Introducción
Artsessions S.L.U. (en adelante “Artsessions”) desarrolla y opera:
- REPLAI: Plataforma SaaS de automatización, soporte e inteligencia artificial.
- REFIRMI: Módulo de firma electrónica avanzada con captura biométrica integrado en REPLAI.
La seguridad de la información es un componente esencial para el correcto funcionamiento de nuestros servicios y el cumplimiento del RGPD, la LOPDGDD y el Reglamento eIDAS.
Artsessions adopta un enfoque basado en:
- confidencialidad,
- integridad,
- disponibilidad,
- trazabilidad y
- minimización de riesgos.
1. Alcance
Esta Política aplica a:
- todos los productos y servicios desarrollados por Artsessions (incluyendo Replai y Refirmi),
- toda la infraestructura técnica ubicada en la Unión Europea,
- todos los empleados, contratistas y proveedores con acceso a datos,
- todos los dispositivos y sistemas utilizados en el desarrollo, soporte y operación del servicio.
2. Principios de seguridad
Artsessions adopta los siguientes principios:
2.1. Cumplimiento normativo
Conformidad con:
- RGPD
- LOPDGDD
- Reglamento eIDAS (firma avanzada)
- LSSI
- Código Civil y normativa mercantil aplicable
2.2. Minimización de datos
Recogida y tratamiento solo de datos estrictamente necesarios.
2.3. Privacidad desde el diseño (privacy by design)
La seguridad se considera desde la concepción de cada funcionalidad.
2.4. Privacidad por defecto (privacy by default)
Configuraciones orientadas a la protección del usuario sin que este deba intervenir.
2.5. Trazabilidad
Registro de accesos, eventos de firma y logs operativos para auditoría.
2.6. Continuidad del negocio
Planes de contingencia para garantizar disponibilidad.
3. Medidas técnicas y organizativas
Artsessions implementa medidas proporcionadas, razonables y adecuadas:
3.1. Infraestructura
- Servidores en Microsoft Azure (UE) y Raiola Networks (UE).
- Redundancia razonable con sistemas réplicas en la UE.
- Backups regulares en territorio europeo.
- Acceso restringido mediante VPN o sistemas de protección equivalentes (según rol).
3.2. Seguridad de las comunicaciones
- Cifrado en tránsito mediante TLS 1.2+
- HTTPS obligatorio en todos los accesos.
- Certificados digitales actualizados.
- HSTS habilitado en el dominio.
3.3. Control de accesos
- Acceso basado en rol (RBAC).
- Doble factor de autenticación para personal interno con acceso sensible.
- Restricción por principio de mínimo privilegio.
- Auditoría periódica de accesos.
3.4. Seguridad del desarrollo (DevSecOps)
- Buenas prácticas OWASP.
- Revisión técnica antes de despliegues.
- Control de versiones y entornos separados (dev, stage, prod).
- Evaluaciones periódicas de vulnerabilidades internas.
3.5. Seguridad de la firma electrónica avanzada
REFIRMI implementa:
- captura biométrica del grafo de firma,
- integración cifrada de la evidencia en el documento,
- logs del proceso de firma (fecha, IP, SO, navegador),
- trazabilidad completa del proceso.
No se ofrece firma cualificada.
3.6. Gestión de incidentes
- Canal interno de detección y reporte.
- Protocolos de respuesta y contención.
- Notificación de incidentes graves conforme al RGPD (arts. 33 y 34).
3.7. Continuidad de negocio
- Backups automáticos y recuperación.
- Procedimientos ante fallos críticos.
- Monitoreo del estado del servicio.
3.8. Subencargados de tratamiento
Artsessions utiliza exclusivamente proveedores ubicados en la UE.
Todos con contrato de Encargado conforme al art. 28 RGPD.
4. Responsabilidades internas
4.1. Empleados
- confidencialidad
- gestión segura de dispositivos
- cumplimiento de la política
- formación periódica
4.2. Dirección
- supervisión
- recursos adecuados
- gestión de riesgos
5. Revisión y actualización
La Política se revisa al menos una vez al año o cuando haya cambios normativos o técnicos relevantes.