Skip to content
Seguridad

Seguridad

Cómo Alpha Analytics s.r.o. protege los datos confiados a la plataforma Carsdata.com: nuestros controles, alojamiento y prácticas.

Última actualización9 de junio de 2026

Nuestro enfoque de la seguridad

Carsdata opera como infraestructura de datos para el mercado automovilístico europeo, y la confidencialidad, integridad y disponibilidad de los datos que se nos confían es fundamental para dicha función. Adoptamos un enfoque de defensa en profundidad: la seguridad está integrada en cómo diseñamos, construimos y operamos la plataforma, en lugar de añadirse a posteriori. Esta página resume las medidas técnicas y organizativas que mantenemos. Se proporciona con fines de transparencia y no forma parte de ningún contrato; los compromisos específicos se establecen en el acuerdo de servicio correspondiente y en el Acuerdo de Tratamiento de Datos.

Gobernanza y cumplimiento

Nuestro programa de seguridad está diseñado en torno a los controles y los Criterios de Servicios de Confianza (Trust Services Criteria) establecidos en marcos reconocidos internacionalmente —incluidos ISO/IEC 27001 y SOC 2— y evaluamos y mejoramos continuamente nuestras prácticas con respecto a ellos. Tratamos los datos personales de conformidad con el RGPD, y nuestro tratamiento por cuenta de los clientes se rige por nuestro Acuerdo de Tratamiento de Datos.

La seguridad recae a nivel directivo, respaldada por políticas documentadas que abarcan el uso aceptable, el control de acceso, la clasificación de datos, la gestión de cambios, la gestión de proveedores y la respuesta a incidentes. Las políticas se revisan periódicamente y después de cualquier cambio significativo en nuestro entorno.

Alojamiento de datos e infraestructura

La plataforma se ejecuta en la infraestructura de proveedores de nube consolidados que operan centros de datos certificados y físicamente protegidos. Los datos personales se alojan principalmente dentro de la Unión Europea / el Espacio Económico Europeo. Nuestra infraestructura está segregada lógicamente, desplegada en zonas de disponibilidad resilientes y gestionada mediante infraestructura como código, de modo que los entornos sean coherentes, revisables y reproducibles.

Cifrado

Los datos en tránsito se cifran mediante TLS a través de redes públicas. Los datos en reposo se cifran mediante algoritmos sólidos y estándar del sector. Las claves de cifrado se gestionan a través de los servicios de gestión de claves de nuestros proveedores de nube, con el acceso restringido a los sistemas y al personal autorizados.

Control de acceso

El acceso a los sistemas y a los datos sigue los principios de mínimo privilegio y de necesidad de conocer. El acceso administrativo requiere autenticación multifactor, se concede según el rol, se registra, y se revisa periódicamente y se revoca con prontitud cuando deja de ser necesario. Cuando se admite, el acceso de los clientes a la plataforma puede federarse mediante inicio de sesión único (SSO).

Seguridad de la red y de las aplicaciones

Nuestra red está protegida mediante cortafuegos, grupos de seguridad y segmentación que restringen el tráfico a lo necesario. Las aplicaciones están protegidas frente a vulnerabilidades web comunes mediante un diseño seguro, la validación de entradas y configuraciones reforzadas, y los puntos de acceso públicos están protegidos frente a ataques volumétricos y de capa de aplicación.

Ciclo de vida de desarrollo seguro

Los cambios en la plataforma pasan por el control de versiones, la revisión de código por pares y pruebas automatizadas antes de su publicación. Utilizamos el análisis automatizado de dependencias y de vulnerabilidades en nuestras canalizaciones, separamos los entornos de desarrollo, preproducción y producción, y seguimos un proceso controlado de gestión de cambios para que las publicaciones sean trazables y reversibles.

Supervisión, registro y detección

Recopilamos de forma centralizada los registros de aplicaciones, infraestructura y acceso, y supervisamos la actividad anómala y los problemas de disponibilidad. Las alertas se dirigen al equipo responsable para que los posibles problemas puedan investigarse y abordarse con prontitud.

Gestión de vulnerabilidades y pruebas

Analizamos periódicamente nuestros sistemas y dependencias en busca de vulnerabilidades conocidas y las subsanamos priorizando según el riesgo. Contratamos a terceros cualificados para realizar pruebas de penetración periódicas y abordamos los hallazgos según su gravedad.

Copias de seguridad y continuidad del negocio

Los datos se respaldan periódicamente, con las copias de seguridad cifradas y almacenadas de forma separada de los sistemas principales. Mantenemos planes de continuidad del negocio y de recuperación ante desastres con objetivos de recuperación definidos, y probamos nuestra capacidad de restaurar el servicio para poder recuperarnos de una interrupción con un impacto mínimo.

Seguridad del personal

El personal está sujeto a obligaciones de confidencialidad y recibe formación en seguridad y protección de datos adecuada a su rol, tanto en la incorporación como de forma continuada. El acceso a los datos de producción se limita a quienes lo necesitan para su trabajo y se retira cuando cambian de rol o se marchan.

Subencargados del tratamiento y gestión de proveedores

Contratamos a un número limitado de subencargados del tratamiento cuidadosamente seleccionados —principalmente proveedores de infraestructura y almacenamiento en la nube— para prestar los Servicios. Evaluamos la postura de seguridad de nuestros proveedores, los vinculamos mediante obligaciones contractuales adecuadas de protección de datos y seguridad, y mantenemos una lista actualizada de subencargados del tratamiento según se hace referencia en nuestro Acuerdo de Tratamiento de Datos.

Respuesta a incidentes

Mantenemos un proceso documentado de respuesta a incidentes que abarca la detección, el triaje, la contención, la erradicación, la recuperación y la revisión posterior al incidente. En caso de una violación de la seguridad de los datos personales que afecte a los datos de los clientes, notificamos a los clientes afectados sin dilación indebida y los apoyamos en el cumplimiento de sus propias obligaciones de notificación, en consonancia con el RGPD y con nuestro Acuerdo de Tratamiento de Datos.

Protección de datos y privacidad

La seguridad y la privacidad se gestionan conjuntamente. Aplicamos los principios de minimización de datos y limitación de la finalidad, tratamos los datos personales de conformidad con el RGPD, y regulamos el tratamiento llevado a cabo por cuenta de los clientes mediante nuestro Acuerdo de Tratamiento de Datos. Para conocer los detalles de cómo tratamos los datos personales, consulte nuestra Política de Privacidad.

Notificación de una vulnerabilidad

Damos la bienvenida a las notificaciones de investigadores de seguridad y usuarios. Si cree que ha encontrado una vulnerabilidad de seguridad en Carsdata.com, póngase en contacto con nosotros en info@carsdata.com con suficiente detalle para reproducir el problema. Le pedimos que nos dé una oportunidad razonable de investigar y subsanar antes de cualquier divulgación pública, y que evite acceder a datos que no sean suyos o modificarlos. Acusaremos recibo de su notificación y le mantendremos informado de nuestros avances.

Datos de la empresa
Alpha Analytics s.r.o.
Domicilio social
Gustav Mahlerplein 2
1082 MA Amsterdam
Países Bajos
Identificación de la empresa (IČO)
228 01 154
Registro mercantil
Krajský soud v Ústí nad Labem
N.º de expediente C 32406

¿Tiene preguntas sobre este documento? Escríbanos a info@carsdata.com.