Medidas técnicas y organizativas (TOMs)

Medidas conforme al Art. 32 GDPR que garantizan la seguridad del tratamiento de datos personales en la plataforma NISD2.eu.

Última actualización: junio de 2026.

Resumen

Este documento describe las medidas técnicas y organizativas efectivamente implementadas por Kardashev Catalyst UG (haftungsbeschränkt) como operadora de la plataforma NISD2.eu. Es un inventario honesto, no una lista de deseos: enumeramos solo lo que ya está implantado.

Las medidas están alineadas con IT-Grundschutz (BSI) y se ampliarán a medida que crezca la plataforma.

Alojamiento en la UE

El tratamiento productivo de datos personales se realiza exclusivamente dentro de la UE:

  • Servidores de aplicación y base de datos PostgreSQL: Hetzner Online GmbH, centro de datos de Falkenstein/Núremberg, Alemania
  • Almacenamiento de documentos de prueba cargados: AWS S3, región UE
  • Sin tratamiento de datos productivos fuera de la UE. Los subservicios de EE. UU. (Resend para el correo transaccional, xAI para la cumplimentación previa opcional con IA) tratan únicamente los datos necesarios para su función.
Cifrado (Art. 32(1)(a) GDPR)
  • Cifrado en tránsito: TLS para todas las conexiones a la plataforma (HTTPS)
  • Cifrado en reposo: cifrado del lado del servidor de AWS S3 (AES256, establecido explícitamente en cada carga mediante PutObject); datos de PostgreSQL en la infraestructura de Hetzner
  • Las credenciales y las claves de API se gestionan mediante variables de entorno del servidor, no se almacenan en el código fuente ni en bases de datos
Confidencialidad (Art. 32(1)(b) GDPR)

Medidas que garantizan la confidencialidad:

  • Control de acceso físico: los centros de datos de los proveedores de alojamiento (Hetzner, AWS) cuentan con certificaciones ISO 27001
  • Medidas relativas al personal: el acceso a los sistemas productivos y a los datos personales se limita a un grupo reducido y nominado, sujeto a confidencialidad. El acceso sigue el principio de mínimo privilegio y se revoca cuando finaliza un rol.
  • Autenticación: exclusivamente mediante Google OAuth 2.0; no se almacenan contraseñas en la plataforma. La MFA para los usuarios se proporciona a través de su cuenta de Google
  • Permisos basados en roles: admin, revisor, miembro; aplicados en la capa de aplicación mediante middleware de tRPC
  • Aislamiento multiinquilino: toda consulta que contenga datos filtra en la capa de base de datos por el ID de empresa del usuario autenticado; sin agrupaciones de datos compartidas entre clientes
  • Sin contraseñas en texto plano en la plataforma: la autenticación es exclusivamente basada en OAuth
Integridad (Art. 32(1)(b) GDPR)
  • Control de entrada: registro de auditoría de todas las modificaciones que captura ID de usuario, acción, tipo de entidad, marca de tiempo, dirección IP, agente de usuario y valores anteriores/posteriores
  • Detección de manipulación del registro de auditoría: cada fila de auditoría lleva una suma de comprobación SHA-256 sobre su contenido, de modo que los cambios en una fila son detectables
  • Control de transmisión: transmisión de datos únicamente mediante TLS; todos los puntos finales autenticados requieren una sesión válida
  • Documentos de prueba: la ubicación de almacenamiento y los metadatos se escriben en la carga; opcionalmente se puede almacenar junto al archivo un hash SHA-256 proporcionado por el cliente
  • Mecanismo de aprobación: en el momento de la aprobación, el estado del requisito se captura en una tabla de historial de aprobaciones cuyas entradas forman una cadena SHA-256 (la suma de comprobación de cada entrada cubre la anterior): la manipulación del historial es detectable de extremo a extremo
Disponibilidad (Art. 32(1)(b) GDPR)
  • Copias de seguridad de la base de datos según la configuración por defecto del servicio Hetzner Cloud; los detalles de la configuración actual de copias de seguridad están disponibles a petición
  • Almacenamiento de documentos de prueba en AWS S3 con las garantías de durabilidad de objetos proporcionadas por AWS
  • Limitación de tasa en los intentos de inicio de sesión, los puntos finales públicos (comprobación de aplicabilidad, portal de proveedores) y los puntos finales autenticados con uso intensivo de recursos (exportaciones de PDF, generación de certificados)
  • Los archivos cargados están limitados a 50 MB por archivo
  • Supervisión de la disponibilidad: el estado operativo de la plataforma se supervisa de forma continua y es visible públicamente en nisd2.eu/status.
Procedimiento de revisión periódica (Art. 32(1)(d) GDPR)
  • Estas TOMs se revisan cuando lo desencadena un evento y, como mínimo, una vez al año
  • Actualizaciones de dependencias y bibliotecas relevantes para la seguridad: Dependabot está activado para mostrar parches de seguridad y actualizaciones de versión como pull requests con una cadencia semanal
  • Obligaciones de notificación: las violaciones de datos personales se notificarán a la autoridad de control competente en un plazo de 72 horas conforme al Art. 33 GDPR
  • Práctica de desarrollo: los cambios de código pasan por pull requests; se aplican comprobaciones de tipos en modo estricto de TypeScript; pruebas automatizadas específicas cubren la lógica crítica para la seguridad (p. ej., la clasificación de aplicabilidad)
Subencargados

Todos los subencargados están vinculados por contratos conforme al Art. 28 GDPR. La lista completa figura en el documento DPA.

Ver la lista completa de subencargados (DPA)

Contacto de protección de datos

Las preguntas sobre estas TOMs o sobre nuestro tratamiento de datos deben enviarse a:

contact@nisd2.eu