Registrarse
Contacto Iniciar sesión Registrarse
Estado del Sistema

Blue está diseñado desde cero para la seguridad y escalabilidad.

Esta traducción se proporciona solo por conveniencia. La versión en inglés de este documento es el acuerdo legalmente vinculante.

Última actualización: 16 de julio, 2025

Blue ofrece seguridad de nivel empresarial y escalabilidad perfecta para sus procesos críticos. Diseñado para alta disponibilidad y confiable para más de 15,000 equipos en más de 120 países, Blue impulsa sus operaciones globales con confianza.

Nuestra plataforma está construida sobre una arquitectura robusta que prioriza tanto la seguridad como la escalabilidad desde su núcleo. Entendemos que a medida que su negocio crece, sus necesidades de gestión de proyectos evolucionan, y Blue está diseñado para crecer con usted. Ya sea que sea un equipo pequeño o una gran empresa, nuestro sistema puede manejar su carga de trabajo de manera eficiente y segura.

Plataforma Segura y Escalable

Blue garantiza el más alto nivel de seguridad y escalabilidad para sus necesidades de gestión de proyectos. Nuestras medidas de nivel empresarial protegen sus datos y le permiten crecer sin límites.

Hemos implementado una arquitectura de seguridad de defensa en profundidad con múltiples capas protectoras:

Protección de API

  • Limitación inteligente de velocidad: Los límites específicos por operación previenen el abuso mientras mantienen la usabilidad (por ejemplo, 5 solicitudes/60s para operaciones generales, 1 solicitud/50s para exportaciones)
  • Limitación de profundidad de consultas: Máximo 10 niveles de profundidad para prevenir ataques de consultas GraphQL circulares
  • Límites de tamaño de solicitud: 256MB para operaciones GraphQL, con límites mayores para cargas directas de archivos
  • Encabezados de seguridad: La integración de Helmet.js proporciona X-Frame-Options, X-Content-Type-Options y otros encabezados protectores

Protección de Datos

  • Sanitización de entrada: Todo el contenido HTML generado por usuarios es sanitizado usando un enfoque de lista blanca
  • Prevención de inyección SQL: Las consultas parametrizadas a través de Prisma ORM eliminan los riesgos de inyección SQL
  • Protección XSS: Tanto la sanitización del lado del servidor como el escape de plantillas de Vue.js previenen el cross-site scripting
  • Validación de carga de archivos: Verificación de tipo MIME, validación de extensión y sanitización de nombres de archivo para todas las cargas

Cifrado de Nivel Empresarial

Blue implementa cifrado AES-256-GCM de grado militar con cifrado autenticado para proteger sus datos sensibles.

Utilizamos cifrado AES-256 en modo Galois/Counter (GCM) con derivación de claves PBKDF2 usando 100,000 iteraciones. Este cifrado autenticado no solo protege sus datos sino que también asegura que no hayan sido alterados. Cada operación de cifrado utiliza una sal única y vector de inicialización (IV), haciendo que cada pieza de datos cifrados sea criptográficamente única. Todos los datos transmitidos entre sus dispositivos y nuestros servidores están cifrados usando TLS 1.2 o superior, con conexiones WebSocket actualizándose automáticamente a WSS (WebSocket Secure) para características en tiempo real.

Sistemas de Protección Avanzados

Blue emplea múltiples capas de protección automatizada para asegurar la seguridad y confiabilidad de la plataforma.

Protección en Tiempo Real

  • Limitación de velocidad por operación: Diferentes operaciones de API tienen límites de velocidad personalizados (5 req/60s para ops generales, 1 req/50s para exportaciones, 3 req/60s para operaciones sensibles de seguridad)
  • Detección automatizada de amenazas: Los intentos fallidos de autenticación y patrones sospechosos activan medidas protectoras automáticas
  • Análisis de complejidad de consultas: Las consultas GraphQL profundas están limitadas a 10 niveles con registro para consultas que se acercan a los límites
  • Protección CORS y CSRF: Las solicitudes de origen cruzado se validan con credenciales adecuadas y atributos de cookies SameSite

Seguridad de Infraestructura

  • Limitación de velocidad respaldada por Redis: La limitación de velocidad distribuida en todos los servidores asegura protección consistente
  • Manejo seguro de archivos: Las cargas de archivos se validan por tipos MIME, extensiones y límites de tamaño (256MB GraphQL, 4.8GB directo)
  • Seguridad basada en entorno: Diferentes configuraciones de seguridad para entornos de desarrollo, staging y producción
  • Soporte de rotación de claves: Secretos separados para tokens de acceso y actualización permiten rotación independiente de claves

Autenticación y Autorización Multi-Capa

Blue implementa un sistema de autenticación sofisticado con múltiples capas de protección.

Métodos de Autenticación

  • Sistema JWT de doble token: Tokens de acceso de corta duración (15 minutos) emparejados con tokens de actualización más largos (60 días) minimizan las ventanas de exposición
  • Tokens de Acceso Personal (PAT): Para integraciones de API, hasheados con bcrypt antes del almacenamiento y validados en cada solicitud
  • Autenticación Firebase: Integración perfecta para aplicaciones web y móviles con gestión automática de tokens
  • Códigos de seguridad basados en email: Códigos con tiempo limitado para operaciones sensibles con limpieza automática después del uso

Autorización de Grano Fino

Nuestra API GraphQL usa middleware Shield para hacer cumplir permisos a nivel de campo. Implementamos control de acceso basado en roles (RBAC) con seis niveles de permisos distintos: Propietario, Administrador, Miembro, Cliente, Solo Vista y Solo Comentario. Estos permisos son conscientes del contexto, verificando tanto el acceso a nivel de empresa como a nivel de proyecto para cada operación.

Más allá de los roles estándar, Blue soporta roles de usuario personalizados que permiten controles de acceso aún más granulares. Las organizaciones pueden crear roles personalizados con permisos específicos como canCreateRecords, canEditRecords, canDeleteRecords y canViewAnalytics, permitiendo control preciso sobre lo que cada miembro del equipo puede hacer. Los roles personalizados se pueden aplicar tanto a nivel de empresa como de proyecto, permitiendo diferentes conjuntos de permisos en diferentes proyectos. Reglas especiales manejan proyectos archivados y empresas inactivas para asegurar que los datos permanezcan protegidos incluso en casos extremos.

Monitoreo Continuo de Seguridad

Blue implementa monitoreo integral para mantener la integridad de la seguridad.

Nuestros sistemas incluyen monitoreo en tiempo real para eventos de seguridad, intentos fallidos de autenticación y patrones de acceso inusuales. La limitación de velocidad automáticamente previene ataques de fuerza bruta, mientras que la limitación de profundidad de consultas protege contra el agotamiento de recursos. Todos los eventos relevantes para la seguridad se registran con pistas de auditoría detalladas, permitiendo investigación rápida de cualquier actividad sospechosa.

Respaldos Diarios de Datos

Sus datos se respaldan diariamente para asegurar la integridad de los datos y permitir recuperación rápida ante desastres si es necesario.

Realizamos respaldos automatizados diarios de todos los datos de clientes, almacenando estos respaldos en ubicaciones seguras y geográficamente diversas. Además, nuestra plataforma implementa seguridad integral de sesiones:

Gestión de Sesiones

  • Cookies seguras: Todas las cookies de sesión usan banderas httpOnly (previniendo acceso JavaScript), secure (solo HTTPS) y sameSite='strict' (protección CSRF)
  • Rotación de tokens: Los tokens de actualización se rotan automáticamente al iniciar sesión para prevenir ataques de repetición de tokens
  • Aislamiento de dominio: Seguridad multi-inquilino a través de configuraciones de cookies específicas por dominio
  • Expiración automática: Las sesiones expiran después de períodos definidos con limpieza segura de artefactos de autenticación

Implementación Técnica de Seguridad

La seguridad de Blue está integrada en cada capa de nuestra arquitectura de aplicación.

Seguridad Frontend

  • Sin almacenamiento local de tokens: Los tokens de autenticación son gestionados por Firebase SDK, nunca almacenados en localStorage
  • Actualización automática de tokens: Los tokens se actualizan sin problemas antes de la expiración
  • Guardias de ruta: Cada página valida permisos de usuario antes del renderizado
  • Validación de formularios: Validación integral del lado del cliente con VeeValidate antes del envío al servidor

Arquitectura de Seguridad Backend

  • GraphQL Shield: Cada operación de API está protegida por reglas de permisos específicas
  • Prisma ORM: Las consultas de base de datos type-safe previenen ataques de inyección
  • Sistemas respaldados por Redis: La limitación de velocidad y gestión de sesiones usan Redis para rendimiento y confiabilidad
  • Registro de auditoría: Las operaciones sensibles de seguridad se registran para cumplimiento y depuración

Seguridad de Contraseñas y Tokens

  • Hashing BCrypt: Todas las contraseñas y tokens de acceso personal usan bcrypt con factores de trabajo apropiados
  • Sin almacenamiento en texto plano: Los datos sensibles nunca se almacenan en formato legible
  • Comparación segura: Las funciones de comparación seguras en tiempo previenen ataques de temporización
  • Códigos de un solo uso: Los códigos de seguridad se invalidan inmediatamente después del uso
© Blue | Diseñado con a través del

Asistente IA

Las respuestas son generadas por IA y pueden contener errores.

¿Cómo puedo ayudarte?

Pregúntame cualquier cosa sobre Blue o esta documentación.

Enter para enviar • Shift+Enter para nueva línea • ⌘I para abrir