Seguridad de Datos

Cómo protegemos tus datos: cifrado, controles de acceso, divulgación de vulnerabilidades y respuesta a incidentes.

Seguridad en CRA Evidence

CRA Evidence está alojado en AWS en la Unión Europea. Todos los datos de los clientes están cifrados en tránsito y en reposo. Aplicamos un estricto aislamiento de inquilinos: los datos de tu organización nunca son accesibles para otros clientes.

Infraestructura

  • Nube: Alojado en la Unión Europea (Dublín, Irlanda)
  • Residencia de datos: Todos los datos de clientes almacenados exclusivamente en la UE
  • Red: Los contenedores de aplicación se ejecutan en redes privadas sin exposición pública
  • Auditoría: Registro de auditoría inmutable de todas las acciones de usuario (165+ tipos de evento, verificado por secuencia)

Cifrado

  • En tránsito: TLS 1.2 o superior en todas las conexiones (HTTPS obligatorio)
  • En reposo: Cifrado AES-256 en todos los almacenes de datos
  • Gestión de claves: Servicio dedicado de gestión de claves; las claves nunca se exponen a la capa de aplicación
  • Credenciales: Contraseñas hasheadas con algoritmos resistentes a la memoria; claves API hasheadas antes del almacenamiento (el texto plano nunca se retiene)

Autenticación y control de acceso

  • Inicio de sesión: Email/contraseña, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: Autenticación multifactor basada en TOTP con códigos de respaldo; las organizaciones pueden imponer MFA a todos los miembros
  • Roles: Cuatro roles por organización (Propietario, Administrador, Miembro, Visor), siguiendo el principio de mínimo privilegio
  • Claves API: Permisos con alcance definido, revocables individualmente
  • Imposición de SSO: Las organizaciones pueden requerir SAML SSO para todos los miembros

Aislamiento de inquilinos

CRA Evidence es una plataforma multi-inquilino. Cada consulta a la base de datos filtra por organisation_id a nivel de servicio:

  • Las organizaciones no pueden acceder, consultar ni referenciar datos de otra organización
  • Los datos de SBOM, vulnerabilidades, productos y documentos de cumplimiento están limitados a la organización propietaria
  • Las rutas de almacenamiento están segregadas por ID de organización
  • El registro de auditoría rastrea todo el acceso a datos por organización

Gestión de vulnerabilidades

  • Base de Conocimiento de Vulnerabilidades: Base de datos de vulnerabilidades multi-fuente autoalojada con sincronización cada 15 minutos desde NVD, OSV.dev, GitHub Advisories, CISA KEV y EPSS. Nuestro escáner de vulnerabilidades funciona como capa de verificación independiente.
  • Monitorización de dependencias: Verificaciones automatizadas de dependencias de la aplicación
  • Gestión de parches: Actualizaciones regulares de componentes de aplicación e infraestructura

Retención de datos

  • Datos de cuenta activa: Retenidos mientras la suscripción está activa
  • Cuentas eliminadas: Datos eliminados en 30 días tras la solicitud
  • Registros de auditoría: Retenidos durante 10 años según los requisitos del Artículo 13(14) del CRA
  • Copias de seguridad: Instantáneas diarias automatizadas cifradas

RGPD y privacidad

  • Acuerdo de Procesamiento de Datos (DPA): Disponible bajo solicitud (privacy@craevidence.com)
  • Registro de Actividades de Tratamiento (ROPA): Mantenido según el artículo 30 del RGPD
  • Subprocesadores: Lista publicada con notificación de cambios de 30 días
  • Portabilidad de datos: Exportación de SBOM en formatos estándar (CycloneDX, SPDX)
  • Eliminación de datos: Cuenta y todos los datos asociados eliminados en 30 días tras la solicitud
  • Política de privacidad: Leer nuestra política de privacidad

Cumplimiento

Nuestro cumplimiento

  • Conforme al RGPD (UE 2016/679): ROPA, DPA, lista de subprocesadores, política de privacidad
  • Residencia de datos en la UE: todos los datos alojados en la Unión Europea
  • RFC 9116: security.txt publicado
  • Alineado con ISO 29147/30111: Proceso de Divulgación Coordinada de Vulnerabilidades

Certificaciones del proveedor de infraestructura

Nuestro proveedor de infraestructura mantiene las certificaciones SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 y C5 (BSI alemán) para la región de la UE en la que operamos.

Hoja de ruta

  • Pruebas de penetración independientes (planificado)
  • SOC 2 Tipo II (planificado)
  • ISO 27001 (en evaluación)

Estamos construyendo nuestra postura de cumplimiento junto con nuestro producto. Esta página refleja dónde estamos hoy.

Divulgación de vulnerabilidades

Damos la bienvenida a la investigación de seguridad responsable. Si descubres una vulnerabilidad en nuestra plataforma, por favor notifícala.

Cómo notificar

Alcance

  • En alcance: *.craevidence.com, la API de CRA Evidence, la CLI de CRA Evidence
  • Fuera de alcance: Servicios de terceros, ingeniería social, ataques de denegación de servicio

Puerto seguro

No emprenderemos acciones legales contra investigadores de seguridad que:

  • Actúen de buena fe
  • Eviten violaciones de privacidad, destrucción de datos o interrupción del servicio
  • Notifiquen hallazgos con prontitud y permitan tiempo razonable para la resolución

Política de CVD

Seguimos los estándares ISO 29147/30111 para la Divulgación Coordinada de Vulnerabilidades.

Contacto

Última actualización: marzo de 2026.

Contacto de seguridad
Equipo de seguridad
security@craevidence.com
Consultas generales
Formulario de contacto
Cumplimiento

Nuestro cumplimiento

  • Cumple con el GDPR (UE 2016/679)
  • Residencia de datos en la UE
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Proveedor de infraestructura

SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5

Hoja de ruta

  • Pruebas de penetración independientes
  • SOC 2 Type II
  • ISO 27001
Páginas relacionadas
Política de Privacidad Términos de servicio Política de Cookies security.txt

¿Preguntas sobre nuestras prácticas de seguridad?

Estamos comprometidos con la transparencia. Escríbenos si tienes preguntas relacionadas con la seguridad.

Contactar con el equipo de seguridad Contacto general