Seguridad

Última actualización: 26 de diciembre de 2025

1. Nuestro compromiso con la seguridad

En Campora Cloud, operado por Campora Tech, S.L. (Torredembarra, España), la seguridad es un principio fundacional. Aplicamos medidas de nivel empresarial para proteger los datos, mantener la integridad del sistema y asegurar la continuidad del negocio.

2. Seguridad de la infraestructura

2.1 Infraestructura en la nube

  • Proveedor: Amazon Web Services (AWS), únicamente en regiones de la UE
  • Certificaciones: ISO 27001, SOC 2 Type II, PCI DSS Level 1
  • Centros de datos: instalaciones Tier III+ con redundancia de energía, climatización y red
  • Redundancia geográfica: despliegue multirregión para recuperación ante desastres

2.2 Seguridad de red

  • Firewalls: Web Application Firewall (WAF) para bloquear tráfico malicioso
  • Protección DDoS: AWS Shield Standard y Advanced
  • Segmentación: VPCs aisladas con reglas estrictas de seguridad
  • Detección de intrusiones: monitorización en tiempo real y respuesta automatizada

3. Seguridad de los datos

3.1 Cifrado

  • En tránsito: TLS 1.3 para todas las transmisiones de datos (mínimo TLS 1.2)
  • En reposo: cifrado AES-256 para todos los datos almacenados
  • Bases de datos: cifrado completo con rotación de claves
  • Copias de seguridad: copias cifradas con claves separadas

3.2 Aislamiento de datos

  • Multicliente: aislamiento lógico completo entre clientes
  • Separación de datos: aislamiento a nivel de esquema y controles por fila
  • Controles de acceso: autorizaciones estrictas para evitar acceso entre clientes

3.3 Copias de seguridad y recuperación

  • Copias de seguridad automáticas: copias diarias con retención de 30 días
  • Recuperación puntual: restauración a cualquier punto dentro de 7 días
  • Redundancia geográfica: replicación de copias en varias regiones
  • RTO: 4 horas
  • RPO: 1 hora

4. Seguridad de la aplicación

4.1 Desarrollo seguro

  • Seguridad desde el diseño: requisitos de seguridad integrados desde el inicio
  • Revisiones de código: revisión obligatoria entre pares en todos los cambios
  • Análisis estático: escaneo automatizado en CI/CD
  • Dependencias: monitorización continua de vulnerabilidades en librerías

4.2 Gestión de vulnerabilidades

  • Escaneos regulares: evaluaciones automatizadas semanales
  • Pruebas de intrusión: auditorías externas anuales
  • Programa de divulgación responsable: canal para investigadores de seguridad
  • Gestión de parches: vulnerabilidades críticas corregidas en 24-48 horas

4.3 Pruebas de seguridad

  • Pruebas frente al OWASP Top 10
  • Prevención de SQL injection y XSS
  • Protección CSRF en operaciones sensibles
  • Validación y saneamiento de entradas
  • Gestión segura de sesiones

5. Control de acceso y autenticación

5.1 Autenticación de usuarios

  • Contraseñas robustas: mínimo 12 caracteres con requisitos de complejidad
  • MFA: disponible para todas las cuentas y obligatorio para administradores
  • Sesiones: cierre automático tras 30 minutos de inactividad
  • OAuth 2.0: autenticación segura para integraciones externas

5.2 Control de acceso basado en roles

  • Mínimo privilegio: cada usuario dispone solo de los permisos necesarios
  • Permisos granulares: control fino sobre módulos y funciones
  • Trazabilidad: registro exhaustivo de accesos y cambios
  • Revisiones periódicas: auditorías trimestrales de permisos

5.3 Acceso del personal

  • Verificaciones previas: evaluación de seguridad para empleados
  • Acuerdos de confidencialidad: NDAs firmados por todo el equipo
  • Acceso limitado: acceso a producción estrictamente controlado
  • Monitorización: todo acceso del personal queda registrado y supervisado

6. Monitorización y respuesta a incidentes

6.1 Monitorización de seguridad

  • Supervisión 24/7: monitorización y alertas continuas
  • Gestión de logs: registros centralizados con retención de 1 año
  • Detección de anomalías: identificación de comportamientos sospechosos
  • Alertas en tiempo real: notificación inmediata de eventos de seguridad

6.2 Respuesta a incidentes

  • Plan documentado: procedimientos definidos para incidentes de seguridad
  • Equipo de respuesta: equipo dedicado a incidentes
  • Notificación: aviso a clientes en un plazo de 72 horas en caso de brecha con datos personales
  • Revisión posterior: análisis de causa raíz y medidas correctivas

7. Cumplimiento y certificaciones

7.1 Cumplimiento actual

  • RGPD: cumplimiento con normativa europea de protección de datos
  • Directiva ePrivacy: cumplimiento en comunicaciones electrónicas
  • PCI DSS: estándares de seguridad para tarjetas de pago
  • Verifactu: cumplimiento fiscal español para facturación

7.2 En progreso

  • ISO 27001: certificación del sistema de gestión de seguridad de la información
  • SOC 2 Type II: auditoría de terceros

8. Continuidad del negocio

8.1 Alta disponibilidad

  • SLA: garantía de disponibilidad del 99,9 %
  • Balanceo de carga: distribución del tráfico entre múltiples servidores
  • Autoescalado: ajuste automático ante picos de tráfico
  • Comprobaciones de estado: monitorización continua y conmutación automática por error

8.2 Recuperación ante desastres

  • Despliegue multirregión: configuración activo-pasivo en regiones UE
  • Pruebas regulares: simulacros trimestrales
  • Plan documentado: procedimientos para incidentes mayores

9. Seguridad de terceros

9.1 Gestión de proveedores

  • Evaluaciones de seguridad: diligencia debida para proveedores
  • Contratos: requisitos de seguridad incluidos en acuerdos
  • Revisiones periódicas: evaluación continua de la postura de seguridad de cada proveedor

9.2 Seguridad de integraciones

  • Seguridad de la API: OAuth 2.0 y autenticación mediante claves
  • Limitación de peticiones: protección frente al abuso de APIs
  • Validación de entrada: validación estricta de datos externos

10. Seguridad física

Nuestra infraestructura se aloja en centros de datos AWS con:

  • Personal de seguridad 24/7
  • Controles biométricos de acceso
  • Videovigilancia
  • Sistemas de acceso tipo mantrap
  • Auditorías físicas periódicas

11. Formación y concienciación

  • Incorporación: formación básica de seguridad para nuevas incorporaciones
  • Formación anual: programa obligatorio de concienciación
  • Simulaciones de phishing: campañas internas periódicas
  • Referentes de seguridad: personas de referencia en seguridad en cada equipo

12. Responsabilidades de seguridad del cliente

Aunque proporcionamos medidas robustas, los clientes son responsables de:

  • Usar contraseñas fuertes y únicas
  • Activar la autenticación multifactor
  • Proteger sus credenciales
  • Reportar actividad sospechosa
  • Configurar permisos adecuados para usuarios
  • Mantener seguras las credenciales de integración

13. Comunicación de incidencias de seguridad

Si detectas una vulnerabilidad:

  • Correo electrónico: admin@campora.cloud
  • Tiempo de respuesta: acusamos recibo en 24 horas
  • Divulgación responsable: solicitamos 90 días antes de una publicación pública
  • Reconocimiento: los investigadores podrán ser reconocidos en nuestra página de seguridad

14. Transparencia en seguridad

Mantenemos transparencia mediante:

  • Página de estado: estado del servicio en tiempo real en status.campora.cloud
  • Informes de incidentes: análisis posteriores para incidentes relevantes
  • Actualizaciones de seguridad: comunicación periódica sobre mejoras
  • Informes de auditoría: disponibles bajo solicitud para clientes empresariales

15. Preguntas y contacto

Para dudas o cuestiones de seguridad: