Volver al inicio

Seguridad

Última actualización: 11 de Enero, 2026

RGPD Compliant
TLS 1.3 Encryption
ISO 27001 Inspired
24/7 Monitoring

1. Nuestro Compromiso con la Seguridad

En Olearia, la seguridad de tus datos y la continuidad del servicio son prioridades absolutas. Implementamos medidas de seguridad técnicas y organizativas de nivel enterprise, basadas en las mejores prácticas internacionales (ISO/IEC 27001, NIST Cybersecurity Framework, OWASP Top 10) y conforme a los requisitos del RGPD (Art. 32).

Esta página describe en detalle nuestras medidas de seguridad para que puedas evaluar cómo protegemos tus datos.

Última actualización: 11 de Enero de 2026
Basado en: RGPD Art. 32, ISO/IEC 27001:2022, NIST CSF 2.0, OWASP Top 10 (2021)

2. Arquitectura de Seguridad

Nuestra infraestructura sigue el principio de defensa en profundidad (defense in depth), con múltiples capas de protección:

Capa de Red

  • Firewall de aplicación (WAF) activo
  • Protección DDoS multi-capa
  • TLS última versión obligatorio
  • HSTS (HTTP Strict Transport Security)

Capa de Aplicación

  • Rate limiting adaptativo por IP y usuario
  • Protección CSRF multi-capa con tokens seguros
  • Prevención XSS con políticas estrictas de contenido
  • Protección SQL injection con queries parametrizadas

Capa de Datos

  • Cifrado AES-256 en reposo (at-rest)
  • Contraseñas hasheadas con algoritmos adaptativos
  • Tokens con expiración corta y rotación automática
  • Backups cifrados diarios (UE)

3. Seguridad de Autenticación y Acceso

3.1 Sistema de Autenticación

Tecnología: Tokens seguros con rotación automática

  • Access Token: Expiración corta para minimizar ventana de exposición
  • Refresh Token: Rotación automática periódica
  • Algoritmo: HMAC con claves criptográficamente seguras
  • HTTP-Only Cookies: Los tokens se almacenan en cookies seguras no accesibles desde JavaScript
  • SameSite=Strict: Protección contra CSRF cross-site

3.2 Gestión de Contraseñas

Hashing: Algoritmos adaptativos conforme a OWASP

  • Work Factor: Configurado según mejores prácticas de seguridad actuales
  • Salting: Salt único criptográficamente seguro por contraseña
  • Longitud mínima: 10 caracteres obligatorios
  • Almacenamiento: Nunca en texto plano bajo ninguna circunstancia
  • Resistencia: Protección contra ataques de fuerza bruta y rainbow tables

Referencia: OWASP Password Storage Cheat Sheet

3.3 Autenticación Multifactor (2FA)

Estado: Implementación en roadmap Q1 2026

  • TOTP (Time-based One-Time Password) compatible con Google Authenticator, Authy
  • Códigos de recuperación para backup
  • Obligatorio para cuentas Business y Enterprise

3.4 Control de Acceso (RBAC)

Implementamos Role-Based Access Control con los siguientes roles:

Basic (Gratuito)

Acceso limitado, 5 años datos, 4 regiones

Starter (29€/mes)

10 años datos, 10 regiones, alertas básicas

Professional (79€/mes)

20 años datos, 28 regiones, API access

Business (199€/mes)

25 años datos, soporte prioritario, SLA 99.5%

4. Cifrado y Protección de Datos

4.1 Cifrado en Tránsito (In-Transit)

Protocolo: TLS última versión con cifrado robusto

  • Cipher suites: Solo algoritmos seguros y modernos (AES-GCM, ChaCha20-Poly1305)
  • Certificado SSL: Renovación automática con validación continua
  • HSTS habilitado con configuración estricta y preload
  • Conexiones HTTP automáticamente redirigidas a HTTPS

4.2 Cifrado en Reposo (At-Rest)

Algoritmo: AES-256 (Advanced Encryption Standard) en modo GCM

  • Base de datos: Enterprise-grade con cifrado de disco completo (FDE)
  • Backups: Cifrados con AES-256 antes de almacenamiento en infraestructura segura UE
  • Logs: Cifrados y con rotación automática periódica
  • Archivos estáticos: Uploads cifrados con claves únicas por usuario

4.3 Gestión de Claves Criptográficas

Seguimos las mejores prácticas de key management conforme a NIST SP 800-57:

  • Rotación periódica: Claves secretas rotadas cada 90 días
  • Separación de entornos: Claves distintas para producción, staging, desarrollo
  • Almacenamiento seguro: Variables de entorno cifradas, NO en código fuente
  • Acceso restringido: Solo administradores senior con necesidad legítima
  • Auditoría: Logs de acceso a claves secretas (acceso restringido)

5. Protección contra Amenazas Web (OWASP Top 10)

Implementamos contramedidas específicas para el OWASP Top 10 2021:

A01:2021 – Broken Access Control

✓ RBAC implementado, validación server-side obligatoria, tokens JWT verificados en cada request

A02:2021 – Cryptographic Failures

✓ TLS 1.3 obligatorio, AES-256 at-rest, bcrypt para contraseñas, NO se almacenan datos sensibles sin cifrar

A03:2021 – Injection (SQL, NoSQL, OS Command)

✓ ORM moderno con queries parametrizadas, validación estricta de inputs, sanitización de datos

A04:2021 – Insecure Design

✓ Threat modeling realizado, principio de menor privilegio, rate limiting por defecto

A05:2021 – Security Misconfiguration

✓ Headers de seguridad habilitados (CSP, X-Frame-Options, X-Content-Type-Options), debug mode deshabilitado en producción

A06:2021 – Vulnerable and Outdated Components

✓ Dependencias actualizadas mensualmente, Dependabot/Renovate bot activos, escaneo de vulnerabilidades (npm audit, pip-audit)

A07:2021 – Identification and Authentication Failures

✓ Contraseñas seguras obligatorias, rate limiting en login (5 intentos/min), tokens con expiración corta

A08:2021 – Software and Data Integrity Failures

✓ Verificación de integridad de paquetes (checksums), pipelines CI/CD con code signing, NO se ejecuta código no verificado

A09:2021 – Security Logging and Monitoring Failures

✓ Logs centralizados (syslog), alertas automáticas para eventos críticos, retención 2 años (Art. 12.3 LSSI)

A10:2021 – Server-Side Request Forgery (SSRF)

✓ Validación de URLs externas, whitelist de dominios permitidos, NO se aceptan URLs internas (localhost, 127.0.0.1)

6. Continuidad del Negocio y Recuperación ante Desastres

6.1 Política de Backups

  • Frecuencia: Backups automáticos diarios
  • Retención: 30 días backups diarios, 12 meses backups mensuales
  • Ubicación: Servidores redundantes en múltiples centros de datos UE
  • Cifrado: AES-256 antes de almacenamiento, claves separadas
  • Pruebas: Restauración de backup testeada trimestralmente
  • RTO (Recovery Time Objective): Menos de 4 horas
  • RPO (Recovery Point Objective): Menos de 24 horas

6.2 Alta Disponibilidad

Arquitectura diseñada para minimizar downtime:

Plan Starter/Professional

SLA 99% uptime (~7h downtime/mes)
Best-effort recovery

Plan Business

SLA 99.5% uptime (~3.6h downtime/mes)
Soporte prioritario 24/7

Plan Enterprise

SLA 99.9% uptime (~43min downtime/mes)
Infraestructura dedicada

6.3 Plan de Respuesta a Incidentes

Protocolo estructurado conforme a NIST SP 800-61:

  1. Detección y Análisis: Monitorización 24/7, alertas automáticas para anomalías
  2. Contención: Aislamiento de sistemas comprometidos en <30 minutos
  3. Erradicación: Eliminación de la causa raíz (malware, exploit, acceso no autorizado)
  4. Recuperación: Restauración desde backups limpios, validación de integridad
  5. Post-Incident: Análisis forense, documentación, mejoras de seguridad
  6. Notificación: Conforme a Art. 33 RGPD (72h a AEPD si afecta datos personales)

7. Cumplimiento Normativo

Cumplimos con las siguientes normativas y estándares:

RGPD (UE 2016/679)

Pleno cumplimiento del Reglamento General de Protección de Datos, incluyendo:

  • Art. 32: Seguridad del tratamiento (cifrado, pseudonimización)
  • Art. 33-34: Notificación de violaciones de seguridad
  • Art. 35: Evaluación de impacto (DPIA para tratamientos de alto riesgo)

LOPDGDD (España)

Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales:

  • Art. 28: Sistemas de información crediticia
  • Art. 87: Protección de datos desde el diseño (privacy by design)

LSSI-CE (Ley 34/2002)

Ley de Servicios de la Sociedad de la Información:

  • Art. 22.2: Consentimiento de cookies
  • Art. 12.3: Retención de logs 2 años

ISO/IEC 27001 (Inspirado)

Seguimos las mejores prácticas del estándar internacional de gestión de seguridad:

  • Gestión de riesgos de seguridad de la información
  • Controles de acceso lógico y físico
  • Auditorías de seguridad periódicas

8. Auditorías y Certificaciones

Sometemos nuestra infraestructura a revisiones periódicas:

  • Auditorías internas: Revisión trimestral de logs de seguridad, configuraciones, accesos
  • Penetration testing: Pruebas de penetración anuales por terceros especializados (roadmap 2026)
  • Vulnerability scanning: Escaneo automatizado semanal con OWASP ZAP / Burp Suite
  • Code review: Revisión de código de seguridad antes de cada deploy a producción
  • Dependency audit: Escaneo de vulnerabilidades en dependencias (npm audit, pip-audit, Snyk)

9. Formación y Concienciación

El equipo de Olearia recibe formación continua en seguridad:

  • Onboarding: Formación obligatoria en seguridad para nuevos miembros del equipo
  • Actualizaciones: Sesiones trimestrales sobre nuevas amenazas y mejores prácticas
  • Simulacros: Ejercicios de phishing y respuesta a incidentes (roadmap 2026)
  • Certificaciones: Incentivos para obtener CISSP, CEH, OSCP (roadmap 2026)

10. Reporte de Vulnerabilidades (Responsible Disclosure)

Si descubres una vulnerabilidad de seguridad en Olearia, te pedimos que nos la comuniques de forma responsable.

Protocolo de Reporte

  1. Envía un email a [email protected] con:
    • Descripción detallada de la vulnerabilidad
    • Pasos para reproducirla (PoC)
    • Impacto potencial (severidad estimada: Critical/High/Medium/Low)
  2. Acusaremos recibo en 24 horas
  3. Investigaremos y validaremos el reporte en 7 días
  4. Desarrollaremos y desplegaremos un fix en 30 días (Critical: 7 días)
  5. Te notificaremos cuando el fix esté desplegado

Hall of Fame: Reconoceremos públicamente a investigadores de seguridad responsables (con tu permiso).

Reglas de Responsible Disclosure

  • ✓ NO divulgues públicamente la vulnerabilidad hasta que hayamos desplegado un fix
  • ✓ NO explotes la vulnerabilidad más allá de lo necesario para demostrar el PoC
  • ✓ NO accedas, modifiques o elimines datos de usuarios que no sean tuyos
  • ✓ NO realices ataques de denegación de servicio (DoS/DDoS)
  • ✓ Actúa de buena fe y respetando la privacidad de otros usuarios

11. Transparencia y Actualizaciones

Nos comprometemos a mantener esta página de seguridad actualizada con:

  • Cambios en infraestructura: Notificaremos cambios significativos de seguridad
  • Incidentes de seguridad: Publicaremos post-mortems de incidentes relevantes (sin datos sensibles)
  • Mejoras continuas: Actualizaremos esta página cuando implementemos nuevas medidas

Para consultas específicas sobre seguridad, contacta: [email protected]

12. Preguntas Frecuentes sobre Seguridad

¿Dónde se almacenan mis datos?

Todos los datos se almacenan en servidores dentro de la Unión Europea (Frankfurt, Helsinki). NO transferimos datos fuera de la UE, excepto con proveedores que cumplan con SCC (ej. Stripe para pagos).

¿Puedo confiar en la seguridad de mis contraseñas?

Sí. Usamos bcrypt con cost 12, el estándar recomendado por OWASP. Tu contraseña NUNCA se almacena en texto plano. Incluso nosotros no podemos ver tu contraseña original (solo el hash).

¿Qué sucede si hay una brecha de seguridad?

Seguimos el protocolo RGPD Art. 33-34: notificaremos a la AEPD en 72h y a usuarios afectados sin dilación indebida. Publicaremos un post-mortem transparente con medidas correctivas implementadas.

¿Quién tiene acceso a mis datos?

Solo personal autorizado con necesidad legítima (principio de menor privilegio). Los accesos a datos sensibles se registran en logs de auditoría. NO vendemos ni compartimos tus datos con terceros para marketing.

Contacto de Seguridad

Empresa: AIXA Inteligencia Artificial S.L. (NIF: B22487086)
Dirección: Centro BREAKER UGR, 18012 Granada, España
Teléfono: +34 636 637 481
Security Team: [email protected]
DPO (Protección de Datos): [email protected]
General: [email protected]

Referencias y Estándares:

¿Tienes preguntas? Contacta con nosotros en [email protected]