Skip to main content

Seguridad en Amianto.info

Última actualización: abril de 2026

Nos tomamos muy en serio la seguridad de nuestra plataforma y de los datos que se nos confían. Esta página describe las medidas técnicas y organizativas que implementamos para proteger Amianto.info, a nuestros clientes y a sus usuarios.

1. Infraestructura y Alojamiento

Amianto.info funciona sobre una infraestructura moderna y completamente gestionada apoyada en los siguientes proveedores, todos los cuales mantienen operaciones conformes con SOC 2, ISO 27001 y el RGPD:

  • Vercel — alojamiento de la aplicación y red global de entrega de contenido con regiones de extremo en Europa.
  • Supabase — base de datos PostgreSQL gestionada, autenticación y almacenamiento de objetos sobre AWS.
  • Stripe — procesamiento de pagos certificado como PCI DSS Nivel 1.
  • Geoapify — infraestructura de geocodificación y cartografía con sede en la UE.

2. Cifrado

Todos los datos intercambiados entre los usuarios y Amianto.info se cifran en tránsito mediante TLS 1.2 o superior, con HSTS aplicado en todos los dominios de producción. Los datos personales y el contenido del cliente almacenados en nuestra base de datos y en el almacenamiento de objetos se cifran en reposo mediante AES-256.

3. Autenticación y Control de Acceso

Las contraseñas de los usuarios nunca se almacenan en texto plano. Nos apoyamos en el hash de contraseñas con sal estándar del sector gestionado por Supabase Auth. La plataforma admite autenticación por correo electrónico y contraseña, y está diseñada para admitir proveedores adicionales y autenticación de múltiples factores.

El acceso interno a los sistemas de producción sigue el principio de mínimo privilegio: solo un número mínimo de ingenieros autorizados dispone de acceso administrativo, y todo ese acceso queda registrado.

4. Seguridad de la Aplicación

Nuestro código fuente sigue prácticas modernas de desarrollo seguro:

  • Validación de entradas en el servidor y consultas parametrizadas para prevenir la inyección SQL.
  • Escapado de salida y cabeceras Content Security Policy para mitigar el cross-site scripting (XSS).
  • Protección CSRF en los endpoints que modifican estado.
  • Políticas CORS estrictas y atributos same-site en las cookies.
  • Análisis automático de dependencias y aplicación rápida de parches frente a vulnerabilidades conocidas.
  • Revisión de código de cada cambio antes de llegar a producción.

5. Seguridad de los Pagos

Todos los pagos son procesados por Stripe, un proveedor de pagos certificado como PCI DSS Nivel 1. Los números de tarjeta, los códigos CVV y las fechas de caducidad nunca pasan por los servidores de Amianto.info: se envían directamente desde su navegador a Stripe a través de su interfaz Elements alojada. Solo almacenamos un identificador de suscripción y los cuatro últimos dígitos de la tarjeta como referencia de facturación.

6. Copias de Seguridad y Recuperación ante Desastres

La base de datos de producción se respalda automáticamente por Supabase, con recuperación a punto en el tiempo activada. Probamos los procedimientos de restauración con regularidad para garantizar que los datos puedan recuperarse en caso de incidente. Los recursos estáticos y el código de la aplicación están versionados en Git y pueden volver a desplegarse en minutos desde cualquier commit histórico.

7. Supervisión y Respuesta a Incidentes

Supervisamos de forma continua la disponibilidad de la aplicación, la tasa de errores y las principales señales de seguridad. En caso de un incidente que afecte a datos personales, nuestro procedimiento de respuesta incluye:

  • Triaje y contención inmediata del problema.
  • Investigación de la causa raíz y del alcance.
  • Notificación a los clientes afectados sin dilación indebida y en un plazo de 72 horas cuando lo exija el RGPD.
  • Revisión posterior al incidente y medidas correctoras para evitar su repetición.

8. Residencia de los Datos

Alojamos los datos de los clientes en regiones que se ajustan a los estándares europeos de protección de datos. Cuando los datos deben transferirse fuera del EEE — por ejemplo, a subencargados con sede en EE. UU. como Stripe o Vercel — nos apoyamos en las Cláusulas Contractuales Tipo y en las salvaguardias adicionales exigidas por Schrems II y la Decisión de Ejecución (UE) 2021/914.

9. Divulgación Responsable

Damos la bienvenida a los informes de vulnerabilidades de seguridad por parte de investigadores independientes. Si cree haber encontrado una vulnerabilidad en Amianto.info, contáctenos en privado en la dirección que figura a continuación antes de divulgarla públicamente. Nos comprometemos a:

  • Acusar recibo de su informe en un plazo de 5 días hábiles.
  • Investigar el problema y mantenerle informado de nuestro progreso.
  • Mencionarle en nuestros agradecimientos de seguridad (si así lo desea) una vez resuelto el problema.
  • No emprender acciones legales contra investigadores que actúen de buena fe y dentro del alcance de esta política.

Por favor, no realice pruebas que puedan degradar el servicio, exfiltrar datos reales de usuarios o vulnerar la privacidad de otros usuarios.

10. Contacto

Para informar de un problema de seguridad o realizar cualquier consulta sobre nuestras prácticas de seguridad, escríbanos a:

contact@amianto.info