El acceso anticipado abre pronto — oferta especial de lanzamiento.

Seguridad

Cifrado, control de accesos, copias de seguridad, respuesta a incidentes y divulgación responsable.

Última actualización: 20 de abril de 2026

Esta página describe las medidas técnicas y organizativas que Syncek SL tiene implementadas para proteger los Datos de cliente. Somos una empresa en fase temprana; esta página es intencionadamente honesta sobre lo que hacemos hoy y lo que está planificado. Complementa — y no sustituye — nuestra Política de Privacidad y nuestro Acuerdo de Tratamiento de Datos (DPA), que juntos definen nuestros compromisos contractuales bajo el RGPD.

1. Cifrado

  • En tránsito. Todo el tráfico a Syncek usa TLS 1.2 o superior. HTTP Strict Transport Security (HSTS) está activado con un max-age de dos años y preload.
  • En reposo. Las bases de datos de producción y el almacenamiento de objetos se cifran en reposo con AES-256 o equivalente, gestionado por el proveedor cloud subyacente.
  • Datos sensibles del cliente. Las credenciales de API, tokens OAuth y secretos de integración que nos confías se cifran adicionalmente a nivel de aplicación usando un servicio de gestión de claves, de modo que nunca son legibles en texto claro en nuestra base de datos ni en las copias de seguridad.

2. Control de accesos

  • Acceso basado en roles para el personal de Syncek con mínimos privilegios por defecto. El acceso a producción está limitado a un número reducido de personas nominales y se revoca al cambiar de rol o al cesar.
  • La autenticación multifactor es obligatoria para toda cuenta administrativa.
  • Todo acceso a producción queda registrado con protección de integridad; los registros se revisan durante la respuesta a incidentes.
  • La autenticación del lado cliente usa BetterAuth con contraseñas hasheadas (Argon2id) y soporta inicio de sesión con Google, Facebook y GitHub OAuth.

3. Gestión de vulnerabilidades

  • Escáneres automatizados de dependencias y código en cada cambio, bloqueando merges que introduzcan vulnerabilidades conocidas.
  • Los parches de seguridad se priorizan por severidad y se publican fuera de ciclo cuando es necesario.
  • Los pentests externos están planificados. Publicaremos aquí la cadencia y la fecha del último test cuando se complete el primer encargo.

4. Residencia y transferencias de datos

Los Datos de cliente se almacenan en la Unión Europea — el alojamiento principal de la aplicación y las copias de seguridad permanecen en regiones de la UE. Algunos subencargados operan desde Estados Unidos o globalmente (Stripe, Resend, Google Analytics únicamente en el sitio de marketing, Cloudflare para CDN/edge); cada transferencia se apoya en el Marco de Privacidad de Datos UE-EE. UU., en las Cláusulas Contractuales Tipo de la UE y en medidas complementarias. La lista completa está en nuestra página de Subencargados.

5. Copias de seguridad y recuperación

  • Copias de seguridad automatizadas diarias de los datos de producción.
  • Retención rodante de treinta (30) días, después se purgan.
  • Los procedimientos de recuperación están documentados internamente y se ensayan periódicamente.

6. Respuesta a incidentes y notificación de brechas

Mantenemos un plan formal de respuesta a incidentes con roles y rutas de escalado definidos. Si confirmamos una brecha de datos personales que suponga un alto riesgo para ti, te notificaremos en un plazo de cuarenta y ocho (48) horas y a la AEPD (u otra autoridad de control competente) sin dilación indebida y, cuando sea factible, en un plazo de setenta y dos (72) horas, conforme a los arts. 33 y 34 RGPD.

7. Seguridad de red y perímetro

Nuestra capa de edge y CDN (Cloudflare) proporciona gestión de bots, limitación de tasa y mitigación de DDoS delante de la aplicación. Aplicamos cabeceras de seguridad estrictas a toda respuesta (Content-Security-Policy, X-Frame-Options, Referrer-Policy y Permissions-Policy), y las cookies incluyen los flags Secure, HttpOnly y SameSite=Lax por defecto.

8. Estado de cumplimiento

Syncek está alineada con el RGPD (Reglamento (UE) 2016/679) y la LOPDGDD española (Ley Orgánica 3/2018). Actualmente no disponemos de certificaciones SOC 2, ISO/IEC 27001 ni HIPAA, y no aceptamos datos regulados que las requieran (ver la Política de Uso Aceptable). A medida que la empresa crezca y la demanda del cliente justifique el coste de la auditoría, tenemos previsto perseguir primero la ISO/IEC 27001; actualizaremos esta página cuando empiece ese trabajo.

9. Divulgación responsable

Si crees haber encontrado una vulnerabilidad de seguridad, escríbenos a legal@syncek.com con los detalles. Acusaremos recibo de los informes válidos en un plazo de tres (3) días laborables y te mantendremos informado hasta que el problema esté resuelto. La investigación realizada de buena fe conforme a las normas habituales de divulgación responsable — sin interrupción del Servicio, sin acceso a Datos de cliente más allá de lo necesario para demostrar el fallo, sin divulgación pública antes de que lo solucionemos — no dará lugar a acciones legales por nuestra parte.

10. Contacto

Preguntas de seguridad, informes de vulnerabilidad y solicitudes de documentación adicional: legal@syncek.com.