Konforme Seguridad Última actualización abril 2026

Cómo protegemos sus datos.

Seguridad en Konforme.

Como plataforma de cumplimiento, nos mantenemos a los mismos estándares que ayudamos a nuestros clientes a alcanzar. Todos los datos se procesan y almacenan dentro de la Unión Europea. Seguimos los principios de privacidad desde el diseño, ciframos todos los datos en reposo y en tránsito, y mantenemos controles de acceso estrictos. Esta página describe nuestras prácticas de seguridad en detalle.

i. Infraestructura y alojamiento.
Alojamiento exclusivo en la UE
Toda la infraestructura se ejecuta en AWS eu-west-1 (Irlanda). Ningún dato se transfiere ni se procesa en jurisdicciones fuera de la UE. Nuestra base de datos, servidores de aplicaciones y servicios de correo electrónico residen todos dentro de la UE.
Cifrado en reposo
Todos los datos almacenados en nuestra base de datos PostgreSQL están cifrados en reposo utilizando AES-256. Las credenciales de nube proporcionadas por los usuarios se cifran adicionalmente antes del almacenamiento mediante cifrado a nivel de aplicación.
Cifrado en tránsito
Todas las conexiones utilizan TLS 1.2 o superior. HSTS está habilitado con un max-age de un año incluyendo subdominios. Utilizamos conjuntos de cifrado modernos y actualizamos regularmente nuestra configuración TLS.
Seguridad de red
Nuestra aplicación se ejecuta en una VPC privada con reglas estrictas de grupos de seguridad. La base de datos no es accesible públicamente. Todo acceso administrativo requiere VPN y MFA.
ii. Seguridad de la aplicación.
Autenticación
Autenticación basada en JWT con tokens criptográficamente seguros (secrets.token_urlsafe). Se requiere verificación de correo electrónico para todas las cuentas. El hash de contraseñas utiliza bcrypt con sal por usuario.
Limitación de frecuencia
Todos los endpoints de autenticación tienen límites de frecuencia: inicio de sesión (5/min), registro (3/min), verificación de correo (10/hora), restablecimiento de contraseña (5/hora). Los endpoints de la API tienen límites por usuario para prevenir abusos.
Protección CSRF
La protección contra falsificación de solicitudes entre sitios está habilitada en todos los endpoints autenticados. Utilizamos el patrón de cookie de doble envío con atributos de cookie SameSite.
Validación de entrada
Toda entrada de usuario se valida y sanea en el lado del servidor utilizando esquemas Pydantic. Protegemos contra inyección SQL, XSS y otras vulnerabilidades del OWASP Top 10.
Cabeceras de seguridad
Content Security Policy estricta, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin y cabeceras Permissions-Policy en todas las respuestas.
Acceso de solo lectura a la nube
Al escanear su infraestructura de AWS o Azure, Konforme utiliza credenciales de solo lectura. Nunca modificamos sus recursos en la nube. Las credenciales se cifran en reposo y pueden revocarse en cualquier momento.
iii. Protección de datos y RGPD.

Konforme está diseñado para cumplir con el RGPD desde su concepción. Solo recopilamos los datos necesarios para prestar nuestro servicio. Los datos de los usuarios nunca se venden a terceros. La eliminación de la cuenta elimina permanentemente todos los datos asociados, incluyendo resultados de escaneo, respuestas de evaluación y credenciales.

Práctica Detalle
Minimización de datos Solo recopilamos lo necesario para la evaluación de cumplimiento. Sin píxeles de seguimiento, sin analítica de terceros.
Derecho de supresión La eliminación de la cuenta elimina todos los datos del usuario. Las credenciales de nube se borran inmediatamente tras la eliminación temporal de la cuenta.
Portabilidad de datos Exporte sus datos de cumplimiento como informes PDF en cualquier momento. Los datos de evaluación pueden exportarse bajo solicitud.
Subprocesadores AWS (alojamiento), Netlify (sitio web de marketing), SES (correo electrónico transaccional). Todo el procesamiento dentro de la UE.
Notificación de brechas En caso de una brecha de datos, los usuarios afectados serán notificados en un plazo de 72 horas según los requisitos del RGPD.
iv. Divulgación responsable.

Si descubre una vulnerabilidad de seguridad en Konforme, por favor repórtela a konform@konforme.io. Tomamos todos los informes en serio y responderemos en un plazo de 48 horas. Le pedimos que nos conceda un tiempo razonable para abordar el problema antes de cualquier divulgación pública.