Seguridad y cumplimiento

Centro de confianza

La seguridad y el cumplimiento son fundamentales en todo lo que construimos. Esta página ofrece una visión transparente de nuestra arquitectura de seguridad, estado de cumplimiento y prácticas de manejo de datos. Creemos que la confianza se gana con apertura, no con promesas.

Arquitectura de seguridad

Nuestra postura de seguridad abarca las capas de infraestructura, aplicación y operaciones. Cada capa está diseñada con principios de defensa en profundidad.

Seguridad de infraestructura

Alojado en Azure con aislamiento de red
TLS 1.2+ para todos los datos en tránsito
Cifrado en reposo gestionado por Azure (AES-256)
Redis con endpoints privados
Azure Service Bus con identidad administrada
Aprovisionamiento automatizado de infraestructura vía pipelines

Seguridad de aplicación

OAuth 2.0 / OpenID Connect (OpenIddict)
Control de acceso granular basado en roles (RBAC)
Aislamiento de datos multi-tenant
Validación de entrada en todos los endpoints API
Logging estructurado sin PII en los logs
Escaneo de dependencias en pipeline CI/CD

Seguridad operativa

Auditoría completa de todos los cambios en entidades
Logging y monitorización centralizada
Alertas automatizadas para anomalías
Principio de mínimo privilegio para todos los accesos
Revisiones de acceso periódicas
Procedimientos de respuesta a incidentes documentados

Estado de cumplimiento

Somos transparentes sobre dónde estamos en nuestro camino de cumplimiento. A continuación el estado actual de cada certificación y regulación en la que estamos trabajando.

Marco	Estado	Objetivo	Detalles
GDPR	En progreso	H1 2026	Acuerdos de procesamiento de datos, gestión de consentimiento y flujos de derechos del interesado
SOC 2 Type I	En progreso	H2 2026	Criterios de servicio de confianza de seguridad, disponibilidad y confidencialidad
SOC 2 Type II	Planificado	H1 2027	Eficacia operativa de los controles de seguridad durante un período sostenido
ISO 27001	Planificado	2027	Certificación del sistema de gestión de seguridad de la información

Manejo de datos

Cómo almacenamos, procesamos y gestionamos tus datos. Estamos comprometidos con minimizar la retención de datos y maximizar tu control sobre tu información.

Residencia de datos

Todos los datos se alojan en Azure West Europe (Países Bajos). No transferimos datos fuera de la UE a menos que sea configurado explícitamente por el tenant. Los servicios de infraestructura (MongoDB, Redis, Service Bus, Blob Storage) residen en la misma región Azure.

Retención de datos

Tipo de dato	Retención
Contenido de mensajes	90 días (configurable por tenant)
Metadatos de entrega	1 año
Logs de auditoría	2 años
Registros de costes	3 años

Procesamiento de datos

El contenido de los mensajes se procesa únicamente con el propósito de entrega. No analizamos, extraemos ni usamos el contenido de los mensajes para ningún propósito que no sea el enrutamiento al proveedor configurado. Las variables de mensaje se resuelven en el momento de la entrega y no se almacenan separadamente del mensaje renderizado.

Sub-procesadores

Los siguientes servicios de terceros procesan datos en nombre de OneSend2U:

Microsoft Azure — Infraestructura cloud (West Europe)
Twilio — Entrega de SMS, Email (SendGrid), WhatsApp
Infobip — Entrega de SMS, Email, WhatsApp
MongoDB Atlas — Alojamiento de base de datos (Azure West Europe)

Divulgación responsable

Nos tomamos las vulnerabilidades de seguridad en serio. Si has descubierto un problema de seguridad en OneSend2U, agradecemos tu ayuda para divulgarlo de forma responsable.

Por favor, reporta vulnerabilidades de seguridad a:

security@driven2u.com

Confirmaremos la recepción de tu reporte en 48 horas y proporcionaremos un plazo de resolución en 5 días hábiles. Te pedimos que no divulgues públicamente la vulnerabilidad hasta que hayamos tenido oportunidad de abordarla.

Plataforma de comunicaciones agnóstica de proveedor. Una API, cualquier proveedor, tus reglas.

Desarrolladores
Documentación
Webhooks
Sandbox
SDKs