Asociación Plastimodelistas del Oeste

I.P.M.S. Moron

Política de Seguridad

Fecha de vigencia: 29/10/2025
Dominio: https://ipmsmoron.ar

1) Propósito

Esta Política de Seguridad define los lineamientos y controles que IPMS Morón aplica para proteger la información, la infraestructura tecnológica y los recursos privados de miembros (APO), incluyendo la biblioteca de documentos y galerías internas, alojados en https://ipmsmoron.ar.

2) Alcance

Aplica a:

  • El sitio web público y las secciones privadas (APO).
  • Usuarios, miembros, administradores y colaboradores con acceso al panel.
  • Plugins, temas y servicios de terceros que procesan datos del sitio.

3) Roles y responsabilidades

  • Administradores del sitio: mantienen la plataforma actualizada, gestionan roles/permisos y auditan accesos.
  • Miembros APO / Usuarios autenticados: resguardan sus credenciales, respetan los permisos de acceso y reportan incidentes.
  • Terceros (proveedores/hosting): brindan infraestructura segura (red, servidores, backups y certificados SSL).

4) Autenticación y control de acceso

  • Autenticación con Google: se ofrece acceso mediante Nextend Social Login (Google OAuth 2.0) para minimizar contraseñas locales.
  • Gestión de cuentas: cada usuario es responsable de su cuenta de Google y de cerrar sesión en dispositivos compartidos.
  • Acceso por roles: el contenido privado se restringe según rol (p. ej., “Miembro APO”) mediante Ultimate Member.
  • Zona privada: páginas, bibliotecas y galerías internas requieren inicio de sesión y permiso explícito.

5) Protección de contenidos y archivos

  • Biblioteca de documentos (Download Monitor): los archivos se publican en páginas restringidas por rol; se evita su indexación pública y se registran las descargas cuando corresponde.
  • Galería privada: las imágenes internas se alojan en secciones protegidas y no se exponen en feeds públicos.
  • Enlaces compartidos: no se permite redistribuir públicamente enlaces directos a archivos internos.

6) Comunicaciones seguras (HTTPS)

  • Todo el tráfico del sitio se fuerza a HTTPS mediante certificado TLS/SSL válido.
  • No se aceptan credenciales ni datos sensibles por canales no cifrados.

7) Gestión de contraseñas y sesiones

  • Administradores/editores: contraseñas robustas y MFA cuando el proveedor lo permita (Google).
  • Sesiones: cierre automático tras inactividad y cierre manual recomendado en dispositivos públicos.

8) Actualizaciones y hardening

  • Core de WordPress, temas y plugins se actualizan de forma regular.
  • Se limitan los plugins a los estrictamente necesarios; se eliminan los no utilizados.
  • Se aplican reglas de hardening (ocultar versión, limitar intentos de login al wp-login, deshabilitar editor de archivos en WP-Admin, etc.).
  • Se realizan copias de seguridad periódicas (base de datos y archivos), con restauración probada.

9) Seguridad de proveedores y terceros

  • Hosting con medidas de seguridad a nivel servidor (firewall, aislamiento de cuentas, actualizaciones).
  • Plugins externos (p. ej., Nextend Social Login, Ultimate Member, Download Monitor) provienen de fuentes confiables y con mantenimiento activo.
  • Servicios de Google OAuth se configuran con dominios autorizados y URIs de redirección específicos.

10) Protección de datos personales (enlace a privacidad)

  • El tratamiento de datos personales (nombre, email, IP) se rige por la Política de Privacidad del sitio.
    Publicaremos la Política de Privacidad en https://ipmsmoron.ar/politica-de-privacidad.
  • Cumplimos con la normativa aplicable (Argentina: Ley 25.326 y normas complementarias) y las mejores prácticas de privacidad.

11) Gestión de incidentes

  • Reporte: cualquier usuario puede reportar incidentes de seguridad a:
    Email: [definir correo de contacto de seguridad]
  • Respuesta: se registran, priorizan y mitigan incidentes; se comunica a los afectados cuando corresponda.
  • Preservación de evidencias: se conservan registros técnicos necesarios para el análisis.

12) Registro y auditoría

  • Se revisan periódicamente accesos a la zona privada y cambios de rol.
  • Se monitorean descargas de documentos sensibles cuando aplique (cumpliendo privacidad).

13) Retención y eliminación

  • Cuentas inactivas por períodos prolongados pueden ser deshabilitadas o eliminadas previo aviso razonable.
  • Los documentos internos obsoletos se archivan o eliminan siguiendo criterios de relevancia y confidencialidad.

14) Uso aceptable

  • Está prohibido compartir credenciales, realizar scraping del área privada, o redistribuir contenido interno sin autorización.
  • El incumplimiento puede derivar en la suspensión de la cuenta y/o acciones adicionales.

15) Cambios en esta política

Podemos actualizar esta Política para reflejar mejoras o cambios normativos. La fecha de vigencia se actualizará y las modificaciones relevantes se comunicarán a los usuarios registrados.

16) Contacto

Para consultas de seguridad o reportes:

  • Email: [fgsaenz@gmail.com]
PAGE TOP