Política de seguridad

Esta página describe cómo gestionamos los incidentes de seguridad en Signa y cómo puedes ponernos al corriente de una vulnerabilidad o sospecha. Cumple los principios de art. 33 y 34 RGPD (notificación de brechas a la autoridad y a los afectados).

1. Cómo reportar un incidente

Si has detectado una vulnerabilidad, un acceso indebido a tu cuenta o cualquier otra situación que pueda comprometer la seguridad de los datos:

Email dedicado

seguridad@fichajepro.com

Información útil para reportar

Descripción del problema, pasos para reproducirlo (si aplica), fecha y hora aproximadas, IP o user-agent del incidente si los conoces, capturas de pantalla.

Confirmación de recepción

Acusamos recibo en menos de 24 horas hábiles.

Plazo de notificación a clientes afectados

Si confirmamos una brecha que pueda afectar tus datos, te notificaremos en menos de 72 horas desde el conocimiento, conforme al artículo 33 RGPD.

2. Disclosure responsable

Si eres investigador de seguridad y has encontrado una vulnerabilidad explotable, te pedimos:

• Reportarlo en privado al email anterior antes de hacerlo público. Nos comprometemos a responder en 24 horas y a dar plazos razonables de mitigación.
• No acceder a datos que no sean los estrictamente necesarios para demostrar la vulnerabilidad.
• No degradar el servicio (pruebas de carga, denegación de servicio) ni afectar a otros usuarios.

A cambio nos comprometemos a no iniciar acciones legales contra investigadores que actúen de buena fe y dentro de estos principios.

3. Medidas técnicas y organizativas

Detalladas en el apartado de cumplimiento y en la cláusula de Encargado del Tratamiento. Resumen:

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
• Aislamiento por organización mediante Row-Level Security: una empresa nunca puede leer datos de otra.
• Trazabilidad de modificaciones: un trigger inmutable escribe a un audit log con identidad, IP, motivo y diff antes/después de cualquier edición de fichaje.
• Backups diarios con cifrado en ubicación redundante en la UE.
• PIN de empleado con bcrypt (Supabase Auth) y rate limiting automático.
• Datos alojados en eu-west-1 (Irlanda). Sin transferencias fuera del Espacio Económico Europeo.

4. Qué hacer si crees que tu cuenta ha sido comprometida

1. Cambia inmediatamente tu PIN o contraseña desde la propia app.
2. Avisa por seguridad@fichajepro.com con la mayor información posible.
3. Revisa con tu encargado si hay fichajes que tú no hayas hecho. Cualquier modificación quedó registrada en el audit log con la IP desde la que se hizo.

5. Procedimiento interno de brechas

1. Detección: por alerta automática (logs Supabase / Vercel) o reporte externo al email de seguridad.
2. Contención inmediata (revocar credenciales, aislar la cuenta afectada).
3. Evaluación de alcance y de si hay datos personales afectados.
4. Notificación al cliente Responsable del tratamiento en menos de 72 horas con los elementos del art. 33.3 RGPD: naturaleza de la brecha, categorías y número aproximado de interesados, consecuencias, medidas tomadas o previstas.
5. Notificación a AEPD y, si procede, a los interesados directamente (art. 34 RGPD).
6. Post-mortem con causa raíz y plan de mitigación para evitar la repetición.

Para cualquier otra cuestión de protección de datos (acceso, rectificación, supresión, portabilidad), el canal específico es privacidad@fichajepro.com (ver Política de privacidad).