Misyno

Seguridad

Última actualización: 2026-05-21

Resumen público de las medidas técnicas y organizativas que aplicamos para proteger tus datos y mantener el servicio operativo, conforme al art. 32 RGPD y el estado del arte en seguridad SaaS.

1. Cifrado

  • En tránsito: TLS 1.3 con HSTS preload en todos los dominios públicos. Certificados Let's Encrypt renovados automáticamente.
  • En reposo: credenciales IMAP y password 2FA secretos cifrados con AES-256 (Fernet) en BD. Contraseñas de usuario hasheadas con bcrypt cost 12. Documentos sensibles del módulo Documental cifrados con clave por empresa antes de subir a object storage.
  • Backups: cifrados con GPG asimétrico, replicados a proveedor secundario en UE distinto del primario.

2. Control de acceso

  • Autenticación con usuario + contraseña (mínimo 8 caracteres, mayúscula, minúscula, número y símbolo).
  • 2FA obligatorio para todos los roles de administrador. Por defecto código por email; soporta TOTP (Google Authenticator, Authy, etc.).
  • "Confiar en este dispositivo" para evitar pedir 2FA en cada login del mismo navegador (30 días, token rotable). Se revoca automáticamente al cambiar la contraseña.
  • Permisos por rol: super (Misyno), admin (responsable empresa cliente), user (empleado), encargado_tratamiento (gestor de datos designado por el cliente), operario (solo PIN en kiosco, no accede al panel web).

3. Auditoría e inmutabilidad

  • Todo acceso a datos sensibles queda registrado en rgpd_audit con timestamp, IP y user-agent.
  • Los fichajes se firman en cadena hash (cada fila incluye un hash que depende del anterior) para detectar manipulación retroactiva.
  • Sellos de tiempo cualificados eIDAS (FNMT-CERES) opcionales para archivos legales que requieren prueba temporal.

4. Aislamiento multi-empresa

La aplicación es multi-tenant lógico: cada consulta a la base de datos incluye filtro por company_id verificado en middleware. Las empresas no pueden ver ni acceder a datos de otras. Las copias de seguridad mantienen el aislamiento.

5. Backups y continuidad

  • Frecuencia: backup completo de la base de datos cada 24h. Backup incremental cada 6h. Documentos replicados en tiempo casi-real al storage secundario.
  • Retención: 14 días en caliente, 90 días en frío.
  • Pruebas de restauración: simulacro mensual de recuperación a entorno aislado.
  • RPO/RTO: 24h / 4h respectivamente (ver SLA en Términos del servicio).

6. Protocolo de brechas (Art. 33-34 RGPD)

En caso de brecha de seguridad que afecte a datos personales:

  1. Detección y contención inmediata. El equipo técnico aísla el sistema afectado.
  2. Análisis (24h): alcance, datos comprometidos, riesgos para los afectados.
  3. Notificación a la AEPD: en menos de 72h si la brecha supone un riesgo para los derechos y libertades de las personas (cuando Misyno actúa como responsable de sus propios tratamientos).
  4. Notificación a los clientes afectados: cuando Misyno actúa como encargado, en un máximo de 48h para que el cliente (responsable) pueda cumplir a tiempo su deber de notificación a la AEPD en 72h. Por email a la dirección de contacto y aviso en el panel. Incluirá:
    • Naturaleza de la brecha.
    • Categoría y número aproximado de afectados.
    • Consecuencias probables.
    • Medidas adoptadas y propuestas.
  5. Comunicación a interesados (empleados finales) cuando el riesgo sea alto y no esté mitigado por cifrado u otras medidas.
  6. Registro interno: la brecha queda documentada independientemente de su gravedad, conforme al art. 33.5 RGPD.

Para reportar una incidencia de seguridad o vulnerabilidad detectada, escríbenos a seguridad@misyno.com. Te confirmamos recepción en menos de 24h y publicaremos un aviso si la confirmamos.

7. Divulgación responsable

Si has encontrado un fallo de seguridad, agradecemos divulgación responsable. No publiques antes de que tengamos oportunidad de corregirlo; nos comprometemos a:

  • Confirmar recepción en 24h.
  • Comunicarte plazo estimado de fix.
  • Reconocer públicamente tu aportación (con tu permiso).

8. Certificaciones y cumplimiento

Misyno trabaja conforme a:

  • RGPD (UE 2016/679) y LOPDGDD (Ley Org. 3/2018).
  • ENS (Esquema Nacional de Seguridad) — categoría básica, en proceso.
  • Buenas prácticas OWASP Top 10 + CIS Controls.

9. Lista de sub-encargados

Lista pública y actualizada de los proveedores que tratan datos por cuenta de Misyno: https://app.misyno.com/transparencia/subencargados.