Usamos almacenamiento local para recordar sus preferencias y medir la audiencia de forma anónima (Vercel Analytics — sin datos personales). Política de privacidad
Documento para equipos IT y seguridad de la información
Esta página responde las preguntas de seguridad IT más frecuentes al evaluar HealthWatch Global. Si su equipo IT tiene una lista de verificación estándar, envíenosla directamente — respondemos por escrito en 2 días hábiles.
Respuesta escrita en 2 días hábiles, en formato compatible con su proceso de adquisición.
¿Dónde se alojan los datos?
Base de datos y autenticación: Supabase, región AWS eu-central-1 (Frankfurt, Alemania). Aplicación web y API: Vercel, región edge Europa activada. Email transaccional: Brevo (Sendinblue SAS), París, Francia. Todos los datos permanecen en la Unión Europea.
¿Se transfieren datos fuera de la UE?
No para datos de vigilancia sanitaria y de cuenta. Los logs de infraestructura pueden transitar por nodos CDN edge globales de Vercel, cubiertos por Cláusulas Contractuales Estándar (SCCs). No hay transferencias a terceros países no cubiertos por una decisión de adecuación o SCCs.
¿Hay despliegue offline o en local disponible?
No. HealthWatch Global es un servicio SaaS en la nube únicamente. El despliegue on-premise no está disponible en esta fase.
Cifrado en tránsito
HTTPS obligatorio en todas las rutas. TLS 1.2 mínimo, TLS 1.3 preferido. Las conexiones HTTP no seguras se redirigen automáticamente a HTTPS.
Cifrado en reposo
AES-256 gestionado por Supabase (volúmenes AWS RDS cifrados). Las contraseñas de usuario nunca se almacenan en claro — hasheadas con bcrypt via Supabase Auth.
Cifrado de copias de seguridad
Las copias de seguridad automáticas de Supabase están cifradas al mismo nivel que los datos de producción (AES-256, misma región AWS).
¿Cómo se controla el acceso a los datos?
Row-Level Security (RLS) de Supabase activado en todas las tablas: cada usuario solo puede acceder a los datos de su organización. Las rutas API usan el service role de Supabase solo para operaciones del sistema (crons, webhooks) — nunca expuesto al cliente.
Principio de mínimo privilegio
Los roles de aplicación son distintos: rol usuario (solo lectura, propia org), rol servicio (operaciones cron, lectura-escritura limitada a tablas del sistema), rol admin (restringido a la interfaz /admin, protegido por Supabase Auth + verificación de rol en BD).
¿Autenticación multifactor (MFA) disponible?
No de forma nativa en esta fase. La autenticación se basa en Supabase Auth (JWT seguros, sesiones con expiración). La MFA está en la hoja de ruta Enterprise.
Gestión de sesiones
Sesiones JWT con expiración y rotación automática via Supabase Auth. Al cerrar sesión o dar de baja la cuenta, los tokens se invalidan inmediatamente.
Frecuencia de copias de seguridad
Copias de seguridad diarias automáticas de la base de datos via Supabase. Point-in-time recovery (PITR) disponible en el plan Pro de Supabase (retención 7 días).
SLA de disponibilidad
Objetivo de disponibilidad 99,9% (infraestructura combinada Vercel + Supabase). Un SLA escrito está incluido en las suscripciones Team y Enterprise.
¿Objetivo de tiempo de recuperación (RTO / RPO)?
RTO estimado: < 4 horas para restauración completa. RPO: < 24 horas (frecuencia de copias de seguridad diarias). Estos valores son indicativos y pueden formalizarse por contrato para suscripciones Enterprise.
Plazo de notificación en caso de violación de datos
Notificación al Responsable del tratamiento en un plazo de 24 horas tras tener conocimiento, conforme al Art. 33 RGPD. La notificación incluye: naturaleza de la violación, categorías y volumen de datos afectados, medidas tomadas y correctivas previstas.
Proceso de respuesta a incidentes
1) Detección (monitoreo Sentry + alertas Supabase) → 2) Contención (revocación de accesos comprometidos) → 3) Notificación al Responsable < 24h → 4) Notificación a la autoridad supervisora si hay riesgo elevado < 72h → 5) Informe post-incidente disponible a petición.
Divulgación de vulnerabilidades
Los informes de vulnerabilidades se pueden enviar a security@healthwatch-global.com. Respondemos en 5 días hábiles con un acuse de recibo y una estimación del calendario de corrección.
Lista de subencargados (sub-processors RGPD)
Supabase Inc. (BD & Auth, Frankfurt), Brevo/Sendinblue SAS (email, París), Vercel Inc. (alojamiento & CDN, edge UE), Stripe Inc. (pagos, UE/EE.UU. — SCCs). La lista completa con DPA de cada subencargado está disponible en nuestro DPA Art. 28.
Notificación de cambios de subencargado
De acuerdo con el Art. 28(2) RGPD, el Responsable será notificado de cualquier adición o sustitución planificada de un subencargado con un preaviso razonable, permitiéndole oponerse.
¿Tienen certificación ISO 27001?
No. HealthWatch Global es una infraestructura en fase inicial. Aplicamos controles técnicos equivalentes (cifrado, RLS, RBAC, monitoreo, copias de seguridad) y los documentamos de forma verificable. La certificación ISO 27001 está prevista a partir de 2027.
¿Se ha realizado una auditoría de seguridad o prueba de penetración?
No hay pentest formal en esta fase. Se puede organizar una auditoría de código fuente para suscripciones Enterprise a petición. Proporcionamos acceso al repositorio privado para revisión técnica.
¿Informe SOC 2 disponible?
No. Supabase (nuestro proveedor de base de datos) tiene certificación SOC 2 Tipo II — su informe está disponible en su Trust Center. Vercel también cuenta con certificaciones SOC 2.
¿Su equipo IT tiene una checklist específica?
Envíenos su lista de preguntas estándar (cualquier formato — Word, PDF o email). Respondemos punto por punto por escrito en 2 días hábiles, en el formato requerido por su proceso de adquisición.