emision

Documento legal

Política de seguridad

Última actualización: 25 de mayo de 2026

1. Cifrado

  • En tránsito: TLS 1.3 obligatorio. HSTS con preload listo para enviar a la lista de Chrome. Encabezados HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy y CSP activos en producción.
  • En reposo: AES-256 a nivel de proveedor de hosting (Vercel) y de almacén de datos.

2. Hosting y residencia de datos

El sitio se sirve desde la red global de Vercel con preferencia para regiones europeas (Frankfurt y París). Los datos operativos del Cliente se mantienen preferentemente en infraestructura europea, con las salvedades documentadas en /legal/dpa.

3. Control de accesos

  • Autenticación por correo corporativo. Soporte de 2FA y SSO en roadmap.
  • Control de accesos basado en roles (RBAC) por organización y por proyecto.
  • Revisión periódica de accesos del personal interno con privilegios técnicos.

4. Backups y continuidad

Copias de seguridad automáticas con retención mínima de 7 días. Objetivos internos: RPO < 24 h, RTO < 12 h para los servicios críticos. Estos objetivos se documentan formalmente en contrato cuando lo solicite el Cliente.

5. Logging y monitorización

  • Registro de eventos de aplicación, accesos a recursos y errores.
  • Alertas automáticas por degradación del servicio.
  • Las páginas de estado y los incidentes públicos se publican en https://status.emision.com.

6. Gestión de incidentes

Disponemos de un procedimiento interno de respuesta a incidentes con tres fases: detección, contención y comunicación. Si un incidente afecta a datos personales del Cliente, lo notificamos sin dilación indebida y, como objetivo interno, dentro de las 48 h siguientes a su confirmación, incluyendo la información requerida por el RGPD art. 33.

7. Sub-encargados (sub-procesadores)

  • Vercel Inc.Hosting y entrega de contenido (CDN). Región: EU + US (Marco de Privacidad UE-EE.UU. + Cláusulas Contractuales Tipo).
  • Anthropic PBCModelos de lenguaje para asistente y generación de contenido. Región: US (Cláusulas Contractuales Tipo).

La lista pública se mantiene también en /confianza.

8. Desarrollo seguro

  • Revisión por pares (peer review) en cada cambio significativo de código.
  • Gestión de dependencias con escaneo automatizado de vulnerabilidades.
  • Pruebas automatizadas (unit + integration) sobre lógica crítica antes de cada deploy.

9. Reporte responsable de vulnerabilidades

Si encuentras una vulnerabilidad, escribe a security@emision.com. Te pedimos que (i) no expongas la vulnerabilidad públicamente hasta que la mitiguemos, (ii) no accedas a datos de otros usuarios, (iii) nos des un plazo razonable para resolverlo. Reconocemos públicamente las contribuciones legítimas (Hall of Fame en roadmap).

10. Certificaciones (roadmap)

Estamos planificando ISO 27001 y SOC 2 Type II como hitos posteriores a la consolidación de la plataforma. La progresión se publica en /confianza.