# 06 - Seguridad > Cifrado, gestión de secretos, modelo de amenazas y respuesta a incidentes ## Contenido | Documento | Descripción | |-----------|-------------| | [inmutabilidad.md](inmutabilidad.md) | Principios de inmutabilidad, cadena de hashes | | [secretos.md](secretos.md) | Gestión con Infisical, categorías de credenciales | | [cifrado.md](cifrado.md) | Envelope encryption, KEK, algoritmos | | [rotacion.md](rotacion.md) | Políticas de rotación de claves | | [modelo-amenazas.md](modelo-amenazas.md) | Análisis de riesgos y mitigaciones | | [respuesta-incidentes.md](respuesta-incidentes.md) | Procedimientos ante incidentes | ## Principios de Seguridad 1. **Inmutabilidad**: Los registros consolidados no se modifican 2. **Cifrado en reposo**: Datos sensibles cifrados con AES-256-GCM 3. **Cifrado en tránsito**: TLS 1.3 para todas las comunicaciones 4. **Mínimo privilegio**: Acceso solo a lo necesario 5. **Trazabilidad**: Toda acción queda registrada ## Arquitectura de Cifrado ``` ┌─────────────────────────────────────────┐ │ Master Key (HSM) │ └─────────────────┬───────────────────────┘ │ ┌─────────▼─────────┐ │ KEK (Key Enc.) │ └─────────┬─────────┘ │ ┌─────────────┼─────────────┐ ▼ ▼ ▼ ┌───────┐ ┌───────┐ ┌───────┐ │ DEK 1 │ │ DEK 2 │ │ DEK N │ └───────┘ └───────┘ └───────┘ │ │ │ ▼ ▼ ▼ Data Data Data ``` ## Gestión de Secretos **Herramienta**: Infisical | Categoría | Ejemplos | Rotación | |-----------|----------|----------| | API Keys | OpenAI, Anthropic, RunPod | 90 días | | DB Credentials | PostgreSQL users | 30 días | | Storage | R2 access keys | 180 días | | SSH Keys | Acceso a servidores | 365 días | ## Modelo de Amenazas | Amenaza | Probabilidad | Impacto | Mitigación | |---------|--------------|---------|------------| | Acceso no autorizado | Media | Alto | MFA, logs, alertas | | Pérdida de datos | Baja | Crítico | Backups 3-2-1 | | Compromiso de keys | Baja | Alto | Rotación, Infisical | | Denegación de servicio | Media | Medio | Rate limiting, CDN | --- [← Volver al índice](../README.md)