Seguridad sin compromisos

En Gestfiles, la seguridad de los datos de tus expedientes no es una funcionalidad opcional. Es la base sobre la que construimos cada línea de código, cada decisión de infraestructura y cada proceso interno.

Por qué la seguridad importa más que nunca

Recientemente, una plataforma de gestión de expedientes del sector sufrió una grave brecha de seguridad en su API. La vulnerabilidad permitía a cualquier persona, sin autenticación ni autorización, acceder a la totalidad de los datos almacenados en la plataforma.

Datos expuestos en la brecha:

  • Nombres completos y datos personales
  • DNI / NIE y documentos de identidad
  • Direcciones postales completas
  • Ficheros adjuntos de los expedientes
  • Datos bancarios y económicos
  • Comunicaciones privadas entre partes

Este tipo de filtraciones tienen consecuencias reales y graves: permiten la suplantación de identidad, la solicitud fraudulenta de créditos y préstamos, estafas dirigidas a las víctimas con datos reales, y la venta de información personal en mercados ilegales. Los afectados pueden tardar años en descubrir y reparar el daño.

En Gestfiles creemos que gestionar expedientes jurídicos exige el máximo nivel de responsabilidad con los datos. A continuación te explicamos cómo protegemos los tuyos.

Infraestructura de nivel empresarial

Nuestra plataforma se ejecuta sobre Amazon Web Services (AWS), el proveedor cloud líder mundial en seguridad y cumplimiento normativo.

VPC y subredes privadas

Toda la infraestructura opera dentro de una Virtual Private Cloud (VPC) con subredes privadas aisladas. Las bases de datos y servicios internos no son accesibles desde Internet bajo ninguna circunstancia.

Cifrado en tránsito y en reposo

Todas las comunicaciones utilizan TLS 1.3. Los datos almacenados están cifrados con AES-256 mediante AWS KMS con claves gestionadas y rotadas automáticamente.

Aislamiento de datos

Cada organización opera en un entorno lógicamente aislado. Los mecanismos de control de acceso a nivel de base de datos garantizan que ningún usuario pueda acceder a datos de otra organización.

Autenticación y autorización

Sistema de autenticación robusto con tokens JWT firmados, refresh tokens con rotación, y control de acceso basado en roles (RBAC) granular por organización y expediente.

Backups y recuperación

Copias de seguridad automáticas cifradas con retención configurable. Recuperación ante desastres con RPO mínimo y procedimientos de restauración probados periódicamente.

Monitorización 24/7

Monitorización continua de la infraestructura con alertas en tiempo real. Detección automática de patrones anómalos de acceso y respuesta inmediata ante incidentes.

Protección de datos en cada capa

API segura por diseño

Cada endpoint de nuestra API requiere autenticación. Implementamos rate limiting, validación estricta de inputs, y verificación de permisos en cada petición. No existe ningún endpoint público que exponga datos de expedientes.

Principio de mínimo privilegio

Cada usuario y servicio tiene acceso únicamente a los recursos que necesita. Los permisos se evalúan en tiempo real y se auditan continuamente.

Gestión segura de ficheros

Los documentos adjuntos se almacenan en buckets S3 privados con URLs pre-firmadas de corta duración. No se puede acceder a ningún fichero sin autorización válida y vigente.

Logs de auditoría inmutables

Cada acción sobre un expediente queda registrada: quién accedió, cuándo, desde dónde y qué operación realizó. Los logs son inmutables y se conservan según los requisitos legales aplicables.

Seguridad en el desarrollo

Realizamos revisiones de código obligatorias, análisis estático de seguridad (SAST) y pruebas automatizadas de seguridad en cada despliegue. Las dependencias se auditan continuamente contra vulnerabilidades conocidas.

Protección contra OWASP Top 10

Nuestra plataforma está diseñada para prevenir las vulnerabilidades más comunes: inyección SQL, XSS, CSRF, deserialización insegura, y todas las categorías del OWASP Top 10.

Cumplimiento normativo

Operamos bajo los marcos regulatorios más exigentes para garantizar la protección de los datos de tus clientes.

RGPD / GDPR

Cumplimiento total con el Reglamento General de Protección de Datos. Gestión de consentimientos, derecho al olvido, portabilidad de datos y notificación de brechas.

LOPDGDD

Adecuación a la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales española, incluyendo las especificaciones nacionales adicionales al RGPD.

ENS (Esquema Nacional de Seguridad)

Alineación con los principios del Esquema Nacional de Seguridad para garantizar la protección adecuada de la información en servicios electrónicos.

AWS Compliance

Nuestra infraestructura hereda las certificaciones de AWS: ISO 27001, SOC 2 Type II, y más de 140 estándares de seguridad y cumplimiento.

Tus expedientes merecen la máxima protección

No confíes los datos más sensibles de tus clientes a plataformas que no priorizan la seguridad. Descubre cómo Gestfiles protege cada documento, cada dato y cada expediente.

Contactar con nuestro equipo