Política de Seguridad
HOSTELELLA aplica medidas técnicas y organizativas razonables y apropiadas al riesgo para proteger confidencialidad, integridad, disponibilidad y resiliencia del Servicio. Esta política resume las medidas principales sin revelar detalles que puedan debilitar la seguridad.
1. Gobierno y acceso
- Acceso interno limitado por necesidad, rol y mínimo privilegio.
- Uso de cuentas individuales y control de permisos para sistemas críticos.
- Autenticación reforzada/MFA para cuentas administrativas cuando el proveedor o sistema lo permita.
- Revisión razonable de accesos y retirada de permisos cuando dejan de ser necesarios.
- Separación lógica entre entornos de desarrollo, pruebas y producción cuando procede.
- Gestión de cambios y despliegues con revisión técnica proporcionada al riesgo.
2. Protección de datos
- Cifrado en tránsito mediante HTTPS/TLS.
- Cifrado en reposo cuando lo proporciona la infraestructura cloud o el servicio gestionado.
- Gestión de secretos mediante almacenes seguros y variables de servidor, evitando exposición en cliente.
- Minimización de datos en telemetría, logs y procesos de soporte.
- Separación lógica por cliente/negocio mediante controles de autorización y políticas de datos (RLS) cuando aplica.
- Limitación de acceso a datos de producción para soporte, diagnóstico o seguridad cuando sea necesario.
3. Aplicación y API
- Autenticación mediante proveedor de identidad y tokens.
- Validación de acceso en capa gateway/API y controles de autorización por usuario, negocio y rol.
- Políticas de base de datos y segmentación lógica para reducir exposición entre clientes.
- Rate limiting, controles antiabuso y validación de entradas en endpoints sensibles.
- Protecciones frente a abuso automatizado en flujos públicos sensibles, incluyendo captcha cuando proceda.
- Revisión y corrección razonable de vulnerabilidades en dependencias, infraestructura y código propio.
4. Tratamiento por IA y minimización
Cuando se utilizan funciones de IA, HOSTELELLA aplica controles específicos para reducir la exposición de datos personales:
- Minimización del contenido enviado al proveedor de IA: solo lo necesario para la finalidad.
- Pseudonimización cuando es posible (p. ej., el generador de turnos opera con iniciales y datos operativos, no con nombres completos; no se transmite el motivo/tipo de las ausencias).
- Selección de proveedores con compromisos contractuales de seguridad y de no entrenamiento sobre datos comerciales (salvo opt-in/contrato específico del Cliente).
- Transmisión cifrada y gestión segura de claves de API de los proveedores de IA.
5. Operación, monitorización y continuidad
- Monitorización técnica y registros de actividad para detectar errores, abuso o incidentes.
- Copias de seguridad y mecanismos de recuperación según el servicio gestionado aplicable.
- Objetivos internos razonables de recuperación y continuidad, dependientes del proveedor cloud y del plan contratado.
- Proceso de respuesta a incidentes y evaluación de brechas de datos personales.
- Mantenimiento y actualizaciones para seguridad, estabilidad y cumplimiento.
- Registro de eventos críticos de seguridad y conservación conforme a la Política de Retención.
6. Limitaciones razonables
Esta política resume controles de seguridad sin revelar detalles que puedan debilitar el Servicio. Las medidas pueden variar por entorno, plan, proveedor gestionado y riesgo. Ningún sistema es absolutamente seguro; HOSTELELLA mantendrá medidas apropiadas y proporcionadas, pero el Cliente debe aplicar sus propios controles internos.
7. Subencargados
HOSTELELLA selecciona proveedores que ofrecen medidas de seguridad adecuadas para la finalidad del tratamiento. Los subencargados principales se publican en el Anexo de Subencargados.
8. Responsabilidades del Cliente
El Cliente debe proteger sus dispositivos, cuentas y credenciales, usar contraseñas robustas, limitar permisos, revisar usuarios activos, informar accesos sospechosos y mantener copias/exportaciones propias cuando lo exija su riesgo operativo o normativa.