1. Control de acceso (físico y digital)

• Los sistemas están ubicados en un centro de datos de IONOS en Frankfurt am Main (certificado ISO 27001).
• El acceso se controla y supervisa bajo la exclusiva responsabilidad del proveedor del servicio.

2. Control de acceso (permisos)

• Las autorizaciones de acceso se asignan en función de roles y tareas específicas y según el principio de acceso mínimo.
• No se asignarán cuentas de usuario adicionales a terceros.
• A los desarrolladores externos se les puede conceder acceso restringido temporalmente sin acceso a datos personales.
• El acceso a los servidores, al alojamiento web y al almacenamiento WebDAV (informes de escaneo) lo concede exclusivamente el operador mediante datos de acceso personalizados.
• El acceso a los sistemas administrativos se realiza mediante autenticación de dos factores cuando esté disponible.
• Los sistemas utilizados para realizar análisis de vulnerabilidades solo son accesibles a través de VPN, funcionan de forma autónoma y no se puede acceder a ellos directamente desde Internet.

3. Seguridad del acceso a los datos (almacenamiento de datos, software, red)

• La transmisión de datos se realiza exclusivamente a través de conexiones cifradas (HTTPS, SFTP, VPN).
• La aplicación web (WordPress) utiliza complementos de seguridad actuales y se actualiza periódicamente.
• Las conexiones entre WordPress y los sistemas de pruebas se realizan a través de acceso seguro y API.
• Las direcciones IP y los datos de prueba solo se almacenan durante el proceso de prueba y luego se eliminan automáticamente.

4. Separación de datos

• Los informes de auditoría no se almacenan en el sistema WordPress, sino en un almacenamiento WebDAV separado.
• Los sistemas de auditoría y análisis solo almacenan datos temporalmente hasta que se genera el informe. Posteriormente, se eliminan automáticamente.
• Los datos del cliente (por ejemplo, datos de reserva) y los resultados técnicos están separados lógica y físicamente.

5. Seudonimización/Cifrado

• El almacenamiento WebDAV gestionado por IONOS se basa en una infraestructura cifrada.
• Los archivos de auditoría e informes confidenciales se almacenan de forma segura en este sistema.
• Los sistemas de prueba funcionan independientemente unos de otros y se comunican solo en una dirección (modelo push).

6. Copia de seguridad y restauración

• La base de datos de WordPress se respalda diariamente; se mantienen 15 versiones de respaldo.
• La funcionalidad del sitio web (archivos de WordPress) se respalda semanalmente, así como con cada actualización; se mantienen tres versiones de respaldo.
• Los informes de pruebas se respaldan diariamente y hay disponible una versión del día anterior.
• En caso de pérdida de datos, se realizará nuevamente la verificación de seguridad.

7. Disponibilidad y resiliencia

• Los sistemas están diseñados de forma redundante: si un sistema falla durante la prueba, se implementa una nueva instancia.
• Los componentes críticos del sistema se encuentran en el entorno de alojamiento de alta disponibilidad de IONOS.

8. Procedimientos de revisión, evaluación y valoración periódicas

• Actualizaciones periódicas y controles de seguridad de los sistemas por parte del operador.
• Si las actividades de tratamiento cambian, se revisarán las medidas técnicas y organizativas y, si es necesario, se ajustarán.
• Los registros relevantes para la seguridad se comprueban periódicamente (por ejemplo, intentos de inicio de sesión, uso de API).
• Se documentan los cambios críticos (por ejemplo, la participación de desarrolladores externos).

Estas medidas técnicas y organizativas se basan en operaciones reales y pueden adaptarse en caso de cambios. No forman parte de una certificación ISO, sino que sirven para cumplir con el artículo 32 del RGPD.