Versión 1 · a fecha de 14 de julio de 2026
Traducción automática – sin valor legal. Prevalecen las versiones EN/FR. En preparación, pendiente de revisión legal.
Documento técnico de seguridad
1. Introducción
Este documento técnico describe cómo Fotosoft SA (operadora de la plataforma fotostudio.io) protege los datos que le confían fotógrafos y estudios profesionales. La seguridad está integrada en nuestra infraestructura, en el desarrollo de nuestro software y en nuestras operaciones diarias. Somos el encargado del tratamiento de los datos personales que cargan nuestros clientes; nuestros clientes siguen siendo los responsables del tratamiento (véase el Contrato de Tratamiento de Datos).
2. Nuestro enfoque
- Seguridad desde el diseño y por defecto a lo largo de todo el ciclo de desarrollo.
- Minimización de datos: tratamos únicamente los datos necesarios para prestar el servicio y nunca los revendemos ni los usamos con fines comerciales propios.
- Defensa en profundidad: múltiples capas de control independientes en lugar de un único punto de protección.
3. Alojamiento e infraestructura
- Todos los datos se alojan exclusivamente en la Unión Europea.
- Heroku (Salesforce, Inc.) ejecuta la aplicación y las bases de datos; Amazon Web Services (AWS S3) almacena los archivos cargados — ambos en regiones europeas.
- Los centros de datos subyacentes están certificados conforme a ISO 27001 y SOC 1/2/3. Se trata de certificaciones de nuestros proveedores de infraestructura, no de Fotosoft.
- La seguridad física (control de acceso, controles ambientales, vigilancia 24/7) la proporcionan y auditan estos operadores de centros de datos.
4. Seguridad de red
- Todo el tráfico se sirve mediante HTTPS/TLS 1.2+; no se utilizan protocolos en texto plano.
- Cortafuegos gestionados, aislamiento de red y protección DDoS a nivel de proveedor protegen el perímetro.
5. Cifrado
- En tránsito: TLS para cada conexión entre los clientes, la aplicación y el almacenamiento.
- En reposo: el almacenamiento está cifrado (AES-256) en la capa de infraestructura.
- Credenciales: las contraseñas se almacenan con hash y sal — nunca en texto plano.
6. Control de acceso y autenticación
- Privilegio mínimo: el acceso del personal se limita a lo que requiere cada función.
- La autenticación de dos factores es obligatoria para el acceso administrativo y a los servidores.
- Los datos de los clientes están aislados lógicamente por cuenta; los archivos cargados se sirven a través de enlaces seguros y no públicos.
- Las acciones administrativas son atribuibles a cuentas individuales nominales.
7. Seguridad de la aplicación
- Un ciclo de desarrollo de software seguro con revisión de código por pares.
- Análisis de dependencias y vulnerabilidades como parte del proceso de compilación.
- Protección frente a las vulnerabilidades web habituales (OWASP Top 10).
- Los cambios están bajo control de versiones y son trazables.
8. Disponibilidad y resiliencia
- Disponibilidad del servicio prevista del 99.9% al año.
- Supervisión automatizada 24/7 con alertas.
- Copias de seguridad diarias con redundancia geográfica; las restauraciones se prueban.
- La infraestructura redundante y gestionada reduce los puntos únicos de fallo.
9. Continuidad del negocio y recuperación ante desastres
- Las copias de seguridad almacenadas en varias ubicaciones permiten la recuperación ante fallos de infraestructura o pérdida de datos.
- Los procedimientos de recuperación documentados tienen como objetivo restablecer el servicio con una pérdida mínima de datos.
10. Gestión de vulnerabilidades y parches
- Las dependencias y los componentes de la plataforma se supervisan y se parchean con regularidad.
- Las vulnerabilidades confirmadas se priorizan y se corrigen con prontitud.
11. Respuesta a incidentes
- Un proceso documentado de respuesta a incidentes rige la detección, la contención y la recuperación.
- Cuando una violación de datos personales afecta a un cliente, notificamos al responsable afectado sin dilación indebida y en un plazo de 72 horas.
12. Subencargados y gestión de proveedores
- Recurrimos a un número limitado de subencargados verificados (alojamiento, almacenamiento de archivos, correo transaccional, pagos) en el marco de contratos conformes al RGPD. La lista actual se publica en la página de Subencargados, y los cambios se anuncian con antelación.
13. Protección y conservación de datos
- El tratamiento es conforme al RGPD; un Contrato de Tratamiento de Datos y las TOM están disponibles en este Trust Center.
- Al cancelar la cuenta, los datos personales se eliminan de forma permanente en un plazo de 30 días; las copias de seguridad expiran tras su período de conservación.
- Los interesados pueden ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.
14. Seguridad del personal
- El personal está sujeto a obligaciones de confidencialidad y el acceso se concede estrictamente según el principio de necesidad de conocer.
15. Divulgación responsable
Damos la bienvenida a los informes de investigadores de seguridad. Póngase en contacto con security@fotostudio.io; confirmamos los informes con prontitud y trabajamos para corregir rápidamente los problemas confirmados. Le rogamos que actúe de buena fe y evite acceder a los datos de otros usuarios o modificarlos.
16. Contacto
Seguridad: security@fotostudio.io · General: support@fotostudio.io
Review note (EN): ISO 27001 / SOC 2 are certifications of the infrastructure providers (Heroku, AWS), not of Fotosoft itself — keep this attribution accurate. Confirm encryption-at-rest scope and the availability SLA with the team.