Centro de confianza

Centro de confianza

La transparencia está en el centro de todo lo que hacemos. Explore nuestras prácticas de seguridad, estado de cumplimiento y las medidas que tomamos para proteger sus datos.

Seguridad de un vistazo

Cifrado de datos

Todos los datos se cifran en tránsito con TLS 1.3 y en reposo con cifrado AES-256.

Infraestructura

Alojado en infraestructura basada en la UE con CDN de Bunny.net para rendimiento global y protección DDoS.

Control de acceso

Autenticación multifactor, controles de acceso basados en roles y registro de auditoría exhaustivo.

Privacidad por diseño

Recopilación mínima de datos, sin cookies de seguimiento y arquitectura centrada en la privacidad desde el inicio.

Respuesta a incidentes

Proceso documentado de respuesta a incidentes con compromiso de notificación de violaciones en 24 horas.

Monitoreo continuo

Escaneo automatizado de vulnerabilidades, auditorías de dependencias y evaluaciones de seguridad continuas.

Cumplimiento y regulaciones

Estamos comprometidos a cumplir y superar los requisitos regulatorios. A continuación se muestra nuestro estado de cumplimiento actual.

Cumplido

RGPD

Cumplimiento total del Reglamento General de Protección de Datos de la UE, incluyendo minimización de datos, gestión del consentimiento y derechos de los interesados.

Cumplido

Directiva ePrivacy

Conforme con los requisitos de ePrivacy de la UE. Nuestras analíticas funcionan sin cookies de seguimiento.

Cumplido

CCPA

Cumplimiento de la Ley de Privacidad del Consumidor de California con prácticas de datos transparentes y derechos de los usuarios.

Planificado

SOC 2 type II

La certificación de auditoría SOC 2 Type II está planificada como parte de nuestra hoja de ruta de seguridad.

Planificado

ISO 27001

La certificación de gestión de seguridad de la información está planificada como parte de nuestra hoja de ruta de cumplimiento.

Subencargados

Creemos en la total transparencia sobre los servicios de terceros que utilizamos para ofrecer nuestra plataforma. Todos los subencargados están vinculados por acuerdos de procesamiento de datos.

ProveedorPropósitoUbicaciónJurisdicciónDatos procesados
ScalewayInfraestructura en la nube (Kubernetes, PostgreSQL, MySQL, NATS, registro de imágenes)UE (francia)Solo UETodos los datos de aplicación
Bunny.netCDN y DNSUE (eslovenia)Solo UEMetadatos de solicitudes, direcciones IP
ProtonCorreo electrónico y espacio de trabajoSuizaFADP (suiza)Comunicaciones por correo electrónico
PaddleProcesamiento de pagos (merchant of record)Reino unidoReino unido (sin FISA)Datos de facturación y pago
GitHubRepositorios de códigoEE. UU.FISA sección 702 / Cloud actCódigo fuente, datos de desarrollo
BillyContabilidadUE (dinamarca)Solo UEDatos financieros y de facturación
Simply.comRegistrador de dominios (dominios principales)UE (dinamarca)Solo UEDatos de registro de dominios
CloudflareRegistrador de dominios (tLDs de marca registrada)EE. UU.FISA sección 702 / Cloud actDatos de registro de dominios

Proporcionamos al menos 30 días de aviso previo sobre cualquier cambio en nuestros subencargados, como se describe en nuestro Acuerdo de Procesamiento de Datos.

Nuestro enfoque sobre la soberanía de datos

Los proveedores con sede en EE. UU. están sujetos a FISA Sección 702 y el Cloud Act, que pueden obligar a la divulgación de datos independientemente de dónde estén almacenados. La ubicación del servidor por sí sola no protege los datos de estas leyes. FISA Cloud Act

Trabajamos activamente para minimizar nuestra dependencia de servicios sujetos a la jurisdicción estadounidense. Nuestra infraestructura central (alojamiento, bases de datos, CDN, DNS, correo electrónico y pagos) es operada exclusivamente por proveedores con sede en la UE, fuera del alcance de FISA y el Cloud Act. Los únicos servicios sujetos a EE. UU. que utilizamos (GitHub, Cloudflare) manejan código fuente y registros de dominio, no datos personales de clientes.

Nuestro objetivo a largo plazo es eliminar todas las dependencias de proveedores sujetos a leyes de vigilancia extraterritoriales de EE. UU.

Documentos legales y políticas

Reportar un problema de seguridad

Nos tomamos la seguridad en serio y valoramos la divulgación responsable. Si descubre una vulnerabilidad, por favor contáctenos directamente.

[email protected]

Glosario

RGPD
Reglamento General de Protección de Datos: la ley integral de protección de datos de la UE que regula cómo se recopilan, procesan y almacenan los datos personales de los residentes de la UE.
Directiva ePrivacy
Directiva UE 2002/58/CE que regula la privacidad en las comunicaciones electrónicas, cubriendo cookies, seguimiento y confidencialidad de las comunicaciones.
CCPA
Ley de Privacidad del Consumidor de California: una ley estatal de EE. UU. que otorga a los residentes de California derechos sobre sus datos personales, incluyendo el derecho a conocer, eliminar y optar por no participar en su venta.
FISA sección 702
Ley de Vigilancia de Inteligencia Extranjera, Sección 702: autoriza a las agencias de inteligencia de EE. UU. a recopilar comunicaciones de personas no estadounidenses ubicadas fuera de Estados Unidos, incluyendo datos en poder de proveedores de nube de EE. UU., sin orden judicial.
Cloud act
Clarifying Lawful Overseas Use of Data Act (2018): una ley federal de EE. UU. que permite a las fuerzas del orden estadounidenses obligar a empresas tecnológicas estadounidenses a proporcionar datos almacenados en servidores, independientemente de si los datos están almacenados en EE. UU. o en el extranjero.
FADP (suiza)
Ley Federal de Protección de Datos: la ley nacional de protección de datos de Suiza, que proporciona un nivel de protección reconocido como adecuado por la UE. Los proveedores suizos no están sujetos a FISA ni al Cloud Act.
DPA
Acuerdo de Procesamiento de Datos: un contrato legalmente vinculante entre un responsable del tratamiento y un encargado del tratamiento que describe cómo se manejarán los datos personales, requerido bajo el RGPD.
SOC 2
Service Organization Control 2: un estándar de auditoría que evalúa los controles de una organización en relación con la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.
ISO 27001
Un estándar internacional para sistemas de gestión de seguridad de la información (SGSI), que proporciona un enfoque sistemático para gestionar información sensible de la empresa.
TLS 1.3
Transport Layer Security versión 1.3: el protocolo criptográfico más reciente que cifra datos en tránsito entre el navegador de un usuario y un servidor.
AES-256
Advanced Encryption Standard con claves de 256 bits: un algoritmo de cifrado simétrico ampliamente confiable utilizado para proteger datos en reposo.
Merchant of record (moR)
Una entidad tercera que gestiona el procesamiento de pagos, el cumplimiento fiscal y la facturación en nombre de un vendedor, actuando como el vendedor legal registrado para las transacciones.

¿Preguntas sobre seguridad?

Nuestro equipo está listo para discutir sus requisitos de seguridad y cumplimiento.