar instrucciones SQL no autorizadas.
No se permite la interpolación directa de variables dentro de consultas SQL.
2. Validación y Sanitización de Datos
Antes de almacenar cualquier información:
Se valida que los campos obligatorios estén presentes.
Se verifica el formato del correo electrónico mediante validación estándar.
El teléfono se valida mediante expresión regular (solo 9 dígitos numéricos).
Se limita la longitud máxima de los campos.
Se eliminan espacios innecesarios y caracteres no permitidos.
El backend nunca confía exclusivamente en la validación del frontend.
3. Protección contra XSS (Cross-Site Scripting)
Todos los datos almacenados que puedan mostrarse posteriormente en pantalla se escapan utilizando funciones seguras (ej. htmlspecialchars).
No se renderiza contenido introducido por el usuario sin escapar correctamente los caracteres especiales.
4. Protección contra Bots y Envíos Automatizados
Para prevenir el envío masivo de formularios:
Se implementa un sistema de verificación reCAPTCHA.
Se utiliza un campo honeypot invisible para detectar bots automatizados.
Se pueden establecer límites de envío por IP en intervalos de tiempo determinados.
5. Protección contra CSRF (Cross-Site Request Forgery)
Cada formulario incorpora un token CSRF generado dinámicamente y almacenado en sesión.
El backend verifica la validez del token antes de procesar cualquier solicitud, impidiendo envíos fraudulentos desde sitios externos.
6. Uso Obligatorio de HTTPS
Todo el tráfico web se redirige automáticamente a HTTPS mediante configuración del servidor. Esto garantiza:
Encriptación de datos en tránsito.
Protección frente a interceptación.
Integridad de la comunicación cliente-servidor.
7. Encabezados de Seguridad HTTP
El servidor envía encabezados de seguridad adicionales, incluyendo:
X-Frame-Options
X-Content-Type-Options
Referrer-Policy
Protección básica contra XSS
Estos reducen riesgos de clickjacking y ataques de inyección.
8. Protección de Datos Personales
Los datos recopilados se almacenan de forma segura en el servidor.
El acceso a la base de datos está restringido.
Las credenciales no se exponen en archivos públicos.
Se aplican principios de minimización de datos.
Se limita el acceso interno únicamente a personal autorizado.
9. Control de Acceso y Registro de Actividad
Se pueden registrar:
Dirección IP de envío
Fecha y hora del registro
Intentos fallidos de validación
Con el objetivo de detectar patrones anómalos o actividad maliciosa.
10. Principio de Defensa en Profundidad
La seguridad no depende de una única medida, sino de la combinación de:
Validación estricta
Escapado de datos
Protección de sesión
Control de tráfico
Buenas prácticas de desarrollo
Utilizamos cookies para mejorar su experiencia. Al continuar navegando, acepta nuestra Política de Cookies.