Anexo 2: Medidas de seguridad técnicas y organizativas
Ir arriba
Anexo II: resumen de los controles de seguridad
Hotelinking mantiene un sólido Sistema de Gestión de Seguridad de la Información (SGSI), alineado con los marcos SOC 2 e ISO/IEC 27001. A continuación se resumen las principales medidas técnicas y organizativas implementadas para proteger los datos personales de los clientes:
1. Control de acceso
- Control de acceso basado en roles (RBAC) aplicado en todos los sistemas.
- Se requiere autenticación multifactorial (MFA) para todos los accesos de administrador.
- Se aplica el principio del privilegio mínimo: solo el personal autorizado puede acceder a los datos estrictamente necesarios para el desempeño de sus funciones.
- Los procesos de incorporación, traslado y salida garantizan la incorporación y la retirada oportunas de los derechos de acceso.
- Las revisiones de acceso se realizan cada 180 días.
2. Cifrado de datos
- En tránsito: cifrado TLS 1.2+ para todos los intercambios de datos entre sistemas, usuarios e integraciones.
- En reposo: cifrado AES-256 aplicado a todos los datos almacenados en los servicios gestionados por AWS (RDS, S3, EBS).
- Gestión de claves: se utiliza el servicio AWS Key Management Service (KMS) para almacenar y rotar de forma segura las claves de cifrado.
3. Seguridad de la red y la infraestructura
- Alojado en Amazon Web Services (AWS) en regiones de la UE (Irlanda) con protección DDoS y cortafuegos integrados.
- Se utiliza una nube privada virtual (VPC) para aislar los sistemas.
- Los sistemas de detección y prevención de intrusiones (IDPS) supervisan el tráfico entrante y saliente.
- Supervisión y alertas 24/7 a través de sistemas automatizados.
- Pruebas de penetración realizadas al menos una vez al año.
4. Seguridad de las aplicaciones
- Revisiones de código obligatorias para todas las implementaciones en producción.
- Análisis de código estático y dinámico integrado en los procesos de CI/CD.
- Programa de recompensa por errores abierto a hackers éticos acreditados.
- Política de seguridad de contenidos (CSP) y protecciones XSS/CSRF habilitadas en todas las interfaces de cara al cliente.
- Los equipos de ingeniería siguen un ciclo de vida de desarrollo de software seguro (SSDLC).
5. Respuesta a incidentes y notificación de violaciones
- Procedimiento de gestión de incidentes documentado y alineado con los artículos 33 y 34 del RGPD.
- Equipo de respuesta interno disponible las 24 horas del día, los 7 días de la semana.
- Las violaciones de seguridad se notifican a los clientes afectados sin demoras indebidas.
- Análisis detallado de las causas raíz (RCA) y medidas correctivas realizadas tras el incidente.
- Gestión integrada de registros y alertas a través del sistema centralizado SIEM (gestión de información y eventos de seguridad).
6. Continuidad del negocio y recuperación ante desastres
- Política de continuidad del negocio y recuperación ante desastres implantada y probada al menos una vez al año.
- Copias de seguridad diarias con almacenamiento geográficamente redundante.
- Mecanismos de conmutación por error entre zonas de disponibilidad y regiones de recuperación ante desastres.
- Objetivo de tiempo de restauración de datos (RTO) y objetivo de punto de recuperación (RPO) alineados con la criticidad del servicio.
7. Seguridad física
- Datos alojados en instalaciones de AWS que cumplen con las normas ISO 27001, SOC 1/2/3 y PCI-DSS.
- Los controles de acceso físico en las instalaciones de AWS incluyen escáneres biométricos, CCTV y personal de seguridad las 24 horas del día, los 7 días de la semana.
- Las oficinas de Hotelinking cuentan con tarjetas de acceso seguro, gestión de visitantes y políticas de bloqueo de estaciones de trabajo.
8. Medidas organizativas y administrativas
- Todos los empleados firman un acuerdo de confidencialidad al ser contratados.
- La formación en materia de seguridad es obligatoria durante la incorporación y se renueva anualmente.
- Un responsable de seguridad y un delegado de protección de datos supervisan el cumplimiento y las auditorías internas.
- Se realizan evaluaciones de riesgo de los proveedores antes de incorporar a los subencargados del tratamiento.
- Se realizan auditorías internas periódicas para validar los controles de seguridad y el cumplimiento normativo.
9. Controles de minimización y retención de datos
- Los datos recopilados se limitan estrictamente a lo necesario para los Servicios.
- Los documentos de identidad (Deskforce) se eliminan automáticamente en un plazo de 48 horas tras su carga.
- Los registros de consentimiento y las opciones de participación se gestionan y se marcan con la fecha y la hora a través de la plataforma.
- Las políticas de retención de datos se aplican en función de la configuración del cliente y el tipo de servicio.