--- title: "Medidas Técnicas y Organizativas (MTO)" description: "Última actualización: 30 de mayo de 2026" canonical_url: "https://getminds.ai/legal/es/tom" last_updated: "2026-06-24T15:42:32.279Z" --- # Medidas Técnicas y Organizativas (MTO) **Última actualización: 30 de mayo de 2026** Art of X UG (haftungsbeschränkt) ("Minds") implementa las siguientes medidas técnicas y organizativas conforme al art. 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo que entraña el tratamiento de datos personales. --- ## 1. Control de acceso ### Control de acceso físico La infraestructura de Minds se aloja exclusivamente con proveedores de nube certificados: - **DigitalOcean** – centro de datos de Fráncfort, Alemania (UE). Certificaciones: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – centro de datos de Estocolmo, Suecia (UE), alojado en AWS. Certificaciones: SOC 2 Type II. La seguridad física (controles de acceso biométrico, vigilancia 24/7, registro de accesos) está gestionada íntegramente por los proveedores de nube. ### Control de acceso lógico - Control de acceso basado en roles (RBAC) para todos los sistemas internos e interfaces de administración. - Autenticación multifactor (MFA) obligatoria para todo acceso de empleados a sistemas de producción. - Cuentas de usuario individuales: sin credenciales compartidas. - Revisión y revocación periódica de derechos de acceso conforme al principio de privilegio mínimo. - Las claves de API y credenciales se gestionan en gestores de secretos cifrados. --- ## 2. Cifrado ### Cifrado en tránsito - Todas las transmisiones de datos se aseguran mediante TLS 1.2 o superior. - HSTS (HTTP Strict Transport Security) está habilitado para todos los endpoints públicos. - La comunicación interna entre servicios también está cifrada. ### Cifrado en reposo - Las bases de datos (Supabase/PostgreSQL) utilizan cifrado AES-256 para los datos en reposo. - El almacenamiento de archivos (DigitalOcean Spaces / Supabase Storage) utiliza cifrado AES-256 del lado del servidor. - Las copias de seguridad se almacenan de forma cifrada. --- ## 3. Separación de datos (aislamiento de tenants) - Separación lógica estricta de los datos de los clientes a nivel de base de datos mediante aislamiento de tenants (Row-Level Security en PostgreSQL). - Cada cliente solo puede acceder a sus propios datos, aplicado tanto a nivel de base de datos como de API. - Pruebas automatizadas aseguran que no se produzca ninguna fuga de datos entre tenants. --- ## 4. Disponibilidad y resiliencia ### Arquitectura de alojamiento - La aplicación se ejecuta en DigitalOcean App Platform con escalado automático y comprobaciones de estado. - Base de datos en Supabase con configuración de alta disponibilidad. ### Copias de seguridad y recuperación - Copias de seguridad automáticas diarias de la base de datos con un período de retención de al menos 7 días. - Recuperación a un punto en el tiempo (PITR) para la base de datos PostgreSQL. - Pruebas periódicas de los procedimientos de recuperación. - Objetivo de tiempo de recuperación (RTO): conforme a lo definido en el SLA. - Objetivo de punto de recuperación (RPO): máximo 24 horas. --- ## 5. Respuesta a incidentes - Proceso documentado de respuesta a incidentes para incidentes de seguridad. - Notificación al responsable del tratamiento (cliente) en un plazo de **48 horas** desde que se tenga conocimiento de una brecha de datos personales, conforme al Acuerdo de Encargo del Tratamiento (DPA). - Registro y seguimiento de todos los incidentes relevantes para la seguridad. - Revisión y actualización periódica del plan de respuesta a incidentes. --- ## 6. Confidencialidad y obligaciones de los empleados - Todos los empleados y colaboradores están vinculados por acuerdos de confidencialidad (NDA). - Formación periódica en protección de datos para todos los empleados. - Obligación de mantener el secreto de los datos conforme al RGPD. - El acceso a datos personales se concede únicamente según el principio de necesidad de conocimiento. --- ## 7. Gestión de subencargados - Selección cuidadosa de los subencargados con base en criterios de protección de datos y seguridad. - Obligación contractual de todos los subencargados de cumplir con un tratamiento de datos conforme al RGPD. - Revisión periódica de los subencargados. - La lista actual de subencargados está disponible en [Subencargados](/legal/subprocessors). - Preaviso a los clientes de cualquier cambio conforme al DPA. --- ## 8. Registro y monitorización - Registro centralizado de eventos del sistema y accesos. - Los registros de auditoría cubren acceso API/MCP, cambios OAuth e integraciones, sincronización/webhooks de calendario y acciones administrativas relevantes para seguridad. - **Langfuse** para monitorizar y trazar interacciones con modelos de IA (alojado en la UE). - **PostHog** para analítica de producto y reproducción opcional de sesiones: analítica persistente/reproducción solo con consentimiento; diagnósticos limitados sin cookies cuando sea lícito. - Monitorización de métricas críticas del sistema con alertas automatizadas. - Revisión periódica de registros para detectar anomalías. --- ## 9. Minimización de datos y seudonimización ### Minimización de datos - Recopilación y tratamiento únicamente de los datos personales necesarios para la finalidad del tratamiento. - Revisión periódica de las categorías de datos tratados en cuanto a su necesidad. - Supresión automática de los datos que ya no sean necesarios conforme a los plazos de conservación definidos. ### Seudonimización - Cuando sea técnicamente viable y apropiado, los datos personales se tratan de forma seudonimizada. - El tratamiento interno utiliza principalmente UUID en lugar de nombres reales. - Las evaluaciones analíticas se realizan de forma agregada o seudonimizada. --- ## 10. Revisión y evaluación periódicas - Evaluaciones periódicas de seguridad de la infraestructura y las aplicaciones. - Las dependencias se verifican periódicamente en busca de vulnerabilidades conocidas (dependency scanning). - Revisión y actualización de estas MTO al menos anualmente o ante cambios significativos en las actividades de tratamiento. - Mejora continua de las medidas de seguridad con base en el panorama actual de amenazas. --- ## 11. Medidas adicionales ### Control de entrada - Registro de los cambios en los datos personales (audit trail). - Trazabilidad de quién introdujo, modificó o eliminó qué datos y cuándo. ### Control de transferencia - Las transferencias de datos se realizan exclusivamente de forma cifrada. - No se transfieren datos personales a terceros países sin un nivel adecuado de protección (decisión de adecuación o Cláusulas Contractuales Tipo). ### Control del tratamiento - Tratamiento de datos personales exclusivamente conforme a las instrucciones del responsable del tratamiento. - Regulación contractual del encargo del tratamiento en el DPA. --- *Estas medidas técnicas y organizativas se revisan periódicamente y se actualizan cuando resulta necesario para garantizar un nivel de protección acorde con el estado actual de la técnica.* **Art of X UG (haftungsbeschränkt)** Administradores: Friedrich von Borries y Alexander Doudkin