← Volver a InPulsa

Política de Seguridad

Última actualización: 8 de abril de 2026

En InPulsa nos tomamos la seguridad muy en serio. Esta página describe las medidas técnicas y organizativas que aplicamos para proteger los datos de nuestros clientes y los datos de los clientes finales que tratamos por su cuenta (RGPD Art. 32).

1. Cifrado

• En tránsito: todas las conexiones HTTPS con TLS 1.2+ y certificados Let's Encrypt renovados automáticamente.
• En reposo: la base de datos PostgreSQL está cifrada con AES-256. Los datos especialmente sensibles (números de DNI, historial clínico) se cifran adicionalmente en columna con AES-256-GCM.
• Contraseñas: hasheadas con bcrypt (cost factor 12). Nunca almacenamos contraseñas en texto plano.

2. Control de accesos

• Autenticación multi-factor disponible para todas las cuentas (TOTP + WebAuthn/FIDO2).
• Modelo de permisos basado en roles (RBAC) con scope multi-tenant: cada tenant solo puede ver sus propios datos.
• Tokens JWT con expiración corta (24h) y rotación de refresh tokens.
• Acceso al servidor de producción solo por SSH con clave + 2FA.
• Logs de auditoría de todos los accesos y cambios sensibles, retenidos 12 meses.

3. Infraestructura

• Hosting: Hetzner Online (Alemania) — datacenter ISO 27001, GDPR-compliant.
• Aislamiento: cada servicio corre en un container Docker separado, con red interna dedicada.
• Firewall: solo los puertos 80/443/SSH están expuestos a Internet. Bases de datos y servicios internos no son accesibles externamente.
• WAF: nginx con rate limiting y filtrado de patrones maliciosos comunes.

4. Backups y recuperación

• Backups completos de la base de datos diarios, retenidos 30 días.
• Backups incrementales cada 6 horas.
• Snapshots cifrados almacenados en ubicación geográfica diferente al servidor principal.
• RPO: 6 horas. RTO: 4 horas.
• Pruebas de restauración trimestrales documentadas.

5. Gestión de vulnerabilidades

• Análisis estático de código (SonarQube) en cada commit.
• Escaneo de dependencias (npm audit, Snyk) automatizado en CI/CD.
• Actualizaciones de seguridad del sistema operativo aplicadas en plazo máximo de 7 días para CVEs críticos.
• Pentest anual realizado por terceros independientes.

6. Gestión de incidentes

Procedimiento ante una brecha de seguridad:

1. Detección y contención en menos de 1 hora desde el aviso.
2. Notificación al Responsable en menos de 24 horas (RGPD Art. 33).
3. Notificación a la AEPD si procede, en menos de 72 horas.
4. Notificación a los interesados si hay alto riesgo para sus derechos.
5. Análisis post-mortem publicado al cliente afectado en plazo de 14 días.

7. Cumplimiento normativo

• RGPD (Reglamento UE 2016/679)
• LOPDGDD (Ley Orgánica 3/2018)
• LSSI-CE (Ley 34/2002)
• Reglamento eIDAS para identificación electrónica
• RD 933/2021 para tratamiento de datos en hospedería (vertical rental)

8. Programa de divulgación responsable

Si has descubierto una vulnerabilidad en InPulsa, contáctanos a security@inpulsa.es. Comprometemos respuesta en menos de 48 horas y agradecemos públicamente a quienes reportan vulnerabilidades de forma responsable.

9. Subprocesadores

La lista completa de subprocesadores y sus garantías de cumplimiento RGPD está disponible en nuestro DPA, sección 5.

10. Contacto

Para consultas sobre seguridad: security@inpulsa.es