Prácticas Voluntarias de Seguridad

Última actualización: 2026-03-15

Nuestro compromiso con la seguridad

Veleiras trata los recuerdos personales con el mismo cuidado que las familias que nos confían sus historias. La seguridad no es solo una función — es un principio fundacional.

Esta página describe las prácticas técnicas y organizativas que adoptamos voluntariamente, alineadas con estándares reconocidos internacionalmente.

Alineación con el RGPD

Aunque Veleiras no procesa datos a gran escala, aplicamos los principios del Reglamento General de Protección de Datos (RGPD) de la Unión Europea en toda la plataforma.

Principios (Art. 5 RGPD) — Tratamiento conforme a los principios de licitud, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad.
Base legal (Art. 6 RGPD) — Cada operación de tratamiento se basa en una base legal clara: consentimiento explícito o ejecución contractual.
Minimización de datos — Solo recopilamos lo estrictamente necesario para prestar el servicio. Sin rastreo de comportamiento, sin perfiles publicitarios.
Derechos de los interesados — Acceso, rectificación, supresión, portabilidad y oposición al tratamiento están disponibles en cualquier momento a través de la configuración de la cuenta o por contacto directo.
Encargados del tratamiento (Art. 28 RGPD) — Todos los proveedores externos están vinculados por acuerdos de tratamiento de datos conformes con el RGPD.
Cifrado — Todos los datos se cifran en tránsito (TLS 1.2+) y en reposo (AES-256).
Protección de datos desde el diseño (Art. 25 RGPD) — La privacidad se incorpora en la arquitectura del sistema desde el inicio, no se añade después.
Notificación de brechas — En caso de una brecha de datos personales, nos comprometemos a notificar a la autoridad de control competente en un plazo de 72 horas e informar a los afectados sin demora indebida, conforme a los Art. 33/34 RGPD.

Prácticas alineadas con ISO 27001

Aplicamos controles técnicos inspirados en la norma ISO/IEC 27001 para la gestión de la seguridad de la información.

Control de accesos — El acceso al sistema y a los datos está restringido al personal autorizado mediante roles separados de usuario y administrador, con privilegios de administrador verificados en cada solicitud.
Política de contraseñas — Hash con bcrypt, requisitos mínimos de complejidad y protección contra ataques de fuerza bruta.
Gestión de sesiones — Las sesiones tienen tiempo limitado, están vinculadas a una huella digital del dispositivo, se regeneran periódicamente y se invalidan completamente al cerrar sesión.
HTTPS obligatorio — Todo el tráfico se fuerza a través de conexiones HTTPS con certificados válidos y HSTS activo.
Cabeceras de seguridad — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options y Referrer-Policy configurados en todas las respuestas.
Limitación de solicitudes — Protección contra abuso mediante límites de tasa en puntos de autenticación y API.
Registros de auditoría — Los eventos de seguridad como inicios de sesión, fallos de autenticación y cambios de permisos se registran con marcas temporales e identificadores pseudonimizados. Estamos ampliando progresivamente la cobertura de auditoría en todos los servicios.
Validación de entrada — Todas las entradas del usuario se validan y sanean en el servidor para prevenir inyección de código y XSS.

Principios SOC 2 (Trust Services Criteria)

Nuestras prácticas operativas siguen los criterios de servicios de confianza definidos por el AICPA en el marco del SOC 2.

Seguridad — Los sistemas están protegidos contra accesos no autorizados mediante firewalls de aplicaciones web, limitación de tasa, protección CSRF y huella digital de sesión.
Disponibilidad — La infraestructura se aloja con proveedores que ofrecen garantías de alta disponibilidad. Estamos evaluando medidas adicionales de redundancia y respaldo a medida que la plataforma crece.
Confidencialidad — Los datos de los usuarios están aislados, cifrados y accesibles únicamente para el personal autorizado, con controles de acceso estrictos.
Privacidad — La recopilación, uso, retención y eliminación de datos personales siguen políticas claras y transparentes.

Infraestructura y proveedores externos

Seleccionamos proveedores que cumplen los estándares más exigentes de seguridad y protección de datos.

Alojamiento — Servidores en la Unión Europea con cifrado en reposo, copias de seguridad diarias y aislamiento de red.
CDN y protección DDoS — Distribución global de contenidos con mitigación automática de ataques de denegación de servicio.
Pagos — Procesados por un proveedor certificado PCI DSS Nivel 1. Veleiras nunca almacena datos de tarjetas de crédito.
Rastreo — No utilizamos servicios de análisis de terceros, píxeles de seguimiento ni cookies de sitios cruzados. Los datos de uso agregados se recopilan internamente y de forma anónima cuando es necesario.

Contacto para cuestiones de seguridad

Si descubre una vulnerabilidad o tiene preguntas sobre nuestras prácticas de seguridad, póngase en contacto con nosotros. Respondemos a todos los informes de seguridad en un plazo de 48 horas.

privacy@veleiras.com

Esta página describe prácticas voluntarias de seguridad. No constituye una garantía legal ni una certificación formal.

← Volver a Veleiras