Medidas de seguridad y salvaguardas técnicas

Esta sección explica cómo protegemos tus datos, cómo gestionamos el acceso a la información y qué protocolos seguimos para mantener un entorno seguro, resiliente y conforme con el RGPD y el IA Act

Arquitectura y protección de la información

  • La infraestructura de Tauniqo está desplegada en entornos cloud seguros dentro del Espacio Económico Europeo (EEE), principalmente AWS, Microsoft Azure y Google Cloud, garantizando que todos los datos permanezcan en territorio europeo conforme al RGPD.

  • Los servicios de IA de terceros (Azure OpenAI, Google Gemini, ElevenLabs, etc.) se ejecutan en instancias europeas y bajo acuerdos de subencargado con cláusulas de confidencialidad y seguridad.

  • Los entornos de desarrollo, prueba y producción están aislados, con datos anonimizados en entornos no productivos.

Cifrado y protección de datos

  • Todos los datos personales y corporativos se cifran en tránsito (TLS 1.2+) y en reposo (AES-256).

  • Las claves de cifrado se gestionan mediante Azure Key Vault y rotan periódicamente.

  • Las copias de seguridad también se almacenan cifradas y en centros de datos diferentes para garantizar continuidad y resiliencia.

Control de acceso y autenticación

  • Acceso basado en roles (RBAC) con principio de mínimo privilegio.

  • Roles predefinidos: User, Manager, Trainer, Admin; cada uno con permisos limitados a sus funciones.

  • Autenticación multifactor (MFA) obligatoria para todo el personal interno y administradores de clientes.

  • Registros de acceso y auditoría automáticos en cada sesión, con almacenamiento seguro y revisión periódica.

Seguridad en el ciclo de vida del desarrollo (SDLC seguro)

  • Todos los desarrollos internos siguen políticas de Secure Coding y revisiones de código por pares.

  • Escaneos automáticos de vulnerabilidades (SAST/DAST) antes de cada despliegue.

  • Entorno de CI/CD con revisión humana obligatoria para cambios en componentes de IA o infraestructura.

Copias de seguridad, disponibilidad y resiliencia

  • Backups completos semanales y incrementales diarios, replicados en una segunda región europea.

  • RTO (Recovery Time Objective): 5 horas.

  • RPO (Recovery Point Objective): hasta el último backup diario.

  • Procedimientos de restauración probados semestralmente mediante simulacros.

  • Disponibilidad garantizada del 97 % mensual según SLA.

Monitorización y detección de incidentes

  • Monitorización continua 24/7 mediante herramientas de SIEM (Security Information and Event Management).

  • Detección temprana de anomalías y alertas automáticas al equipo de seguridad.

  • Procedimiento de respuesta a incidentes documentado: notificación al cliente en menos de 72 h en caso de incidente que afecte a sus datos.

Gestión de vulnerabilidades y parches

  • Actualizaciones de seguridad y parches críticos en menos de 30 días desde su publicación.

  • Escaneos mensuales de vulnerabilidades y revisión semestral de cumplimiento.

Seguridad del personal y concienciación

  • Todo el equipo con acceso a datos o sistemas recibe formación anual obligatoria en ciberseguridad, protección de datos y uso responsable de IA.

  • Políticas firmadas de confidencialidad y uso aceptable de sistemas.

Gestión de derechos y privacidad de usuarios

  • Mecanismos automáticos para ejercicio de derechos ARSOPL (acceso, rectificación, supresión, oposición, portabilidad, limitación).

  • Opción configurable de no guardar audios ni transcripciones, según la política de privacidad del cliente.

Auditorías y certificaciones

  • El Sistema de Gestión de Seguridad de la Información (SGSI) de Tauniqo está alineado con ISO 27001 y el Sistema de Gestión de IA con ISO 42001.

  • Auditorías internas anuales y externas cada dos años.

  • Derecho de auditoría del cliente incluido en contrato y DPA.

AnteriorOpciones de finalización para tareasSiguienteControles de integridad sobre los outputs de IA

Última actualización