anpra

La seguridad no es una página de la web. Es cómo está construido.

Gestionas documentos de identidad de tus huéspedes y las llaves de tus casas. Esto es, en concreto y sin humo, lo que anpira hace para protegerlos.

Cifrado en tránsito y en reposo.

Todo viaja por HTTPS. Y lo sensible de verdad (documentos del registro de viajeros, credenciales) se guarda con cifrado de sobre AES-256-GCM: una clave distinta por cada dato, envuelta a su vez por una clave maestra. Un volcado de la base de datos no revela ni un documento.

Aislamiento por cliente, en la base de datos.

Cada fila lleva el dueño y la base de datos FUERZA el aislamiento (Row Level Security): la aplicación conecta con un rol sin privilegios para saltárselo. Aunque el código tuviera un error, un cliente no puede ver los datos de otro.

Los datos del viajero, solo cifrados.

La identidad de los viajeros nunca se escribe en logs ni se envía al navegador de terceros. Se conserva cifrada los 3 años que exige la norma (RD 933/2021) y después se elimina.

Evidencia sellada e inalterable.

Certificados de limpieza y actas de incidencia llevan huella SHA-256, se encadenan en un árbol de Merkle diario, se anclan en un registro público y se sellan con un sello de tiempo cualificado eIDAS emitido por un prestador cualificado. Los registros de evidencia son de solo escritura.

Acceso mínimo para cada persona.

Quien limpia entra con un enlace y un PIN, sin cuenta, y ve solo su grupo de casas; revocar el enlace corta el acceso al instante, cerradura incluida. El huésped ve solo su reserva, con un enlace que caduca al terminar su ciclo.

Anti-abuso activo.

Límites de peticiones globales (rate limiting sobre Redis), bloqueo de fuerza bruta en los PIN, cabeceras de seguridad con CSP en modo enforce y registro auditado de las acciones sensibles.

Dónde viven los datos.

La base de datos vive en la Unión Europea (Frankfurt, AWS eu-central-1). Los ficheros se almacenan en Cloudflare, con bucket privado para lo sensible. Cuando un proveedor trata datos fuera del EEE, la transferencia se ampara en el Marco de Privacidad de Datos UE-EE. UU. o en cláusulas contractuales tipo, como detalla la Política de Privacidad.

Si algo fallara.

Si se produjera una violación de seguridad con riesgo para los derechos de las personas, la notificaríamos conforme a los artículos 33 y 34 del RGPD: a la autoridad en 72 horas y a los afectados cuando proceda. Sin esconder nada.

Los papeles, publicados.

No te pedimos confianza ciega: el detalle jurídico está publicado y puedes leerlo antes de registrarte.

Política de PrivacidadEncargo de tratamiento (DPA)Subencargados

¿Preguntas de seguridad o privacidad? Escríbenos a [email protected].

Así cuidamos lo que nos confías.

Empezar gratis
Seguridad · anpira · anpira