Saltar al contenido
Confianza

Seguridad de la plataforma

Mercado Carne maneja información comercial y fiscal sensible. Esta página resume nuestras prácticas y cómo reportar una vulnerabilidad.

Última actualización: 15 de mayo de 2026

Principios

Tres principios guían nuestras decisiones de seguridad:

  1. Privacidad por diseño. Cada feature se piensa primero desde el riesgo a los datos. Pedimos solo lo necesario y lo guardamos solo el tiempo necesario.
  2. Verificable. Toda acción crítica deja bitácora auditable: quién, cuándo, qué y desde dónde.
  3. Cumplimiento mexicano. Operamos bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y normas sectoriales aplicables (CFDI 4.0, NOM sanitarias).

Prácticas técnicas

  • Cifrado en tránsito: TLS 1.2+ en todos los subdominios. HSTS habilitado.
  • Cifrado en reposo: bases de datos y almacenes de archivos cifrados con AES-256 o equivalente.
  • Acceso por roles: autenticación multifactor obligatoria para personal interno con acceso a datos sensibles.
  • Auditoría: logs de acceso y modificación retenidos al menos 12 meses.
  • Backups: respaldos automatizados con retención mínima de 30 días y pruebas periódicas de restauración.
  • Hardening: dependencias monitoreadas para vulnerabilidades conocidas (CVE) y parcheo en ciclos cortos.
  • Aislamiento de entornos: producción, staging y desarrollo viven en proyectos cloud separados con credenciales independientes.

Tratamiento de documentos sensibles

Los documentos que las empresas suben para verificación (RFC, acta constitutiva, licencias sanitarias, certificaciones) se almacenan cifrados en buckets privados, con acceso limitado al personal de cumplimiento mediante URLs firmadas temporales. Los documentos pueden ser eliminados a solicitud del titular conforme a los Derechos ARCO descritos en el Aviso de Privacidad.

Reporte responsable de vulnerabilidades

Si descubres un problema de seguridad en cualquier subdominio o servicio de Mercado Carne, te pedimos reportarlo de forma confidencial antes de divulgarlo públicamente.

Canal: [email protected]

Por favor incluye:

  • Descripción clara y reproducible del hallazgo.
  • URL o componente afectado, severidad estimada y posible impacto.
  • Pasos para reproducir y, si es posible, prueba de concepto.
  • Tus datos de contacto para coordinar la respuesta.

Nos comprometemos a:

  • Acusar recibo dentro de los 2 días hábiles siguientes.
  • Mantenerte informado sobre el avance de la remediación.
  • Acreditarte públicamente, si así lo deseas, una vez resuelto el incidente.
  • No iniciar acciones legales contra investigadores que actúen de buena fe siguiendo este canal.

Notificación de incidentes

En caso de un incidente de seguridad que afecte datos personales, seguiremos los lineamientos del INAI y notificaremos a los titulares afectados conforme a lo establecido en la LFPDPPP. La comunicación incluirá: naturaleza del incidente, datos potencialmente comprometidos, medidas correctivas tomadas y recomendaciones para los titulares.

Esta página se actualizará conforme evolucione nuestra postura de seguridad y maduren los servicios. Si tienes preguntas adicionales, escríbenos a [email protected].