rankion.ai
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français 🇪🇸 Español
Art. 32 RGPD

Medidas técnicas y organizativas

Cómo protegemos los datos en el plano técnico y organizativo.

Aviso de traducción — La versión alemana de este documento («Technisch-organisatorische Maßnahmen») es el original jurídicamente vinculante y forma parte de nuestro DPA. Esta traducción se proporciona únicamente con fines informativos. En caso de discrepancia entre esta traducción y la versión alemana, el texto alemán prevalece. Ver versión alemana de referencia.

Medidas técnicas y organizativas (TOMs)

Descripción de las medidas técnicas y organizativas conforme al art. 32 RGPD. Las TOMs forman parte de nuestro DPA.

Confidencialidad

  • Control de acceso físico: servidores en un centro de datos de Hetzner (Alemania) con control de acceso físico, autenticación multifactor para el personal
  • Control de acceso al sistema: acceso SSH únicamente mediante autenticación basada en certificados (ED25519), sin contraseñas; acceso del personal a la base de datos registrado
  • Control de separación: separación de inquilinos a nivel de base de datos mediante team IDs, scoping automático en todas las consultas
  • Seudonimización: en la medida de lo posible (p. ej. analytics)

Integridad

  • Control de entradas: todas las modificaciones de datos se auditan (Laravel auditing trail)
  • Control de transferencia: TLS 1.3 para todas las conexiones, public-key pinning para los endpoints API

Disponibilidad y resiliencia

  • Control de disponibilidad: copias de seguridad automatizadas diarias de la base de datos con retención de 30 días, plan documentado de recuperación ante desastres
  • Recuperabilidad: RTO < 4 horas, RPO < 24 horas
  • Tolerancia a la carga: queue workers (Supervisor) con auto-restart, OPcache reload en los despliegues

Procedimiento de revisión periódica

  • Auditorías de seguridad automatizadas mensuales mediante un skill documentado públicamente — resultados publicados en /es/trust/security-audits
  • Auditorías ad-hoc antes de cada despliegue importante que afecte a código de autenticación
  • Gestión de parches: CVE de gravedad crítica corregidos en 72 horas, gravedad alta en 7 días
  • Pruebas de penetración: pruebas de penetración externas anuales (planificadas a partir del T3 de 2026; resultados agregados en /trust/security-audits)

Cifrado

  • TLS 1.3 (HSTS, max-age ≥ 1 año)
  • Cifrado en tránsito de la base de datos
  • Copias de seguridad cifradas (AES-256)
  • Hash de contraseñas: bcrypt (coste ≥ 10), tokens API mediante Laravel Sanctum (hash SHA-256)

Control del encargo (encargados del tratamiento)

La selección de encargados del tratamiento va precedida de una revisión de due diligence (DPA disponible, región UE o garantías válidas para terceros países). Lista completa en /es/trust/sub-processors. Las modificaciones se comunican con un preaviso de 14 días.

Concienciación del personal

  • Compromiso de confidencialidad de los datos en el onboarding
  • Formación anual sobre alfabetización en IA y protección de datos (véase /es/trust/ai-literacy)
  • Plan de respuesta ante incidentes documentado; cadena de escalado definida

Este documento forma parte del DPA en el Anexo 2. Vigente desde el 03/05/2026. Las modificaciones sustanciales se comunicarán a los clientes profesionales.

← Volver al Trust Center

Última actualización: 03/05/2026

Cookies: Utilizamos cookies necesarias para el funcionamiento y opcionales para mejoras. Detalles

Necesarias
Activo
Analítica
Marketing