Trust Center
Seguridad

Documento técnico de seguridad

Versión 1 · a fecha de 14 de julio de 2026

Traducción automática – sin valor legal. Prevalecen las versiones EN/FR. En preparación, pendiente de revisión legal.

Documento técnico de seguridad

1. Introducción

Este documento técnico describe cómo Fotosoft SA (operadora de la plataforma fotostudio.io) protege los datos que le confían fotógrafos y estudios profesionales. La seguridad está integrada en nuestra infraestructura, en el desarrollo de nuestro software y en nuestras operaciones diarias. Somos el encargado del tratamiento de los datos personales que cargan nuestros clientes; nuestros clientes siguen siendo los responsables del tratamiento (véase el Contrato de Tratamiento de Datos).

2. Nuestro enfoque

  • Seguridad desde el diseño y por defecto a lo largo de todo el ciclo de desarrollo.
  • Minimización de datos: tratamos únicamente los datos necesarios para prestar el servicio y nunca los revendemos ni los usamos con fines comerciales propios.
  • Defensa en profundidad: múltiples capas de control independientes en lugar de un único punto de protección.

3. Alojamiento e infraestructura

  • Todos los datos se alojan exclusivamente en la Unión Europea.
  • Heroku (Salesforce, Inc.) ejecuta la aplicación y las bases de datos; Amazon Web Services (AWS S3) almacena los archivos cargados — ambos en regiones europeas.
  • Los centros de datos subyacentes están certificados conforme a ISO 27001 y SOC 1/2/3. Se trata de certificaciones de nuestros proveedores de infraestructura, no de Fotosoft.
  • La seguridad física (control de acceso, controles ambientales, vigilancia 24/7) la proporcionan y auditan estos operadores de centros de datos.

4. Seguridad de red

  • Todo el tráfico se sirve mediante HTTPS/TLS 1.2+; no se utilizan protocolos en texto plano.
  • Cortafuegos gestionados, aislamiento de red y protección DDoS a nivel de proveedor protegen el perímetro.

5. Cifrado

  • En tránsito: TLS para cada conexión entre los clientes, la aplicación y el almacenamiento.
  • En reposo: el almacenamiento está cifrado (AES-256) en la capa de infraestructura.
  • Credenciales: las contraseñas se almacenan con hash y sal — nunca en texto plano.

6. Control de acceso y autenticación

  • Privilegio mínimo: el acceso del personal se limita a lo que requiere cada función.
  • La autenticación de dos factores es obligatoria para el acceso administrativo y a los servidores.
  • Los datos de los clientes están aislados lógicamente por cuenta; los archivos cargados se sirven a través de enlaces seguros y no públicos.
  • Las acciones administrativas son atribuibles a cuentas individuales nominales.

7. Seguridad de la aplicación

  • Un ciclo de desarrollo de software seguro con revisión de código por pares.
  • Análisis de dependencias y vulnerabilidades como parte del proceso de compilación.
  • Protección frente a las vulnerabilidades web habituales (OWASP Top 10).
  • Los cambios están bajo control de versiones y son trazables.

8. Disponibilidad y resiliencia

  • Disponibilidad del servicio prevista del 99.9% al año.
  • Supervisión automatizada 24/7 con alertas.
  • Copias de seguridad diarias con redundancia geográfica; las restauraciones se prueban.
  • La infraestructura redundante y gestionada reduce los puntos únicos de fallo.

9. Continuidad del negocio y recuperación ante desastres

  • Las copias de seguridad almacenadas en varias ubicaciones permiten la recuperación ante fallos de infraestructura o pérdida de datos.
  • Los procedimientos de recuperación documentados tienen como objetivo restablecer el servicio con una pérdida mínima de datos.

10. Gestión de vulnerabilidades y parches

  • Las dependencias y los componentes de la plataforma se supervisan y se parchean con regularidad.
  • Las vulnerabilidades confirmadas se priorizan y se corrigen con prontitud.

11. Respuesta a incidentes

  • Un proceso documentado de respuesta a incidentes rige la detección, la contención y la recuperación.
  • Cuando una violación de datos personales afecta a un cliente, notificamos al responsable afectado sin dilación indebida y en un plazo de 72 horas.

12. Subencargados y gestión de proveedores

  • Recurrimos a un número limitado de subencargados verificados (alojamiento, almacenamiento de archivos, correo transaccional, pagos) en el marco de contratos conformes al RGPD. La lista actual se publica en la página de Subencargados, y los cambios se anuncian con antelación.

13. Protección y conservación de datos

  • El tratamiento es conforme al RGPD; un Contrato de Tratamiento de Datos y las TOM están disponibles en este Trust Center.
  • Al cancelar la cuenta, los datos personales se eliminan de forma permanente en un plazo de 30 días; las copias de seguridad expiran tras su período de conservación.
  • Los interesados pueden ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición.

14. Seguridad del personal

  • El personal está sujeto a obligaciones de confidencialidad y el acceso se concede estrictamente según el principio de necesidad de conocer.

15. Divulgación responsable

Damos la bienvenida a los informes de investigadores de seguridad. Póngase en contacto con security@fotostudio.io; confirmamos los informes con prontitud y trabajamos para corregir rápidamente los problemas confirmados. Le rogamos que actúe de buena fe y evite acceder a los datos de otros usuarios o modificarlos.

16. Contacto

Seguridad: security@fotostudio.io · General: support@fotostudio.io

Review note (EN): ISO 27001 / SOC 2 are certifications of the infrastructure providers (Heroku, AWS), not of Fotosoft itself — keep this attribution accurate. Confirm encryption-at-rest scope and the availability SLA with the team.