Anexo 2: Medidas de seguridad técnicas y organizativas

Hotelinking mantiene un sólido Sistema de Gestión de Seguridad de la Información (SGSI), alineado con los marcos SOC 2 e ISO/IEC 27001. A continuación se resumen las principales medidas técnicas y organizativas implementadas para proteger los datos personales de los clientes:

• Control de acceso basado en roles (RBAC) aplicado en todos los sistemas.
• Se requiere autenticación multifactorial (MFA) para todos los accesos de administrador.
• Se aplica el principio del privilegio mínimo: solo el personal autorizado puede acceder a los datos estrictamente necesarios para el desempeño de sus funciones.
• Los procesos de incorporación, traslado y salida garantizan la incorporación y la retirada oportunas de los derechos de acceso.
• Las revisiones de acceso se realizan cada 180 días.

• En tránsito: cifrado TLS 1.2+ para todos los intercambios de datos entre sistemas, usuarios e integraciones.
• En reposo: cifrado AES-256 aplicado a todos los datos almacenados en los servicios gestionados por AWS (RDS, S3, EBS).
• Gestión de claves: se utiliza el servicio AWS Key Management Service (KMS) para almacenar y rotar de forma segura las claves de cifrado.

• Alojado en Amazon Web Services (AWS) en regiones de la UE (Irlanda) con protección DDoS y cortafuegos integrados.
• Se utiliza una nube privada virtual (VPC) para aislar los sistemas.
• Los sistemas de detección y prevención de intrusiones (IDPS) supervisan el tráfico entrante y saliente.
• Supervisión y alertas 24/7 a través de sistemas automatizados.
• Pruebas de penetración realizadas al menos una vez al año.

• Revisiones de código obligatorias para todas las implementaciones en producción.
• Análisis de código estático y dinámico integrado en los procesos de CI/CD.
• Programa de recompensa por errores abierto a hackers éticos acreditados.
• Política de seguridad de contenidos (CSP) y protecciones XSS/CSRF habilitadas en todas las interfaces de cara al cliente.
• Los equipos de ingeniería siguen un ciclo de vida de desarrollo de software seguro (SSDLC).

• Procedimiento de gestión de incidentes documentado y alineado con los artículos 33 y 34 del RGPD.
• Equipo de respuesta interno disponible las 24 horas del día, los 7 días de la semana.
• Las violaciones de seguridad se notifican a los clientes afectados sin demoras indebidas.
• Análisis detallado de las causas raíz (RCA) y medidas correctivas realizadas tras el incidente.
• Gestión integrada de registros y alertas a través del sistema centralizado SIEM (gestión de información y eventos de seguridad).

• Política de continuidad del negocio y recuperación ante desastres implantada y probada al menos una vez al año.
• Copias de seguridad diarias con almacenamiento geográficamente redundante.
• Mecanismos de conmutación por error entre zonas de disponibilidad y regiones de recuperación ante desastres.
• Objetivo de tiempo de restauración de datos (RTO) y objetivo de punto de recuperación (RPO) alineados con la criticidad del servicio.

• Datos alojados en instalaciones de AWS que cumplen con las normas ISO 27001, SOC 1/2/3 y PCI-DSS.
• Los controles de acceso físico en las instalaciones de AWS incluyen escáneres biométricos, CCTV y personal de seguridad las 24 horas del día, los 7 días de la semana.
• Las oficinas de Hotelinking cuentan con tarjetas de acceso seguro, gestión de visitantes y políticas de bloqueo de estaciones de trabajo.

• Todos los empleados firman un acuerdo de confidencialidad al ser contratados.
• La formación en materia de seguridad es obligatoria durante la incorporación y se renueva anualmente.
• Un responsable de seguridad y un delegado de protección de datos supervisan el cumplimiento y las auditorías internas.
• Se realizan evaluaciones de riesgo de los proveedores antes de incorporar a los subencargados del tratamiento.
• Se realizan auditorías internas periódicas para validar los controles de seguridad y el cumplimiento normativo.

• Los datos recopilados se limitan estrictamente a lo necesario para los Servicios.
• Los documentos de identidad (Deskforce) se eliminan automáticamente en un plazo de 48 horas tras su carga.
• Los registros de consentimiento y las opciones de participación se gestionan y se marcan con la fecha y la hora a través de la plataforma.
• Las políticas de retención de datos se aplican en función de la configuración del cliente y el tipo de servicio.