Bespokely

Seguridad y Medidas Técnicas y Organizativas

Última actualización: 20 de mayo de 2026
Versión: 1.0
Enlace permanente a esta versión: bespokely.io/legal/security/v1.0

Esta página describe las medidas técnicas y organizativas ("TOMs") que Bespokely Inc. ("Bespokely") implementa para proteger los datos personales procesados en sus productos, en cumplimiento del Art. 32 GDPR y obligaciones equivalentes bajo otras leyes de protección de datos.

Esta página se aplica a todos los productos operados por Bespokely Inc. Cuando un producto difiere materialmente de la línea base de la plataforma, esto se menciona en §13 Notas específicas del producto.

§1 Gobernanza de la seguridad de la información

  • Un programa de seguridad de la información documentado revisado al menos anualmente.
  • Propiedad de la seguridad a nivel de fundador (Edgardo Romo, ejecutivo responsable).
  • Políticas de seguridad que cubren: control de acceso, uso aceptable, respuesta a incidentes, gestión de proveedores, gestión de cambios, continuidad del negocio.
  • Todos los empleados reconocen la política de seguridad al ser contratados y en cada actualización material.

§2 Control de acceso

§2.1 Identidad y autenticación

  • Cuentas individuales nombradas para cada operador de Bespokely. No se permiten credenciales compartidas.
  • Autenticación multifactor obligatoria (mínimo TOTP) para todo acceso administrativo a sistemas de producción.
  • Inicio de sesión único a través del proveedor de identidad de Bespokely para cualquier operador con acceso a producción.
  • Los usuarios finales del cliente se autentican a través del sistema de autenticación del producto relevante (Supabase Auth), con contraseñas hash bcrypt y TOTP opcional.

§2.2 Autorización y menor privilegio

  • Principio de necesidad de saber: el acceso a los datos del cliente se concede solo a los operadores que lo requieren para una tarea específica.
  • Control de acceso basado en roles a nivel de aplicación.
  • Políticas de Seguridad a Nivel de Fila (RLS) en todas las tablas de la base de datos que contienen datos personales.
  • La clave service_role de Supabase se mantiene solo en variables de entorno del lado del servidor; nunca se expone a paquetes del lado del cliente.

§2.3 Proceso de incorporación/movimiento/salida

  • Aprovisionamiento mediante ticket contra el proveedor de identidad.
  • Revisión de acceso trimestral por el propietario de seguridad; el personal que se ha ido se elimina dentro de las 24 horas posteriores a la baja.

§3 Cifrado de datos

§3.1 En reposo

  • Cifrado AES-256 para todos los datos del cliente almacenados en PostgreSQL, almacenamiento de objetos (Supabase Storage) y copias de seguridad.
  • Copias de seguridad de la base de datos cifradas con claves gestionadas por el proveedor; rotación de claves según la política del proveedor.
  • Secretos sensibles (claves API, tokens OAuth, referencias de pago) almacenados en gestores de secretos dedicados o cifrados a nivel de columna utilizando pgsodium / pgcrypto.

§3.2 En tránsito

  • TLS 1.2 mínimo; TLS 1.3 preferido. Se desactivan los protocolos inseguros.
  • HSTS habilitado en todos los dominios orientados al cliente.
  • Las conexiones de base de datos utilizan SSL con sslmode=require mínimo (preferido verify-full para conexiones de servidor a base de datos).
  • Las llamadas internas de servicio a servicio utilizan TLS terminado en el servicio receptor.

§4 Seguridad de la red e infraestructura

  • Toda la infraestructura se ejecuta en proveedores gestionados (Vercel, Supabase) con su postura de cumplimiento subyacente (Vercel y Supabase dependen de la infraestructura de AWS para la región de la UE — AWS posee ISO 27001, SOC 2 Tipo II y otras certificaciones).
  • Protección DDoS en el borde a través de Vercel.
  • Segmentación de red entre entornos de producción, staging y desarrollo. No hay bases de datos compartidas entre entornos.
  • Aislamiento de datos por inquilino: un proyecto de Supabase por cliente para cargas de trabajo de datos del cliente.

§5 Seguridad de la aplicación y ciclo de vida del desarrollo de software

  • Todos los cambios de código pasan por revisión de pull-request.
  • Análisis estático (linters, verificadores de tipo, escaneo de dependencias) se ejecuta en cada cambio.
  • Dependencias rastreadas a través de archivos de bloqueo; actualizaciones revisadas al menos mensualmente.
  • Las implementaciones en producción son inmutables y están fijadas por versión; la reversión es con un clic.
  • Los secretos nunca se comprometen en el control de versiones; escaneo de secretos habilitado antes de la confirmación.
  • Las vulnerabilidades web se mitigan a través de protecciones a nivel de marco (tokens CSRF, codificación de salida, consultas parametrizadas) y protecciones a nivel de plataforma (Vercel WAF, encabezados CSP).

§6 Registro, monitoreo y auditoría

  • El registro de auditoría a nivel de aplicación registra cada mutación de datos personales: actor, marca de tiempo, id de registro, acción. Los payloads del registro de auditoría hacen referencia solo a los ids de registro — no contienen los datos personales en sí.
  • Registro de auditoría de base de datos habilitado a nivel de Supabase; las consultas de los operadores contra tablas con datos personales se registran.
  • Los registros de tiempo de ejecución de Vercel capturan datos a nivel de solicitud (dirección IP truncada, marca de tiempo, ruta, estado). Retención: 30 días.
  • Sentry captura errores de la aplicación con eliminación de PII habilitada (campos de correo electrónico y texto libre redactados antes de la transmisión).
  • Los registros de auditoría se conservan durante 3 años para satisfacer el requisito de prueba de consentimiento del Art. 7 GDPR y necesidades forenses operativas.

§7 Detección y respuesta a incidentes

  • Alertas 24×7 sobre disponibilidad y señales de seguridad (picos de fallos de autenticación, volúmenes inusuales de exportación de datos, picos de errores).
  • Plan de respuesta a incidentes documentado con clasificación de severidad.
  • Notificación al cliente: para cualquier incidente de seguridad confirmado que afecte los datos personales de un cliente, Bespokely notifica al cliente (controlador) sin demora indebida y en cualquier caso dentro de 24 horas de la confirmación. Esto es más rápido que la ventana de 72 horas de controlador a DPA bajo el Art. 33 GDPR para dar tiempo a los controladores.
  • Post-incidente: postmortem escrito dentro de los 14 días, incluyendo acciones de remediación y actualizaciones a la documentación de seguridad si corresponde.

§8 Copia de seguridad y continuidad del negocio

  • Copias de seguridad diarias cifradas de todas las bases de datos de clientes.
  • Retención de copias de seguridad: 7 días, con recuperación en el tiempo disponible dentro de esa ventana.
  • Copias de seguridad almacenadas en la misma región de la UE que los datos primarios (Fráncfort para productos de la región de la UE).
  • Pruebas de restauración trimestrales para al menos una base de datos de producción para validar la recuperabilidad.
  • Plan de recuperación ante desastres documentado con RTO objetivo ≤ 4 horas y RPO ≤ 24 horas para fallos dentro de la región; más largo para fallos a nivel regional.

§9 Seguridad del personal

  • Verificaciones de antecedentes para todos los operadores con acceso a producción, sujeto a la ley aplicable.
  • Obligaciones de confidencialidad en cada acuerdo de empleo y contrato.
  • Capacitación anual en concienciación sobre seguridad, incluyendo simulación de phishing.
  • Se permite el uso de dispositivos personales solo para acceso no productivo; acceso a producción solo desde dispositivos gestionados.

§10 Gestión de proveedores y subprocesadores

  • Cada subprocesador bajo un Acuerdo de Procesamiento de Datos por escrito que incluye Cláusulas Contractuales Estándar donde sea aplicable.
  • Revisión anual de la postura de seguridad de cada subprocesador y estado de DPF / certificación.
  • Lista pública de subprocesadores mantenida en bespokely.io/legal/sub-processors, actualizada con un aviso de 30 días antes de los cambios según el DPA del cliente.
  • Los clientes conservan el derecho a objetar a un nuevo subprocesador.

§11 Ubicación y soberanía de los datos

  • Los datos del cliente para productos que atienden a clientes de la UE se alojan en AWS eu-central-1 (Fráncfort, Alemania).
  • No hay replicación de datos del cliente fuera de la UE.
  • Los subprocesadores de inferencia de LLM (OpenAI, Anthropic) operan en EE. UU. y procesan solicitudes allí bajo DPF / SCCs; configuramos a estos proveedores para optar por no participar en el entrenamiento sobre contenido del cliente donde existe la opción.
  • Los datos de contenido del cliente enviados a LLMs se minimizan y pueden ser redactados a nivel de aplicación donde el caso de uso lo permita.

§12 Solicitudes de sujetos de datos y asistencia a controladores

  • Asistimos a los clientes (controladores) en el cumplimiento de solicitudes de sujetos de datos bajo el Art. 12–22 GDPR dentro del SLA definido en el DPA del cliente (típicamente: respuesta al controlador dentro de los 14 días posteriores a la recepción de una solicitud dirigida).
  • Proporcionamos a los controladores las herramientas necesarias para: exportar datos del cliente, eliminar registros a solicitud y seudonimizar registros donde la eliminación aún no sea posible debido a obligaciones legales de retención del controlador.

§13 Notas específicas del producto

Producto Notas específicas sobre TOMs
Sitio web de Bespokely Se aplica la línea base estándar. Solo análisis nativo. No hay procesadores de seguimiento de terceros.
Portal del Cliente de Bespokely Línea base estándar más: el almacenamiento de documentos utiliza Supabase Storage con cifrado del lado del servidor; las auditorías de firma electrónica se almacenan de manera append-only; los hashes de documentos firmados se notarian en la base de datos con marcas de tiempo.
Asistente AI de Bespokely Línea base estándar más: la selección del proveedor de LLM por implementación está documentada en la confirmación del pedido; los registros de conversación se retienen según el período de retención configurado por el cliente (predeterminado 90 días); las solicitudes de LLM se redactan de datos identificativos del cliente donde sea factible.
Bespokely AI (Hospitalidad) Línea base estándar más: las integraciones con sistemas PMS de hoteles o de reservas se definen por implementación y se detallan en la confirmación del pedido.

§14 Certificaciones y atestaciones

Las siguientes certificaciones se poseen o están en alcance. Donde Bespokely no está aún certificado, confiamos en las certificaciones de los proveedores de infraestructura subyacentes.

  • AWS (infraestructura subyacente para Vercel y Supabase en la región de la UE): ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, PCI DSS Nivel 1, C5 (Alemania).
  • Vercel: SOC 2 Tipo II, ISO 27001.
  • Supabase: SOC 2 Tipo II.
  • Bespokely Inc. (directo): SOC 2 Tipo II — en alcance para 2026 (planificado).

§15 Actualizaciones a esta página

Las actualizaciones materiales se versionan (v1.0, v1.1, etc.) y se notifican a los clientes activos por correo electrónico al menos 30 días antes de que entren en vigor, excepto donde una actualización endurezca (en lugar de relajar) una medida, en cuyo caso entra en vigor inmediatamente y se notifica dentro de los 30 días posteriores a la publicación.

Versión Efectiva desde Resumen
1.0 2026-05-20 Publicación inicial de TOMs a nivel de plataforma que cubren todos los productos operados por Bespokely Inc.

Las versiones anteriores se conservan en bespokely.io/legal/security/v[VERSION].

Contacto para preguntas de seguridad:
Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, EE. UU. · privacy@bespokely.io · +1 (512) 348-6588