Seguretat

Darrera actualització: 26 de desembre de 2025

1. El nostre compromís amb la seguretat

A Campora Cloud, operat per Campora Tech, S.L. (Torredembarra, Espanya), la seguretat és un principi fundacional. Apliquem mesures de nivell empresarial per protegir les dades, mantenir la integritat del sistema i assegurar la continuïtat del negoci.

2. Seguretat de la infraestructura

2.1 Infraestructura al núvol

  • Proveïdor: Amazon Web Services (AWS), únicament en regions de la UE
  • Certificacions: ISO 27001, SOC 2 Type II, PCI DSS Level 1
  • Centres de dades: instal·lacions Tier III+ amb redundància d'energia, climatització i xarxa
  • Redundància geogràfica: desplegament multiregió per a recuperació davant desastres

2.2 Seguretat de xarxa

  • Tallafocs: Web Application Firewall (WAF) per bloquejar trànsit maliciós
  • Protecció DDoS: AWS Shield Standard i Advanced
  • Segmentació: VPCs aïllades amb regles estrictes de seguretat
  • Detecció d'intrusions: monitorització en temps real i resposta automatitzada

3. Seguretat de les dades

3.1 Xifratge

  • En trànsit: TLS 1.3 per a totes les transmissions de dades (mínim TLS 1.2)
  • En repòs: xifratge AES-256 per a totes les dades emmagatzemades
  • Bases de dades: xifratge complet amb rotació de claus
  • Còpies de seguretat: còpies xifrades amb claus separades

3.2 Aïllament de dades

  • Multiclient: aïllament lògic complet entre clients
  • Separació de dades: aïllament a nivell d'esquema i controls per fila
  • Controls d'accés: autoritzacions estrictes per evitar accés entre clients

3.3 Còpies de seguretat i recuperació

  • Còpies de seguretat automàtiques: còpies diàries amb retenció de 30 dies
  • Recuperació puntual: restauració a qualsevol punt dins de 7 dies
  • Redundància geogràfica: replicació de còpies en diverses regions
  • RTO: 4 hores
  • RPO: 1 hora

4. Seguretat de l'aplicació

4.1 Desenvolupament segur

  • Seguretat des del disseny: requisits de seguretat integrats des de l'inici
  • Revisions de codi: revisió obligatòria entre iguals en tots els canvis
  • Anàlisi estàtica: escaneig automatitzat a CI/CD
  • Dependències: monitorització contínua de vulnerabilitats a les llibreries

4.2 Gestió de vulnerabilitats

  • Escanejos regulars: avaluacions automatitzades setmanals
  • Proves d'intrusió: auditories externes anuals
  • Programa de divulgació responsable: canal per a investigadors de seguretat
  • Gestió de pedaços: vulnerabilitats crítiques corregides en 24-48 hores

4.3 Proves de seguretat

  • Proves davant l'OWASP Top 10
  • Prevenció de SQL injection i XSS
  • Protecció CSRF en operacions sensibles
  • Validació i sanejament d'entrades
  • Gestió segura de sessions

5. Control d'accés i autenticació

5.1 Autenticació d'usuaris

  • Contrasenyes robustes: mínim 12 caràcters amb requisits de complexitat
  • MFA: disponible per a tots els comptes i obligatori per a administradors
  • Sessions: tancament automàtic després de 30 minuts d'inactivitat
  • OAuth 2.0: autenticació segura per a integracions externes

5.2 Control d'accés basat en rols

  • Mínim privilegi: cada usuari disposa només dels permisos necessaris
  • Permisos granulars: control fi sobre mòduls i funcionalitats
  • Traçabilitat: registre exhaustiu d'accessos i canvis
  • Revisions periòdiques: auditories trimestrals de permisos

5.3 Accés del personal

  • Verificacions prèvies: avaluació de seguretat per a empleats
  • Acords de confidencialitat: NDAs signats per tot l'equip
  • Accés limitat: accés a producció estrictament controlat
  • Monitorització: tot accés del personal queda registrat i supervisat

6. Monitorització i resposta a incidents

6.1 Monitorització de seguretat

  • Supervisió 24/7: monitorització i alertes contínues
  • Gestió de registres: registres centralitzats amb retenció d'1 any
  • Detecció d'anomalies: identificació de comportaments sospitosos
  • Alertes en temps real: notificació immediata d'esdeveniments de seguretat

6.2 Resposta a incidents

  • Pla documentat: procediments definits per a incidents de seguretat
  • Equip de resposta: equip dedicat a incidents
  • Notificació: avís a clients en un termini de 72 hores en cas de bretxa amb dades personals
  • Revisió posterior: anàlisi de causa arrel i mesures correctives

7. Compliment i certificacions

7.1 Compliment actual

  • RGPD: compliment amb la normativa europea de protecció de dades
  • Directiva ePrivacy: compliment en comunicacions electròniques
  • PCI DSS: estàndards de seguretat per a targetes de pagament
  • Verifactu: compliment fiscal espanyol per a facturació

7.2 En progrés

  • ISO 27001: certificació del sistema de gestió de seguretat de la informació
  • SOC 2 Type II: auditoria de tercers

8. Continuïtat del negoci

8.1 Alta disponibilitat

  • SLA: garantia de disponibilitat del 99,9 %
  • Balanceig de càrrega: distribució del trànsit entre múltiples servidors
  • Autoescalat: ajust automàtic davant pics de trànsit
  • Comprovacions d'estat: monitorització contínua i commutació automàtica per error

8.2 Recuperació davant desastres

  • Desplegament multiregió: configuració actiu-passiu en regions UE
  • Proves regulars: simulacres trimestrals
  • Pla documentat: procediments per a incidents majors

9. Seguretat de tercers

9.1 Gestió de proveïdors

  • Avaluacions de seguretat: diligència deguda per a proveïdors
  • Contractes: requisits de seguretat inclosos als acords
  • Revisions periòdiques: avaluació contínua de la postura de seguretat de cada proveïdor

9.2 Seguretat d'integracions

  • Seguretat de l'API: OAuth 2.0 i autenticació mitjançant claus
  • Limitació de peticions: protecció davant l'abús d'APIs
  • Validació d'entrada: validació estricta de dades externes

10. Seguretat física

La nostra infraestructura s'allotja en centres de dades AWS amb:

  • Personal de seguretat 24/7
  • Controls biomètrics d'accés
  • Videovigilància
  • Sistemes d'accés tipus mantrap
  • Auditories físiques periòdiques

11. Formació i conscienciació

  • Incorporació: formació bàsica de seguretat per a noves incorporacions
  • Formació anual: programa obligatori de conscienciació
  • Simulacions de phishing: campanyes internes periòdiques
  • Referents de seguretat: persones de referència en seguretat a cada equip

12. Responsabilitats de seguretat del client

Tot i que proporcionem mesures robustes, els clients són responsables de:

  • Fer servir contrasenyes fortes i úniques
  • Activar l'autenticació multifactor
  • Protegir les seves credencials
  • Reportar activitat sospitosa
  • Configurar permisos adequats per a usuaris
  • Mantenir segures les credencials d'integració

13. Comunicació d'incidències de seguretat

Si detectes una vulnerabilitat:

  • Correu electrònic: admin@campora.cloud
  • Temps de resposta: acusarem recepció en 24 hores
  • Divulgació responsable: sol·licitem 90 dies abans d'una publicació pública
  • Reconeixement: els investigadors podran ser reconeguts a la nostra pàgina de seguretat

14. Transparència en seguretat

Mantenim transparència mitjançant:

  • Pàgina d'estat: estat del servei en temps real a status.campora.cloud
  • Informes d'incidents: anàlisis posteriors per a incidents rellevants
  • Actualitzacions de seguretat: comunicació periòdica sobre millores
  • Informes d'auditoria: disponibles a petició per a clients empresarials

15. Preguntes i contacte

Per a dubtes o qüestions de seguretat: