Medidas de Seguridad
Medidas de seguridad de ProcessMind
Fecha de entrada en vigor: 15 de abril de 2026
Este documento describe las medidas técnicas y organizativas («TOM») que ProcessMind B.V. mantiene para proteger la confidencialidad, integridad y disponibilidad de los datos del cliente. Estas medidas complementan el Anexo de Tratamiento de Datos , la Política de Privacidad y la Política de Alojamiento SaaS . ProcessMind revisa y desarrolla estas medidas al menos una vez al año.
Los datos del cliente nunca se venden, comparten ni son utilizados por terceros para sus propios fines.
1. Seguridad de la infraestructura
1.1 Plataforma en la nube. ProcessMind se aloja exclusivamente en Amazon Web Services (AWS) en la UE (Fráncfort, Alemania, eu-central-1). AWS cuenta con las certificaciones ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3 y PCI DSS. Consulte los programas de cumplimiento de AWS para obtener la lista completa.
1.2 Arquitectura serverless. Toda la lógica de la aplicación se ejecuta en AWS Lambda (sin servidor). Al no haber servidores de larga duración que parchear o asegurar, se elimina toda una categoría de riesgos de infraestructura, como sistemas operativos sin actualizar, intrusiones persistentes y errores de configuración de servidores.
1.3 Aislamiento de red. Todos los recursos de computación y base de datos operan dentro de una Virtual Private Cloud (VPC) mediante subredes privadas sin acceso directo a internet. No se puede acceder públicamente a las instancias de la base de datos; solo son accesibles a través de la AWS RDS Data API desde funciones Lambda autorizadas.
1.4 Entrega de contenidos. Los activos estáticos se sirven mediante Amazon CloudFront con encabezados de respuesta estrictos de Política de Seguridad de Contenido (CSP), que incluyen restricciones de frame-ancestors para evitar ataques de clickjacking.
1.5 Segregación de entornos. Los entornos de producción y desarrollo utilizan cuentas de AWS, bases de datos y pilas de infraestructura independientes, gestionadas mediante AWS Control Tower siguiendo las mejores prácticas de segregación de cuentas. Existen medidas preventivas y detectivas que garantizan la seguridad básica en todas las cuentas. Las credenciales de los desarrolladores no permiten el acceso a los datos del cliente en producción.
2. Cifrado de datos
2.1 Cifrado en tránsito. Todos los datos transmitidos entre los clientes y los servicios de ProcessMind se cifran mediante TLS 1.2 o superior. Se exige el uso de HTTPS en todos los puntos de conexión de la API, en las cargas de S3 y en la aplicación web. La comunicación interna entre servicios dentro de la VPC también utiliza canales cifrados.
2.2 Cifrado en reposo. Todas las bases de datos (Amazon Aurora PostgreSQL) se cifran en reposo mediante AES-256 a través de AWS Key Management Service (KMS), con una clave gestionada por el cliente y la rotación anual automática de claves activada. Todo el almacenamiento (Amazon S3) se cifra en reposo mediante AES-256 con cifrado del lado del servidor y claves gestionadas por Amazon S3 (SSE-S3).
2.3 Gestión de claves. Las claves de cifrado de las bases de datos se gestionan de forma centralizada mediante AWS KMS. El acceso a las claves se rige por políticas de IAM siguiendo el principio de privilegio mínimo. AWS gestiona automáticamente las claves de cifrado de S3. Las claves nunca se almacenan en el código de la aplicación ni en archivos de configuración.
3. Aislamiento y residencia de datos
3.1 Aislamiento de inquilinos. Cada organización de cliente dispone de una instancia de base de datos dedicada y aislada. Los datos del cliente nunca se mezclan con los de otros clientes a nivel de base de datos. Los metadatos compartidos (por ejemplo, registros de cuenta o facturación) se guardan en una base de datos multiinquilino independiente con controles de acceso estrictos.
3.2 Residencia de datos. Todos los datos del cliente, incluidas bases de datos, archivos cargados, copias de seguridad y resultados de consultas, se almacenan exclusivamente en la UE (Fráncfort, Alemania). ProcessMind no transfiere ni replica los datos del cliente fuera del Espacio Económico Europeo.
3.3 Retención y eliminación de datos. En las suscripciones de pago, los datos del cliente se eliminan automáticamente a los noventa (90) días de finalizar el periodo de suscripción. En las cuentas de prueba, los datos se eliminan automáticamente a los trece (13) meses de la creación de la cuenta. Los clientes pueden eliminar sus datos en cualquier momento a través de la aplicación o contactando con ProcessMind. Los datos de las copias de seguridad automáticas caducan en un plazo adicional de noventa (90) días. Dispone de todos los detalles en la sección 6 del Anexo de Tratamiento de Datos .
4. Gestión de identidad y accesos
4.1 Autenticación. ProcessMind admite el inicio de sesión único (SSO) mediante Microsoft Entra ID (Azure AD), Google OAuth 2.0/OIDC y LinkedIn OAuth 2.0/OIDC. ProcessMind actúa como parte dependiente y no almacena contraseñas de usuarios. La autenticación multifactor (MFA) es compatible a través del proveedor de identidad del cliente.
4.2 Gestión de sesiones. Todas las sesiones utilizan tokens JSON Web (JWT) firmados y transmitidos mediante cookies seguras HttpOnly con los atributos SameSite y Secure. Las firmas de los tokens se validan en cada solicitud de la API.
4.3 Autorización. Todos los puntos de conexión de la API aplican la autorización basada en JWT en la capa de aplicación. El acceso a los datos del cliente se limita al inquilino autenticado, lo que impide el acceso a datos entre distintos inquilinos.
4.4 Privilegio mínimo. Los sistemas internos siguen el principio de privilegio mínimo. Los roles de IAM para los componentes de infraestructura se limitan a los permisos mínimos necesarios. El acceso de los empleados a los sistemas de producción está restringido al personal designado con una necesidad comercial documentada.
4.5 Controles de acceso de empleados. El acceso de los empleados a los sistemas internos se gestiona mediante Active Directory con SSO y MFA obligatorio. El control de acceso basado en roles (RBAC) garantiza que el acceso a los datos del cliente se limite al personal autorizado según sea necesario. Los derechos de acceso se revisan periódicamente.
5. Registro, supervisión y auditoría
5.1 Registro centralizado (Logging). Todos los eventos de la aplicación, de autenticación y las actividades del sistema se registran de forma centralizada mediante Amazon CloudWatch en formato JSON estructurado. Se mantienen grupos de registros separados para la aplicación, eventos de auditoría y datos de telemetría. Los registros de auditoría y telemetría se conservan indefinidamente y están protegidos contra su eliminación.
5.2 Registro de acceso. El registro de acceso a la API WebSocket está activado. El registro en la capa de aplicación captura eventos de autenticación y detalles de las solicitudes de la API para su posterior análisis forense.
5.3 Supervisión y alertas. Las alarmas y paneles de CloudWatch permiten supervisar en tiempo real el estado del sistema, las tasas de error y los eventos relevantes para la seguridad. Las anomalías activan alertas automáticas para el equipo de ingeniería.
5.4 Protección de registros. Los registros se almacenan en grupos de registros de CloudWatch dedicados y con acceso controlado. Los datos de los registros se cifran en reposo. No se puede acceder a los registros de producción desde los entornos de desarrollo.
6. Gestión de vulnerabilidades
6.1 Escaneo de cumplimiento automatizado. La infraestructura como código se escanea en cada despliegue mediante cdk-nag, que valida las configuraciones frente a múltiples marcos de cumplimiento, como las mejores prácticas de AWS Solutions, HIPAA Security, NIST 800-53 Rev 4 y Rev 5, y PCI DSS 3.2.1. Se generan informes de cumplimiento para cada pila y se revisan como parte del proceso de despliegue. Los hallazgos se rastrean, se clasifican y se corrigen o documentan con su debida justificación.
6.2 Gestión de dependencias. Las dependencias de software se supervisan continuamente para detectar vulnerabilidades conocidas. Las vulnerabilidades críticas y de alta gravedad se parchean de inmediato. Las dependencias se actualizan siguiendo un ciclo regular.
6.3 Ciclo de vida de desarrollo de software seguro (SDLC). Todos los cambios de código pasan por una revisión por pares antes de integrarse en producción. En cada cambio se ejecutan conjuntos de pruebas automatizadas (unitarias, de integración y de extremo a extremo). Las consideraciones de seguridad forman parte de la lista de verificación de la revisión.
7. Copia de seguridad y recuperación ante desastres
7.1 Copias de seguridad automatizadas. Amazon Aurora realiza copias de seguridad continuas y automatizadas con un periodo de retención de siete (7) días. Las copias de seguridad se cifran con las mismas claves KMS gestionadas por el cliente que las bases de datos de origen.
7.2 Recuperación a un punto en el tiempo. Aurora permite la recuperación a un punto en el tiempo hasta cualquier segundo dentro del periodo de retención, lo que facilita una restauración rápida en caso de corrupción de datos o eliminación accidental.
7.3 Durabilidad de datos en S3. Los archivos cargados y los artefactos del almacén de datos se guardan en Amazon S3, que ofrece una durabilidad del 99,999999999 % (11 nueves). El control de versiones de S3 está activado para conservar versiones anteriores de los objetos con fines de recuperación.
7.4 Continuidad del negocio. Los procedimientos de recuperación ante desastres están documentados y se prueban periódicamente. La arquitectura serverless proporciona intrínsecamente alta disponibilidad en varias zonas de disponibilidad dentro de la región eu-central-1.
8. Respuesta ante incidentes
8.1 Notificación de incidentes. En caso de un incidente de seguridad (según se define en el DPA), ProcessMind notificará a los clientes afectados sin demora indebida y, cuando sea posible, en un plazo de setenta y dos (72) horas tras tener conocimiento del mismo.
8.2 Gestión de incidentes. ProcessMind mantiene procedimientos documentados de respuesta a incidentes que cubren la identificación, contención, erradicación, recuperación y revisión posterior al incidente. Las lecciones aprendidas se incorporan a los controles y procesos de seguridad.
8.3 Comunicación. Las notificaciones de incidentes incluyen la naturaleza y el alcance del incidente, las categorías de datos afectadas, las medidas tomadas para contenerlo y las acciones recomendadas para el cliente.
9. Medidas organizativas
9.1 Gestión de la seguridad de la información. ProcessMind mantiene un sistema de gestión de seguridad de la información alineado con la norma ISO 27001. ProcessMind busca y mantiene certificaciones de acuerdo con los requisitos normativos y de los clientes.
9.2 Concienciación sobre seguridad. Todo el personal con acceso a los datos del cliente recibe formación en materia de seguridad. Las mejores prácticas de seguridad están integradas en la incorporación de empleados, los flujos de trabajo de desarrollo y los procedimientos operativos.
9.3 Gestión de proveedores y subencargados. Los subencargados del tratamiento están vinculados contractualmente a estándares de protección de datos equivalentes a los descritos en este documento. ProcessMind mantiene una lista pública de subencargados y notifica con al menos treinta (30) días de antelación antes de contratar a uno nuevo. Los subencargados se revisan anualmente para comprobar su cumplimiento.
9.4 Confidencialidad. Todo el personal autorizado para tratar datos del cliente está sujeto a obligaciones de confidencialidad por escrito.
10. Cumplimiento y certificaciones
| Marco / Estándar | Estado |
|---|---|
| RGPD (Reglamento General de Protección de Datos de la UE) | Cumple |
| Residencia de datos en la UE (Fráncfort, Alemania) | Obligatoria |
| Certificaciones de infraestructura de AWS (ISO 27001, SOC 2, PCI DSS) | Heredadas vía AWS |
| Cláusulas Contractuales Tipo (SCC) para transferencias internacionales | Implementadas (ver DPA ) |
| Anexo de Tratamiento de Datos (DPA) | Disponible bajo petición |
Si tiene preguntas sobre seguridad o cumplimiento, o si desea solicitar documentación como informes de auditoría o cuestionarios de seguridad completados, póngase en contacto con security@processmind.com.