Relación de tratamiento de datos

Nuestras actividades de tratamiento de datos incluyen aquellas en las que tratamos datos personales sobre personas físicas identificadas o identificables en nombre de clientes. Nuestras actividades de tratamiento de datos incluyen aquellas en las que recopilamos datos personales como parte del suministro del servicio en la nube.

Nuestro enfoque del tratamiento de datos garantiza que tengas pleno control sobre los datos que introduzcas en todas las soluciones de SmartSimple y esto se extiende a las propias soluciones configuradas.

Encriptación de datos

Los datos se cifran en movimiento a través de un HTTPS seguro (puerto 443) utilizando protocolos y algoritmos SSL. Los estándares de cifrado actuales son el cifrado SSL mediante TLSv1.1 y TLSv1.2 con certificado SHA256. Los certificados SSL se rotan cada 2 años o menos.

Copia de seguridad en caliente (Warm backup)

Para cada entorno de producción, se mantiene un entorno de copia de seguridad en caliente independiente. Este entorno de backup se sincroniza con el entorno de producción al menos una vez al día. Además, el archivo de copia de seguridad de la base de datos también se envía a un almacenamiento de archivos alternativo, en el servicio AWS S3, y se conserva durante 90 días.

En una situación de recuperación, el objetivo de punto de recuperación (RPO) está por debajo de un máximo de 24 horas, y el objetivo de tiempo de recuperación (RTO) está por debajo de un máximo de 8 horas.

Seguridad Lógica

La seguridad y los permisos basados en atributos y funciones son la piedra angular de nuestro diseño de seguridad. El control de acceso basado en atributos (ABAC) y el control de acceso basado en funciones (RBAC) lo dictan todo, desde el acceso al portal hasta el acceso a las aplicaciones, pasando por la capacidad de ver y modificar el contenido de un campo. Estos controles van más allá de la función del usuario y abarcan el contexto (ubicación, hora del día, material al que se accede y otros atributos) hasta el nivel de campo.


SmartSimple Cloud admite usuarios con múltiples afiliaciones organizativas concurrentes y diferentes roles, y gestiona estos usuarios con las mejores prácticas de inicio de sesión, incluyendo un inicio de sesión/un usuario y cambio en caliente de múltiples roles. Se admiten las opciones de acceso de nombre de usuario y contraseña, y SAML para SSO.


Todas las partes interesadas acceden al sistema a través de una única ventana de inicio de sesión y se les presenta un portal personalizado adaptado a sus funciones y responsabilidades específicas.

Single-sign-on (SSO)

SmartSimple Cloud admite el inicio de sesión único (SSO) mediante SAML 2.0. A través del inicio de sesión único, los usuarios que hayan iniciado sesión en el entorno web interno de su empresa obtienen acceso a su solución SmartSimple Cloud sin necesidad de iniciar sesión con credenciales diferentes.


Esta característica proporciona servicios de autenticación a través de sistemas populares como Active Directory Federation Services (ADFS), Microsoft Active Directory y servicios de gestión de identidades basados en web como OKTA (https://www.okta.com/).


La implementación de SSO requiere configuración tanto dentro de SmartSimple Cloud como dentro del sistema que proporcionará la autenticación.


La implementación de SSO de SmartSimple Cloud actúa como Proveedor de Servicios y asume que el cliente tiene la infraestructura y los recursos para alojar, configurar y gestionar el servicio de Proveedor de Identidad.

Autenticación Multi-Factor (MFA)

Esta función está activada para todos los sistemas SmartSimple Cloud. Añade una capa adicional de protección al proceso de inicio de sesión.


SmartSimple Cloud es compatible con la funcionalidad de autenticación fuerte utilizando la autenticación multifactor (MFA). A través de MFA, la plataforma es compatible con herramientas de autenticación fáciles de usar como Google Authenticator (para generar tokens de software), correo electrónico y SMS.


La autenticación multifactor está basada en roles, lo que permite a tu organización seleccionar sólo el subconjunto de roles de los interesados en los que es necesaria esta seguridad añadida.


Tanto los dispositivos físicos como los virtuales admiten la autenticación con contraseñas de un solo uso calculadas a partir de algoritmos basados en tiempo y/o eventos.


Para más información sobre las funciones de autenticación, visita nuestra wiki pública: https://wiki.smartsimple.com/wiki/Multi-Factor_Authentication

Seguridad Física (Centro de Datos)

Las soluciones SmartSimple Cloud se alojan en centros de datos de última generación de Amazon Web Services (AWS) diseñados para proteger tu aplicación y sus datos, garantizar el cumplimiento normativo y maximizar la disponibilidad y la redundancia.

Nuestros centros de datos asociados tienen un diseño seguro y emplean controles que garantizan esa seguridad. Para ayudarte a cumplir tus requisitos normativos y de auditoría, nuestros centros de datos ofrecen los controles físicos y medioambientales más estrictos, entre los que se incluyen:

• Gobernanza y riesgo (certificación de seguridad de terceros: SOC, ISO, NIST, PCI, HIPAA, etc. y gestión continua de riesgos del centro de datos).
• Diseño seguro (selección del emplazamiento, redundancia, disponibilidad, planificación de la capacidad)
• Continuidad de negocio y recuperación ante desastres
• Controles de acceso físico, incluido el acceso de los empleados al centro de datos y el acceso de terceros al centro de datos)
• Supervisión y registro
• Vigilancia y detección (CCTV, puntos de entrada al centro de datos, detección de intrusiones)
• Gestión de dispositivos, activos y medios
• Sistemas de apoyo operativo (redundancia eléctrica, detección y extinción de incendios)
• Mantenimiento de infraestructuras (gestión de equipos y entornos)

Seguridad de la red

Disponemos de políticas y procedimientos operativos detallados para supervisar y proteger nuestros entornos de red. Estas políticas y procedimientos se revisan periódicamente y están dentro del ámbito de nuestras certificaciones SOC e ISO 27001.


Nuestras políticas operativas incluyen cortafuegos de red interna, IDS, cortafuegos de Windows, filtrado de reputación web, servicio de conexiones sospechosas, listas blancas de IP y muchas otras. El acceso completo a nuestras políticas de seguridad de red está disponible en nuestro portal de confianza.

Seguridad de las aplicaciones

Seguimos los procesos del ciclo de vida de desarrollo de software (SDLC) en el desarrollo de la plataforma, así como procesos bien definidos de gestión de cambios y versiones estándar del sector.


Empleamos muchas estrategias diferentes de seguridad de las aplicaciones para garantizar la seguridad continua de nuestras soluciones SmartSimple Cloud, incluidas evaluaciones periódicas de vulnerabilidades internas y externas, detección del tráfico de red (IDS, IDP), análisis estático del código fuente para detectar vulnerabilidades de seguridad, detección de malware, escaneos de seguridad semanales y pruebas de penetración periódicas y bajo demanda.

Evaluaciones de vulnerabilidad

Los servicios de evaluación de vulnerabilidades se llevan a cabo semanalmente, mientras que las pruebas de penetración anuales y a petición son realizadas por proveedores externos confiables. Estas pruebas se realizan en una instancia exclusiva de SmartSimple Cloud, sin datos de clientes, para garantizar la seguridad y detectar posibles vulnerabilidades.