Clarium· Compliance← Volver al inicioEntrar ↗Empieza gratis →Seguridad
En Clarium Compliance, la seguridad no es una capa adicional: es parte del diseño desde el primer día. Este documento describe nuestra arquitectura de seguridad y los controles que protegen los datos de tus políticas y empleados.
Infraestructura
Clarium se ejecuta sobre Neon (región EU-Central) para la base de datos y Vercel para el hosting web. Todos los datos residen exclusivamente en la Unión Europea. Usamos Vercel para el hosting de la aplicación web con edge network globalizada, sin almacenar datos de usuario fuera de la UE.
- ›Neon EU-Central — 100% datos en la UE
- ›Vercel edge network para la aplicación web, sin datos de usuario fuera de la UE
- ›Backups cifrados cada 6 horas con retención de 30 días
- ›Entornos de producción y staging completamente aislados
Cifrado
Los datos en reposo se cifran con AES-256. Las comunicaciones en tránsito utilizan TLS 1.3. Las claves se gestionan mediante AWS KMS con rotación automática.
- ›AES-256 para datos en reposo, gestionado mediante AWS KMS
- ›TLS 1.3 para todas las comunicaciones en tránsito
- ›Rotación automática de claves de cifrado
- ›Secretos de aplicación almacenados en variables de entorno cifradas
Control de acceso
Acceso basado en roles (RBAC) a nivel de organización. Row Level Security (RLS) en base de datos. Autenticación multifactor disponible para todos los usuarios. Soporte SAML 2.0 y OIDC para SSO empresarial.
- ›RBAC a nivel de organización con roles granulares (admin, editor, lector)
- ›Row Level Security (RLS) en base de datos — un usuario nunca accede a datos de otra organización
- ›Autenticación multifactor (TOTP) disponible para todos los usuarios
- ›SSO con SAML 2.0 y OIDC disponible en plan Enterprise
Cumplimiento normativo
Clarium está diseñado para cumplir con el RGPD, el Esquema Nacional de Seguridad (ENS) nivel medio, y está en proceso de certificación ISO 27001. Firmamos DPA con todos los subencargados del tratamiento.
- ›RGPD — cumplimiento nativo, DPA disponible para todos los clientes
- ›ENS nivel medio — diseñado para organismos públicos y empresas reguladas
- ›ISO 27001 — en proceso de certificación (auditoría prevista Q3 2026)
- ›eIDAS — firma electrónica avanzada para acuses de recibo
Gestión de incidentes
Monitorización 24/7 de la plataforma. En caso de brecha de seguridad, notificamos a los clientes afectados en un plazo máximo de 72 horas, conforme al artículo 33 del RGPD.
- ›Monitorización 24/7 con alertas automáticas ante anomalías
- ›Notificación a clientes afectados en máximo 72h conforme al art. 33 RGPD
- ›Post-mortem público para incidentes mayores
- ›RTO máximo de 24 horas, RPO máximo de 6 horas
Construido para pasar una auditoría.
¿Encontraste una vulnerabilidad?
Para reportar una vulnerabilidad o incidente de seguridad, escríbenos a security@clarium.es. Atendemos divulgaciones responsables y respondemos en 48 horas hábiles.