Seguridad y cumplimiento
Cómo protegemos los datos de tu tienda y los de tus clientes. Diseñado para empresas europeas.
Cifrado
- En tránsito: TLS 1.2+ obligatorio en todas las conexiones (web, API, panel admin). Certificados Let's Encrypt con renovación automática.
- En reposo: AES-256 para volúmenes de datos del cliente, gestión de claves con KMS del proveedor.
- HSTS activado con preload (max-age 2 años, includeSubDomains).
Cabeceras de seguridad
El sitio público y todas las respuestas del API añaden las cabeceras recomendadas por OWASP:
Strict-Transport-SecurityX-Content-Type-Options: nosniffX-Frame-Options: DENYReferrer-Policy: strict-origin-when-cross-originPermissions-PolicyrestrictivoContent-Security-Policycon allowlist explícitaCross-Origin-Opener-Policy: same-originCross-Origin-Resource-Policy: same-origin
Validable en securityheaders.com.
Cumplimiento RGPD
APPROSEARCH actúa como Encargado del Tratamiento respecto a los datos de los clientes finales de la tienda (art. 28 RGPD). Disponemos de:
- DPA (Data Processing Agreement) descargable desde el panel admin o bajo petición a hola@approsearch.com.
- Listado público de sub-procesadores en /legal/sub-encargados/.
- Notificación de brechas en menos de 72 horas al responsable, conforme art. 33 RGPD.
- Compromiso de borrado de datos a la finalización del contrato.
- Transferencias internacionales bajo SCC 2021 (Cláusulas Contractuales Tipo). Transfer Impact Assessment documentado para cada sub-procesador en tercer país.
Residencia de datos
Hosting actual en Brasil (Easypanel). Migración a la Unión Europea programada para Q3 2026. Para clientes Enterprise con requisitos de residencia EU desde hoy, ofrecemos despliegue dedicado en AWS Madrid (eu-south-2) o Hetzner Falkenstein (DE) bajo SCC 2021 reforzado.
Sub-procesadores principales
| Proveedor | Finalidad | Localización | Garantías |
|---|---|---|---|
| Resend, Inc. | Email transaccional | EE. UU. | EU-US DPF + SCC 2021 |
| OpenAI, LLC | IA (embeddings, Whisper, CLIP) | EE. UU. | EU-US DPF + SCC 2021 |
| Easypanel | Hosting (en migración EU) | Brasil | SCC 2021 + medidas técnicas |
| Google LLC (GA4) | Analytics | EE. UU. / EU | EU-US DPF + IP anon. |
| Cloudflare, Inc. | CDN, WAF, anti-DDoS | Red global | SCC 2021 |
Aislamiento y permisos
- Cada tenant (tienda cliente) opera en un espacio lógicamente aislado.
- API keys por tenant, rotables desde el panel admin.
- Permisos granulares por usuario interno (lectura, escritura, configuración, billing).
- Logs de auditoría por usuario, retenidos 90 días.
Pruebas de seguridad
- Pentest externo anual con empresa certificada (informe disponible bajo NDA para clientes Enterprise).
- SAST/DAST continuos en pipeline CI.
- Dependency scanning automático (GitHub Dependabot + revisión manual mensual).
- Bug bounty privado abierto a investigadores de seguridad verificados.
Continuidad y respaldo
- Backups automáticos diarios con retención 30 días.
- Restore drill trimestral validado en staging.
- SLA de disponibilidad por plan (99,5 % Start/Growth, 99,9 % Scale, contractual Enterprise).
- Status page pública (en construcción, disponible Q3 2026 en
status.approsearch.com).
Reportar una vulnerabilidad
Si has detectado una vulnerabilidad de seguridad, por favor escríbenos a security@approsearch.com (PGP key disponible bajo petición). También publicamos un /.well-known/security.txt con la información de contacto y nuestra política de divulgación responsable.
Compromiso: respuesta en menos de 48 horas. Confirmación de vulnerabilidad en menos de 7 días naturales. Resolución según severidad CVSS.
Certificaciones (en trámite)
- ISO/IEC 27001:2022 — auditoría inicial prevista Q1 2027.
- SOC 2 Type II — evaluación para mercado US, calendario 2027.
- Esquema Nacional de Seguridad (ENS) — evaluación en función de demanda sector público.