PymePulse← Volver

Legal

Política de Seguridad

Última actualización: 19 de abril de 2026

1. Nuestro compromiso

La seguridad de los datos de nuestros usuarios es una prioridad fundamental en PymePulse. Aplicamos medidas técnicas y organizativas adecuadas al riesgo, conforme al artículo 32 del RGPD y las mejores prácticas del sector.

2. Seguridad de la infraestructura

  • Los datos se almacenan en infraestructura cloud con certificaciones SOC 2 e ISO 27001.
  • Las bases de datos están protegidas mediante cifrado en reposo (AES-256).
  • Toda la comunicación entre el cliente y los servidores se realiza mediante TLS 1.2 o superior.
  • Los entornos de producción están aislados de los entornos de desarrollo y pruebas.
  • Se realizan copias de seguridad automáticas con retención de 30 días y verificación periódica de restauración.

3. Control de acceso

  • El acceso a los datos está restringido mediante políticas de seguridad a nivel de fila (Row Level Security), garantizando que cada usuario solo puede acceder a sus propios datos.
  • La autenticación se gestiona mediante tokens JWT de corta duración con rotación automática.
  • El acceso interno al sistema de producción requiere autenticación multifactor (MFA).
  • Aplicamos el principio de mínimo privilegio en todos los accesos internos.

4. Seguridad de la aplicación

  • Validación de todas las entradas del usuario en servidor mediante esquemas Zod.
  • Protección frente a inyección SQL, XSS y CSRF mediante las medidas estándar del framework.
  • Las dependencias del proyecto se revisan periódicamente en busca de vulnerabilidades conocidas.
  • Los secretos y credenciales nunca se almacenan en el código fuente ni en el control de versiones.

5. Gestión de incidentes

Disponemos de un procedimiento interno de respuesta a incidentes de seguridad. En caso de brecha de seguridad que afecte a datos personales, notificaremos a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde su detección, y a los usuarios afectados sin dilación indebida cuando exista alto riesgo para sus derechos y libertades.

6. Divulgación responsable de vulnerabilidades

Si has descubierto una posible vulnerabilidad de seguridad en PymePulse, te pedimos que nos lo comuniques de forma responsable antes de hacerlo público. Envía un informe detallado a seguridad@pymepulse.com con:

  • Descripción de la vulnerabilidad y su posible impacto.
  • Pasos para reproducirla.
  • Cualquier prueba de concepto (sin explotar datos reales de usuarios).

Nos comprometemos a responder en un plazo de 5 días hábiles y a trabajar contigo para resolver el problema antes de cualquier divulgación pública. No emprenderemos acciones legales contra investigadores que actúen de buena fe y sigan este proceso.

7. Responsabilidad compartida

La seguridad es una responsabilidad compartida. Te recomendamos:

  • Usar una contraseña única y robusta para tu cuenta de PymePulse.
  • Activar la verificación en dos pasos cuando esté disponible.
  • Cerrar sesión al usar dispositivos compartidos.
  • Notificarnos inmediatamente si sospechas de acceso no autorizado a tu cuenta.

8. Contacto

Para cualquier consulta o reporte de seguridad, contacta con nuestro equipo en seguridad@pymepulse.com.