Seguridad de Datos

Cómo protegemos sus datos: cifrado, controles de acceso, divulgación de vulnerabilidades y respuesta a incidentes.

Seguridad en CRA Evidence

CRA Evidence se ejecuta en la infraestructura de AWS en la UE (Dublín, Irlanda). Todos los datos de los clientes están cifrados en tránsito y en reposo. Aplicamos un estricto aislamiento de inquilinos — los datos de su organización nunca son accesibles para otros clientes. Somos una empresa fundada por su creador en fase beta y somos transparentes sobre nuestra postura de seguridad actual y nuestra hoja de ruta.

Infraestructura

Detalle Valor
Proveedor de Nube Amazon Web Services (AWS)
Región eu-west-1 (Dublín, Irlanda)
Residencia de Datos Todos los datos de clientes almacenados exclusivamente en la UE
Red VPC con subredes privadas, NAT Gateway, sin IPs públicas en contenedores de aplicación
Acceso Administrativo VPN de confianza cero con autenticación basada en dispositivos y controles de acceso de mínimo privilegio
Tráfico Interno VPC endpoints para S3 y SES (el tráfico nunca atraviesa internet público)
Protección DDoS AWS Shield Standard
Auditoría de Infraestructura AWS CloudTrail para operaciones del plano de gestión
Auditoría de Aplicación Registro de auditoría inmutable de todas las acciones de usuario (165+ tipos de evento, verificado por secuencia)

Cifrado

Capa Método
En Tránsito TLS 1.2 o superior en todas las conexiones (HTTPS obligatorio)
En Reposo AES-256 vía AWS (RDS, S3, volúmenes EBS)
Gestión de Claves AWS KMS (las claves nunca salen del límite de KMS)
Contraseñas Hash Argon2id (resistente a ataques GPU/ASIC)
Claves API Hash SHA-256 antes del almacenamiento (el texto plano nunca se retiene)

Autenticación y Control de Acceso

  • Inicio de sesión: Email/contraseña con Argon2id, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: Autenticación multifactor basada en TOTP con códigos de respaldo; las organizaciones pueden imponer MFA a todos los miembros
  • Sesiones: Tokens de acceso JWT (corta duración) con tokens de actualización rotativos
  • Protección contra bots: Cloudflare Turnstile en endpoints de autenticación
  • CSRF: Protección basada en tokens en todas las operaciones con estado
  • RBAC: Cuatro roles por organización — Propietario, Administrador, Miembro, Visor — siguiendo el principio de mínimo privilegio
  • Claves API: Permisos con alcance definido, hash SHA-256, revocables individualmente
  • Imposición de SSO: Las organizaciones pueden requerir SAML SSO para todos los miembros

Aislamiento de Inquilinos

CRA Evidence es una plataforma multi-inquilino. Cada consulta a la base de datos filtra por organisation_id a nivel de servicio:

  • Las organizaciones no pueden acceder, consultar ni referenciar datos de otra organización
  • Los datos de SBOM, vulnerabilidades, productos y documentos de cumplimiento están limitados a la organización propietaria
  • Las rutas de almacenamiento están segregadas por ID de organización
  • El registro de auditoría rastrea todo el acceso a datos por organización

Gestión de Vulnerabilidades

  • Escaneo de SBOM: Escáner Trivy autoalojado para detección continua de vulnerabilidades en SBOMs
  • Monitoreo de Dependencias: Verificaciones automatizadas de dependencias de la aplicación
  • Gestión de Parches: Actualizaciones regulares de componentes de aplicación e infraestructura
  • Pruebas de Penetración: Prueba de penetración independiente planificada (ver Hoja de Ruta)

Continuidad del Negocio y Recuperación ante Desastres

Detalle Valor
Copias de Seguridad de BD Snapshots RDS diarios automatizados y cifrados
Almacenamiento de SBOM S3 con 99,999999999% de durabilidad (11 nueves)
Compromiso de Disponibilidad 99,5% (según acuerdo de servicio)
RPO 24 horas (copias de seguridad diarias)
RTO Objetivo de 4 horas
Despliegue Región única (eu-west-1) — multi-AZ planificado
Respuesta a Incidentes Monitoreo y respuesta liderados por el fundador durante la fase beta

Retención de Datos

  • Datos de cuenta activa: Retenidos mientras la suscripción está activa
  • Cuentas eliminadas: Datos eliminados en 30 días tras la solicitud
  • Registros de auditoría: Retenidos durante 10 años según los requisitos del Artículo 13(14) del CRA
  • Copias de seguridad: Snapshots diarios automatizados cifrados

RGPD y Privacidad

  • Acuerdo de Procesamiento de Datos (DPA): Disponible bajo solicitud (privacy@craevidence.com)
  • Registro de Actividades de Tratamiento (ROPA): Mantenido según el artículo 30 del RGPD
  • Subprocesadores: Lista publicada con notificación de cambios de 30 días
  • Portabilidad de Datos: Exportación de SBOM en formatos estándar (CycloneDX, SPDX)
  • Eliminación de Datos: Cuenta y todos los datos asociados eliminados en 30 días tras la solicitud
  • Política de Privacidad: Leer nuestra política de privacidad

Cumplimiento

Nuestro Cumplimiento

  • Conforme al RGPD (UE 2016/679) — ROPA, DPA, lista de subprocesadores, política de privacidad
  • Residencia de datos en la UE — todos los datos en AWS eu-west-1 (Dublín, Irlanda)
  • RFC 9116 — security.txt publicado
  • Alineado con ISO 29147/30111 — Proceso de Divulgación Coordinada de Vulnerabilidades

Certificaciones del Proveedor de Infraestructura

AWS mantiene las siguientes certificaciones para eu-west-1: SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5 (BSI alemán).

Hoja de Ruta

  • Pruebas de penetración independientes — planificado
  • SOC 2 Tipo II — planificado
  • ISO 27001 — en evaluación

Estamos construyendo nuestra postura de cumplimiento junto con nuestro producto. Esta página refleja dónde estamos hoy.

Divulgación de Vulnerabilidades

Damos la bienvenida a la investigación de seguridad responsable. Si descubre una vulnerabilidad en nuestra plataforma, por favor repórtela.

Cómo Reportar

Alcance

  • En alcance: *.craevidence.com, la API de CRA Evidence, la CLI de CRA Evidence
  • Fuera de alcance: Servicios de terceros, ingeniería social, ataques de denegación de servicio

Puerto Seguro

No emprenderemos acciones legales contra investigadores de seguridad que:

  • Actúen de buena fe
  • Eviten violaciones de privacidad, destrucción de datos o interrupción del servicio
  • Reporten hallazgos con prontitud y permitan tiempo razonable para la remediación

Política de CVD

Seguimos los estándares ISO 29147/30111 para la Divulgación Coordinada de Vulnerabilidades.

Contacto

Última actualización: Febrero 2026.

Contacto de seguridad
Equipo de seguridad
security@craevidence.com
Consultas generales
Formulario de contacto
Cumplimiento

Nuestro cumplimiento

  • Cumple con el GDPR (UE 2016/679)
  • Residencia de datos en la UE (eu-west-1)
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Proveedor de infraestructura

AWS eu-west-1: SOC 1/2/3, ISO 27001/27017/27018, C5

Hoja de ruta

  • Pruebas de penetración independientes
  • SOC 2 Type II
  • ISO 27001
Páginas relacionadas
Política de Privacidad Términos de servicio Política de Cookies security.txt

¿Preguntas sobre nuestras prácticas de seguridad?

Estamos comprometidos con la transparencia. Contáctenos si tiene preguntas relacionadas con la seguridad.

Contactar con el equipo de seguridad Contacto general