Confianza, seguridad
y transparencia verificable.
Aquí encontrarás cómo protegemos tus datos y los de tu audiencia. Sin marketing vacío: cada punto lleva enlace a la evidencia para que lo compruebes tú mismo en 30 segundos.
Chispa trata tus datos con los mismos controles que exige la Administración Pública española. Si encuentras una vulnerabilidad, te premiamos por avisarnos.
- Cumplimos RGPD al 100% — con documentos públicos, no promesas.
- Nos autodeclaramos al ENS nivel BÁSICA (RD 311/2022) — régimen oficial para nuestro tamaño. La certificación ENAC llegará cuando escalemos a nivel MEDIA.
- Nos autoevaluamos con OWASP ASVS L2; la evidencia detallada se comparte con clientes B2B bajo DPA.
- Cero findings High/Medium en análisis estático automatizado en cada commit. Más de 700 tests de regresión en CI.
- Todo verificable. No tienes que creernos — los enlaces llevan al documento o al scanner público.
🛡️ Cumplimiento RGPD #
Chispa procesa datos personales conforme al Reglamento (UE) 2016/679. Toda la documentación exigida por los Arts. 13, 14, 28, 30, 33, 34 y 35 está publicada y es pública:
📋 Registro de Actividades
Tratamientos documentados: cuentas, publicación OAuth2, analítica, reportes comerciales.
Disponible bajo DPA →📜 Política de Privacidad
Clara, completa, en español. Versiones CA/EN disponibles bajo solicitud.
Ver política →🤝 DPA para clientes
Contrato de encargado de tratamiento listo para firmar, con SCC y lista de subprocesadores.
Ver plantilla DPA →🚨 Procedimiento de Brecha
Notificación AEPD <72h vía Comunica-Brecha + notificación a afectados.
Disponible bajo DPA →🍪 Política de Cookies
Solo cookies técnicas de sesión. Analítica sin cookies (Plausible auto-hosted).
Ver política →🗑️ Derecho al olvido
Endpoint DELETE /api/auth/me + borrado automático de tokens inactivos >90 días.
Herramientas oficiales empleadas: Facilita RGPD (AEPD), Gestiona EIPD (AEPD), Comunica-Brecha RGPD. Autoridad de control competente: Agencia Española de Protección de Datos (AEPD).
🇪🇸 Esquema Nacional de Seguridad (ENS) #
Autodeclaración de adecuación al ENS nivel BÁSICA conforme al RD 311/2022 — régimen oficial para nuestra categoría (Art. 38).
Transparencia: decimos "adecuación autodeclarada", no "certificación ENS". La certificación formal (ENAC) está en roadmap cuando escalemos a MEDIA.
✅ Controles Anexo II
Checklist de 40+ controles BÁSICA con evidencia por control.
Disponible bajo DPA →🎯 Análisis de riesgos
Inventario de activos + amenazas + salvaguardas + riesgo residual.
Disponible bajo DPA →📈 Plan de adecuación
Hitos trimestrales + roadmap a ENS-MEDIA si hay cliente AAPP.
Disponible bajo DPA →🔬 Endurecimiento y pruebas de penetración #
Endurecida con metodologías reconocidas y sometida a análisis estático. Cero hallazgos de severidad Alta/Crítica.
Metodologías de pentest aplicadas
- OWASP Top 10 (2021) — los 10 riesgos más críticos de aplicaciones web.
- OWASP API Security Top 10 — aplicado a todos los endpoints
/api/*. - OWASP Web Security Testing Guide v4.2 — guía completa (Information Gathering, Authentication, Authorization, Session Management, Input Validation, Business Logic, Client-Side, etc.).
- OWASP ASVS v4.0.3 nivel L2 — 120+ requisitos auto-evaluados; evidencia por control bajo DPA.
- Evasiones avanzadas: bypass de WAF, encoding tricks, smuggling de HTTP, race conditions, parameter pollution.
Frameworks de endurecimiento consultados
- CIS Controls v8 IG1 (Center for Internet Security) — 56 safeguards básicos para pymes.
- CIS Benchmarks — aplicables a contenedor, sistema operativo y aplicación.
- DISA STIG (Defense Information Systems Agency) — Application Security & Development STIG, Web Server STIG.
- NIST Cybersecurity Framework 2.0 — Govern / Identify / Protect / Detect / Respond / Recover.
- NIST SP 800-63B — Digital Identity Guidelines (aplicado a password policy).
- CWE Top 25 y SANS Top 25 — debilidades software más explotadas.
Análisis estático multicapa
En cada commit ejecutamos análisis estático multicapa: detección de vulnerabilidades de código (inyecciones, criptografía débil, secretos hardcoded), patrones OWASP Top 10 y CWE Top 25, y CVEs en dependencias. Resultado actual: 0 findings High/Medium. Cobertura detallada CIS / DISA / NIST y evidencia por control disponibles para clientes B2B bajo DPA firmado.
Pentest externo
El pentest por tercero independiente forma parte del GATE pre-lanzamiento. El informe del pentest externo se compartirá con clientes B2B bajo DPA cuando exista. Hasta entonces no usamos la palabra "pentesteada".
🔍 Verifícalo tú mismo en 30 segundos #
Scanners públicos sobre el dominio de Chispa:
🛠️ Divulgación responsable #
Acogemos reportes de seguridad bajo una política de safe harbor: si juegas limpio, no tomaremos acciones legales y te daremos crédito público.
- Email:
[email protected] - Acuse en <72h laborables · respuesta técnica en <7 días.
- Idiomas: español, catalán, inglés.
- Parche en <90 días por defecto antes de divulgación pública.
- Archivo machine-readable: /.well-known/security.txt (RFC 9116).
Hall of fame
Vacío por ahora. Si eres el primero en reportar una vulnerabilidad válida bajo nuestra política de divulgación responsable, tu nombre (o handle) aparece aquí de forma permanente y recibes:
- Merchandising oficial de Chispa (camiseta ⚡ + sticker pack).
- Crédito público en este hall of fame y en la release note del fix.
- Plan Pro gratuito durante 6 meses si la vulnerabilidad es crítica.
Sin programa formal de bug bounty monetario todavía.
Recompensas por severidad
| Severidad | Recompensa |
|---|---|
| Crítica | Merch + Pro 6 meses + crédito público |
| Alta | Merch + Pro 3 meses + crédito público |
| Media | Merch + crédito público |
| Baja / informativa | Crédito público |
📬 Contacto #
- Seguridad:
[email protected] - Privacidad / DPO:
[email protected](pendiente designar DPO formal — interim:{EMAIL_CONTACTO}) - Legal:
[email protected] - Soporte general:
[email protected]
¿Necesitas firmar DPA o revisar los controles ENS para tu empresa?
Firmamos DPA Art. 28 RGPD en 24h y damos acceso al dossier completo de controles ENS-BÁSICA con evidencias documentales.
Contactar compliance →