Seguridad, privacidad y cumplimiento de nivel empresarial
Certificaciones, controles documentados y documentación de apoyo para revisiones de seguridad y procesos de diligencia debida.
Última actualización: marzo de 2026
Resumen de garantías
27001
Certificación ISO/IEC
RGPD
Cumplimiento en privacidad
AWS
Infraestructura certificada
2011
Año de lanzamiento de la plataforma
Resumen
Resumen del Centro de confianza
El Centro de confianza de Peopleware cubre cumplimiento, seguridad del producto y de la infraestructura, fiabilidad, gobernanza, privacidad y acceso a documentación de apoyo.
Cumplimiento
Seguridad
Fiabilidad
Gobernanza
Cumplimiento
Garantías clave de cumplimiento
Las principales certificaciones, compromisos regulatorios y garantías contractuales están disponibles para revisión.
| Área | Estado |
|---|---|
| ISO/IEC 27001 | Certificado Certificación ISO/IEC 27001:2022 para la prestación, operación, mantenimiento y gestión de la plataforma Peopleware. La certificación se audita anualmente por un organismo externo de certificación acreditado. Ver certificado → |
| RGPD | Conforme Las obligaciones derivadas del RGPD de la UE y del Reino Unido se respaldan mediante un Acuerdo de tratamiento de datos. Peopleware cuenta con un delegado de protección de datos específico, disponible en privacy@peopleware.com. Se admiten los derechos de los interesados y la supresión de datos previa solicitud. El Acuerdo de tratamiento de datos está disponible en EN / DE / FR. Se realizan revisiones anuales de cumplimiento y las auditorías independientes forman parte del programa de cumplimiento. privacy@peopleware.com |
| Infraestructura AWS | Entorno de alojamiento certificado Alojado en centros de datos de AWS certificados conforme a ISO 27001, PCI DSS Service Provider Level 1 y SOC 2, con redundancia integrada y controles de seguridad física. |
| Subencargados del tratamiento | Controlados y publicados Un conjunto controlado de terceros encargados del tratamiento presta soporte a las operaciones de la plataforma. Todos los proveedores están sujetos a obligaciones de seguridad definidas, acuerdos de confidencialidad y revisión periódica conforme a la Política de seguridad de proveedores. La lista completa de subencargados está publicada. Ver subencargados → |
| Medidas técnicas y organizativas | Documentadas Las medidas técnicas y organizativas documentan las salvaguardas que Peopleware aplica para proteger los datos de clientes, derivadas de su sistema de gestión de seguridad de la información certificado conforme a ISO 27001:2022. Se han evaluado los 93 controles de ISO 27001:2022 y se han implementado los aplicables. Las medidas técnicas y organizativas se publican en el Anexo 2 del Acuerdo de tratamiento de datos. Ver medidas técnicas y organizativas → |
| Seguro de ciberriesgos | Disponible previa solicitud El seguro de responsabilidad civil incluye cobertura para reclamaciones relacionadas con ciberincidentes. El certificado se facilita a través del proceso de solicitud de documentación de seguridad. |
Seguridad
Controles de seguridad clave
Peopleware aplica controles documentados de producto, plataforma y operación para proteger los datos de clientes.
Gestión de identidades y accesos
El acceso a todos los sistemas e información está prohibido salvo autorización expresa. El control de acceso basado en roles aplica perfiles de usuario definidos para regular el acceso a los sistemas. El SSO es el método de autenticación preferido; se exige 2FA o claves de acceso cuando el SSO no está disponible.
Criptografía
Todos los datos de clientes se cifran en reposo y en tránsito. AWS KMS gestiona todas las claves de cifrado simétricas para los servicios de AWS que almacenan datos. Los datos en tránsito se protegen con TLS/SSL. Las copias de seguridad se cifran siempre que sea posible.
Ciclo de vida del desarrollo seguro
Un ciclo de vida de desarrollo seguro del producto regula la seguridad durante todo el proceso de desarrollo de software. Los cambios en producción requieren aprobación en varios pasos; ninguna persona puede realizar un cambio en producción sin revisión. Se aplican pruebas automatizadas de seguridad estática de aplicaciones (SAST), análisis de composición de software (SCA) y pruebas dinámicas de seguridad de aplicaciones (DAST). La revisión de código mediante pull request es obligatoria. Se realizan pruebas de penetración anuales por terceros.
Monitorización y respuesta ante incidentes
Los clientes reciben notificación de las violaciones de datos personales conforme a las obligaciones del RGPD.
Copias de seguridad y resiliencia
Las copias de seguridad se crean a intervalos definidos, se almacenan en varias ubicaciones y se cifran siempre que sea posible. La restauración de la aplicación Peopleware se prueba anualmente. La Política de gestión de continuidad de negocio define el marco general de preparación ante emergencias y cubre escenarios como la indisponibilidad del proveedor cloud, incidentes de ciberseguridad y errores humanos.
Gestión de vulnerabilidades
Las bases de datos CVE y los avisos de seguridad se monitorizan periódicamente para detectar vulnerabilidades recién divulgadas que afecten a sistemas incluidos en el alcance del SGSI. Se realiza al menos una auditoría interna del sistema al año. El acceso a cuentas privilegiadas se revisa anualmente como parte del programa de auditoría. Las vulnerabilidades identificadas se priorizan por gravedad y se siguen hasta su resolución mediante el proceso de acciones correctivas.
Clasificación de la información
Todos los activos de información se clasifican en uno de cuatro niveles: Público, Interno, Restringido o Confidencial. La clasificación determina los procedimientos permitidos de tratamiento, almacenamiento, intercambio y eliminación. Se aplica borrado seguro antes de desechar equipos o soportes que contengan datos Restringidos o Confidenciales, y se conservan registros de eliminación.
Seguridad del personal
Todos los contratos laborales incluyen cláusulas de confidencialidad y protección de datos. La verificación de candidatos incluye comprobación de identidad, referencias y certificados, así como evaluación de cualificaciones; se realizan comprobaciones de antecedentes para contrataciones en las regiones aplicables. Los nuevos empleados reciben acceso a los sistemas según su rol antes de su primer día y deben firmar una Declaración de aceptación del SGSI durante sus dos primeras semanas laborables.
Pruebas de penetración
Las pruebas de penetración anuales realizadas por terceros examinan los sistemas y aplicaciones de Peopleware para detectar vulnerabilidades. Los resultados están disponibles previa solicitud para clientes y potenciales clientes cualificados.
Fiabilidad
Fiabilidad y continuidad del servicio
Los compromisos de disponibilidad, el enfoque de copias de seguridad, la planificación de recuperación y la visibilidad del estado del servicio respaldan la resiliencia operativa.
Disponibilidad
Compromisos respaldados por SLA definidos en los TCG
Copias de seguridad
Creadas a intervalos definidos, cifradas y probadas anualmente
RTO / RPO
Objetivos de recuperación definidos en la Política de gestión de continuidad de negocio
Página de estado
Visibilidad pública del servicio en status.peopleware.com
Métricas operativas
Arquitectura
Arquitectura de alto nivel de la plataforma
Todos los flujos de datos están cifrados con TLS. Cada tenant de cliente está aislado lógicamente.
Alojamiento
La plataforma Peopleware se ejecuta en Amazon Web Services. Los centros de datos están certificados conforme a ISO 27001, PCI DSS Service Provider Level 1 y SOC 2, con redundancia integrada y controles de seguridad física.
Flujo de datos y cifrado
Todos los datos en tránsito se cifran mediante TLS/SSL con suites de cifrado robustas y HSTS. Los datos en reposo, incluidas las copias de seguridad, se cifran y las claves de cifrado se almacenan de forma segura en AWS KMS.
Separación de clientes
Cada entorno de cliente está aislado lógicamente en una arquitectura multi-tenant. Se asigna un identificador único a cada tenant, lo que garantiza que no pueda producirse acceso cruzado a datos entre clientes.
Subencargados del tratamiento
Un conjunto controlado de terceros encargados del tratamiento presta soporte a las operaciones de la plataforma. Todos los proveedores que conservan o tratan información de Peopleware están sujetos a obligaciones de seguridad definidas y se revisan periódicamente conforme a la Política de seguridad de proveedores. La lista completa está disponible públicamente.
Gobernanza
Gobernanza y supervisión de la seguridad
La gobernanza de seguridad se documenta mediante el SGSI, políticas formales, revisiones periódicas y responsabilidades definidas.
SGSI y auditorías
El Sistema de Gestión de Seguridad de la Información (SGSI) cubre la prestación, operación, mantenimiento y gestión de la plataforma Peopleware. El SGSI está certificado conforme a ISO/IEC 27001:2022 y se audita anualmente por un organismo externo de certificación acreditado. Todos los documentos del SGSI siguen un proceso definido de revisión y aprobación. Se realiza al menos una auditoría interna del sistema al año, con revisión anual del acceso a cuentas privilegiadas.
Gestión de riesgos
Los riesgos se identifican, evalúan y tratan dentro del marco del SGSI. Un proceso de acciones correctivas de nueve pasos garantiza que las no conformidades se registren formalmente, se asignen y se resuelvan. Las bases de datos CVE se revisan periódicamente para detectar nuevas vulnerabilidades, y las decisiones de tratamiento de riesgos se documentan para todos los controles ISO 27001:2022 aplicables. Los propietarios de riesgos son responsables de garantizar que los planes de tratamiento se implementen y revisen.
Políticas y controles operativos
Peopleware mantiene un conjunto formal de políticas que cubre todos los principales dominios del SGSI. El marco incluye políticas de control de acceso, criptografía, desarrollo seguro, gestión de incidentes, continuidad de negocio, seguridad de proveedores, clasificación de la información, dispositivos móviles, uso aceptable y seguridad física, entre otras.
Formación y responsabilidad
Todos los empleados de Peopleware deben completar formación de concienciación en seguridad al menos una vez al año. Las nuevas incorporaciones deben completar el programa completo como parte del onboarding. La finalización se controla de forma centralizada, se exige una tasa de finalización del 100 % en toda la organización, y los registros de formación se conservan como parte de la documentación del SGSI.
Supervisión de proveedores
Todos los proveedores externos que crean, mantienen, almacenan, acceden a, tratan o transmiten información de Peopleware están sujetos a requisitos de seguridad definidos. Los proveedores se clasifican por nivel de riesgo (Alto, Medio, Bajo). Todos los proveedores se revisan anualmente; los proveedores de alto riesgo se revisan cada seis meses. Los requisitos de seguridad se incorporan a los acuerdos con proveedores.
Seguimiento del cumplimiento
Peopleware realiza revisiones anuales de cumplimiento que cubren sus obligaciones legales, regulatorias y contractuales. Las auditorías independientes, incluidas las pruebas de penetración por terceros, forman parte del programa de cumplimiento. Las no conformidades identificadas mediante auditorías o revisiones se abordan a través del proceso de acciones correctivas.
Mejora continua
La mejora continua es un requisito formal del SGSI conforme a ISO/IEC 27001:2022. Sus entradas incluyen acciones correctivas posteriores a incidentes, hallazgos de auditoría, revisiones posteriores a emergencias, revisiones anuales de políticas y resultados de revisiones de dirección. Los planes de emergencia se revisan al menos una vez al año y se actualizan tras cualquier simulacro o incidente.
Privacidad y uso de datos
Tus datos te pertenecen
Propiedad de los datos
Los datos del cliente pertenecen íntegramente al cliente. Peopleware los trata exclusivamente para prestar los servicios de la plataforma conforme a lo definido en el Acuerdo de tratamiento de datos.
Sin IA ni entrenamiento de modelos
Los datos del cliente nunca se utilizan para entrenar modelos de machine learning ni sistemas de IA. El tratamiento de datos se limita estrictamente a los fines contractuales de prestación del servicio.
Conservación y supresión
Los procedimientos de conservación y supresión siguen los requisitos del RGPD. Se aplica borrado seguro antes de desechar equipos o soportes. Las revisiones anuales de cumplimiento cubren las obligaciones de protección de datos.
Acceso a documentación
Documentación y garantías de seguridad
La documentación de apoyo está disponible mediante un proceso de solicitud controlado. Los materiales detallados para procesos de diligencia debida suelen facilitarse en el plazo de un día laborable.
Clientes actuales: contactad directamente con vuestro Customer Success Manager. Para notificar un posible incidente de seguridad, abrid un ticket de soporte de alta prioridad a través del proceso de soporte habitual.
Certificado ISO 27001
Documento de certificación ISO/IEC 27001:2022 vigente
Ver certificado →Acuerdo de tratamiento de datos
Versiones EN / DE / FR
Ver Acuerdo de tratamiento de datos →Medidas técnicas y organizativas
Anexo 2 del Acuerdo de tratamiento de datos
Ver medidas técnicas y organizativas →Lista de subencargados del tratamiento
Lista completa de terceros encargados del tratamiento
Ver subencargados →Términos y condiciones generales
Compromisos contractuales y objetivo de disponibilidad
Ver TCG →Resumen de pruebas de penetración
Resultados anuales de pruebas de penetración realizadas por terceros
Resumen de continuidad de negocio
Resumen de la Política de gestión de continuidad de negocio y de los planes de emergencia
Certificado de seguro de ciberriesgos
Certificado de cobertura vigente
Declaración de aplicabilidad
Lista completa de controles ISO/IEC 27001:2022 con estado de implementación
Política de seguridad de la información
Política ISMS de nivel superior que cubre alcance, objetivos y compromiso de la dirección
Política de gestión de incidentes
Resumen de los procedimientos de clasificación, escalada y notificación de incidentes