Skip to content
Aprendly dark modeAprendlyAprendly
InicioCaracterísticasPreciosContactoAcerca de
Iniciar sesión

Política de Seguridad de la Información

ARANOVA ha implementado las siguientes medidas técnicas y organizativas para garantizar la seguridad, confidencialidad, integridad y disponibilidad de la información tratada en la plataforma Aprendly, de conformidad con el artículo 32 del RGPD.

1. Cifrado

1.1 Datos en tránsito

  • Protocolo: TLS 1.3 como mínimo para todas las comunicaciones.
  • HSTS: HTTP Strict Transport Security habilitado, forzando conexiones HTTPS.
  • Certificados: Emitidos por autoridades de certificación reconocidas, con renovación automática.

1.2 Datos en reposo

  • Algoritmo: AES-256 para el cifrado de datos almacenados.
  • Bases de datos: Cifrado automático en reposo proporcionado por el proveedor cloud.
  • Backups: Cifrados con AES-256.

2. Control de Acceso

2.1 Acceso de usuarios

  • Autenticación: Basada en OAuth 2.0 / NextAuth.js con proveedores seguros.
  • Contraseñas: Almacenadas exclusivamente como hash (bcrypt/argon2). Nunca en texto plano.
  • Sesiones: Tokens JWT con expiración configurable. Invalidación en cierre de sesión.
  • Autorización: Control de acceso basado en roles (RBAC) a nivel de aplicación.

2.2 Acceso del personal

  • Autenticación multifactor (MFA): Obligatoria para todo el personal con acceso a sistemas de producción.
  • Principio de mínimo privilegio: El personal solo accede a los datos necesarios para sus funciones.
  • Registro de accesos: Todos los accesos del personal a datos de usuarios quedan registrados.
  • Revisión periódica: Los permisos de acceso se revisan trimestralmente.

3. Copias de Seguridad

  • Frecuencia: Copias de seguridad completas diarias.
  • Cifrado: AES-256.
  • Retención: 30 días.
  • Almacenamiento: Geográficamente separado del centro de datos principal.
  • Pruebas de restauración: Realizadas mensualmente para verificar la integridad.

4. Monitorización y Detección

  • Logs centralizados: Todos los eventos de seguridad se registran de forma centralizada.
  • Detección de intrusiones: Monitorización continua de patrones anómalos.
  • Alertas: Configuradas para eventos críticos (intentos de acceso múltiples fallidos, cambios en permisos, etc.).

5. Gestión de Vulnerabilidades

  • Actualizaciones: Las dependencias del proyecto se actualizan semanalmente mediante Dependabot/Renovate/AiSecBoox.
  • Análisis estático: Herramientas SAST integradas en el pipeline CI/CD.
  • Pruebas de penetración: Programadas anualmente.

6. Desarrollo Seguro

  • CI/CD: Todos los cambios pasan por revisión de código y tests automatizados antes de llegar a producción.
  • Secretos: Las claves API, tokens y contraseñas se gestionan exclusivamente mediante variables de entorno. Nunca se almacenan en el código fuente.
  • Dependencias: Auditoría automática de vulnerabilidades en dependencias (pnpm audit).

7. Gestión de Incidentes

7.1 Detección

Cualquier empleado o sistema automatizado puede reportar un incidente de seguridad al canal designado.

7.2 Respuesta

  • Tiempo de respuesta inicial: Máximo 4 horas desde la detección.
  • Contención: Aislamiento del sistema afectado en un máximo de 8 horas.

7.3 Notificación

  • AEPD: En un plazo máximo de 72 horas desde la detección de una brecha de datos personales.
  • Usuarios afectados: Sin dilación indebida cuando la brecha suponga un alto riesgo para sus derechos y libertades.

7.4 Post-mortem

Se realiza un análisis de causa raíz y se implementan medidas correctoras para evitar recurrencias.

8. Infraestructura

  • Proveedor cloud principal: Arsys Internet S.L. (infraestructura de aplicaciones web y alojamiento), ubicado en España.
  • Proveedores cloud secundarios:
    • Amazon Web Services (AWS): almacenamiento S3 de imágenes con CDN y copias de seguridad, región eu-south-2 (España).
    • Google Cloud Platform: BigData (Cloud Storage y BigQuery) y autenticación OAuth, región europea (España).
  • Base de datos: Arsys (cluster PostgreSQL no gestionado), con cifrado en reposo y en tránsito, administrado internamente.
  • Pasarela cloud: Aranova Cloud Gateway para la gestión de acceso a AWS S3.
  • Certificaciones: Los proveedores de infraestructura cuentan con certificaciones ISO 27001, SOC 2 y cumplen con el RGPD. Todos los datos se almacenan dentro del Espacio Económico Europeo.

9. Formación

  • Formación inicial: Todo el personal recibe formación en seguridad de la información y protección de datos al incorporarse.
  • Formación continua: Sesiones de actualización anuales.
  • Concienciación: Campañas periódicas sobre phishing y buenas prácticas de seguridad.

10. Revisión

Esta política se revisa anualmente o cuando se produzcan cambios significativos en la infraestructura o en los procesos de seguridad. Última revisión: 20 de junio de 2026.

Aprendly

Asegura tu legado digital. Organiza, protege y automatiza la transmisión de tus activos digitales para que tu familia sepa exactamente qué hacer.

Servicio

  • Características
  • Precios

Empresa

  • Acerca de
  • Contacto

Legal

  • Aviso legal
  • Privacidad
  • Cookies
  • [+]
  • aprendly
  • aprendly
  • Aprendly

Copyright © 2026 Aprendly