Política de seguridad de Hotelinking
Fecha de entrada en vigor: 11 de agosto de 2025
Last Updated: 11 August 2025
1. Descripción general
En Hotelinking, S.L., nos tomamos muy en serio la seguridad de nuestros sistemas, nuestra infraestructura y los datos de nuestros clientes. Esta Política de seguridad describe las medidas organizativas y técnicas que implementamos en toda nuestra plataforma (GuestMaker, WiFiBot y Deskforce) para evitar el acceso, el uso, la alteración o la divulgación no autorizados de los datos de los clientes. Nuestra plataforma está alojada íntegramente en las regiones de Amazon Web Services (AWS) de la UE (Irlanda), lo que nos permite beneficiarnos de una infraestructura líder en el sector en materia de cumplimiento normativo.
Esta política debe leerse junto con nuestra Política de privacidad, los Términos y condiciones y el Acuerdo de nivel de servicio.
2. Gobernanza de la seguridad
2.1 Liderazgo en materia de seguridad
Hotelinking mantiene un Sistema de Gestión de Seguridad de la Información (SGSI) en consonancia con la norma ISO 27001, gestionado por un responsable de seguridad de la información (ISO) designado que depende directamente del director general. Mantenemos funciones y responsabilidades claras en los equipos de ingeniería, infraestructura, productos y cumplimiento.
3. Principios básicos de seguridad
Hotelinking se compromete a garantizar:
- Confidencialidad: solo las personas autorizadas pueden acceder a los datos.
- Integridad: los datos siguen siendo precisos y no se alteran.
- Disponibilidad: los servicios siguen siendo resistentes y accesibles para los clientes.
4. Seguridad de la infraestructura
4.1 Entorno en la nube
Todos los servicios de Hotelinking operan exclusivamente en las regiones de Amazon Web Services (AWS) de la UE (Irlanda). Nuestra infraestructura se beneficia de la redundancia, la escalabilidad y las certificaciones de cumplimiento de AWS, incluidas SOC 2, ISO 27001/27018 y GDPR.
4.2 Seguridad de la red
- Hotelinking opera dentro de nubes privadas virtuales (VPC) aisladas.
- Todos los servicios externos están protegidos por TLS 1.2 o superior.
- Se puede acceder a los servicios internos a través de VPN con acceso basado en roles.
- AWS GuardDuty, CloudTrail y JOOPbox se utilizan para la detección, auditoría y supervisión de amenazas en tiempo real.
5. Protección de datos
5.1 Cifrado de datos
- En tránsito: se aplica TLS (HTTPS) a todas las comunicaciones.
- En reposo: todos los datos se cifran mediante AES-256, con claves gestionadas por KMS y rotación automática de claves.
5.2 Control de acceso
- Acceso basado en roles siguiendo el principio del mínimo privilegio.
- Se aplican políticas de contraseñas seguras y MFA en todos los sistemas.
- Todo acceso privilegiado requiere aprobación explícita y registro.
6. Seguridad de las aplicaciones
- Canales de implementación continua con pruebas automatizadas y código revisado por pares.
- Escaneo frecuente de vulnerabilidades y pruebas de penetración periódicas realizadas por terceros.
- Las actualizaciones y los parches de seguridad se implementan por orden de prioridad según los SLA controlados.
7. Supervisión, registro y auditoría
- Se capturan registros de auditoría para todos los eventos a nivel de aplicación e infraestructura.
- Los registros se conservan en AWS S3/Glacier con controles a prueba de manipulaciones.
- Las anomalías se escalan automáticamente a los equipos de ingeniería y seguridad.
8. Copias de seguridad y continuidad del negocio
- Copias de seguridad diarias cifradas de todos los datos de producción (RDS, S3).
- Las copias de seguridad se conservan durante 30 días, y las instantáneas mensuales completas se almacenan durante 12 meses.
- Se realizan pruebas periódicas de recuperación ante desastres para validar las métricas RTO/RPO.
9. Respuesta ante incidentes
Seguimos un procedimiento formal de gestión de incidentes:
- Los incidentes de seguridad se clasifican según su gravedad (baja → crítica).
- Los eventos críticos se escalan inmediatamente a ISO e Ingeniería.
- Se notifica rápidamente a los clientes afectados en caso de infracción, siguiendo los plazos del artículo 33/34 del RGPD.
- Se realizan revisiones posteriores al incidente con planes de acción y análisis de las causas fundamentales.
10. Notificación de violación de datos
En caso de que se confirme una violación de datos personales, Hotelinking:
- Notificará al cliente sin demora injustificada.
- Proporcionará los detalles de la violación: naturaleza, alcance, consecuencias y mitigación.
- Ayudará en la presentación de informes reglamentarios (por ejemplo, a la AEPD) en un plazo de 72 horas cuando sea necesario.
11. Desarrollo seguro
- Todo el código se controla mediante Git.
- Los cambios se revisan por pares a través de solicitudes de extracción y se registran en un sistema de tickets.
- Los desarrolladores siguen prácticas de codificación seguras y reciben formación anual en materia de seguridad.
12. Seguridad de los subencargados del tratamiento
Hotelinking contrata a determinados subencargados del tratamiento (por ejemplo, AWS, procesadores de pagos, servicios de verificación de identidad). Todos los subencargados:
- Deben comprometerse a cumplir con las obligaciones de protección de datos establecidas en el RGPD.
- Son evaluados periódicamente en cuanto a cumplimiento y prácticas de seguridad.
- Se comunican a los clientes a través de nuestra lista de subencargados.
13. Responsabilidades del cliente
Para garantizar la seguridad mutua, se espera que los clientes:
- Utilicen credenciales seguras y habiliten la autenticación de dos factores (2FA) en todas las cuentas.
- Limiten el acceso a los usuarios autorizados.
- Informar a Hotelinking de cualquier sospecha de acceso no autorizado.
- No realizar pruebas de penetración en los sistemas de Hotelinking sin autorización previa por escrito.
14. Revisión y actualizaciones
Esta Política de seguridad se revisa al menos una vez al año, o cuando se produzca alguna de las siguientes circunstancias:
- Introducción de nuevos productos o funciones.
- Cambios importantes en la infraestructura.
- Actualizaciones normativas.
- Incidentes de seguridad o auditorías.
Los cambios se publican en la página legal de Hotelinking y se notifican a los clientes por correo electrónico con al menos 30 días de antelación cuando son importantes.
15. Contacto
Si tiene alguna pregunta o necesita más detalles relacionados con la seguridad, póngase en contacto con:
Responsable de seguridad de la información:
Hotelinking, S.L.
Parc Bit – Edificio Disset, 3.ª planta, D9
Palma de Mallorca, Illes Balears, España
Correo electrónico: security@hotelinking.com