Procedimiento de Notificacion de Brechas de Seguridad

1. Compromiso de AuditWaste ante Brechas de Seguridad

Alexander Jose Medina Arevalo, operando bajo el nombre comercial AuditWaste ("AuditWaste"), reconoce que la seguridad de los datos de sus clientes es una responsabilidad critica. Este documento establece el procedimiento que seguimos en caso de que se produzca una brecha de seguridad que afecte a datos personales, en cumplimiento del Reglamento General de Proteccion de Datos (RGPD) y la Ley Organica 3/2018 de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD).

Nos comprometemos a actuar con transparencia, diligencia y rapidez ante cualquier incidente de seguridad, priorizando la proteccion de los datos de nuestros usuarios y el cumplimiento de nuestras obligaciones legales.

2. Procedimiento Interno de Gestion de Brechas

2.1 Fase 1: Deteccion y Contencion (0-4 horas)

Acciones inmediatas tras la deteccion de un posible incidente:

• Activacion del equipo de respuesta a incidentes (CSIRT interno)
• Aislamiento de los sistemas afectados para evitar propagacion
• Preservacion de evidencias forenses
• Evaluacion preliminar del alcance e impacto
• Documentacion del incidente en el registro interno de brechas

2.2 Fase 2: Evaluacion de Impacto (4-24 horas)

• Determinacion de la naturaleza y categoria de los datos afectados
• Identificacion del numero de usuarios y registros comprometidos
• Evaluacion de las consecuencias probables para los interesados
• Clasificacion de la gravedad del incidente (baja, media, alta, critica)
• Determinacion de si la brecha supone un riesgo para los derechos y libertades de las personas fisicas

2.3 Fase 3: Notificacion a la Autoridad de Control (maximo 72 horas)

La notificacion a la AEPD incluira:

• Descripcion de la naturaleza de la brecha
• Categorias y numero aproximado de interesados afectados
• Categorias y numero aproximado de registros afectados
• Datos de contacto del Delegado de Proteccion de Datos
• Descripcion de las posibles consecuencias
• Medidas adoptadas o propuestas para resolver la brecha

2.4 Fase 4: Notificacion a los Usuarios Afectados

3. Informacion que se Comunicara a los Usuarios

En caso de notificacion a usuarios afectados, la comunicacion incluira:

• Naturaleza de la brecha: Descripcion clara y comprensible de lo ocurrido.
• Datos afectados: Tipo de datos personales comprometidos (sin detallar los datos concretos para no incrementar el riesgo).
• Posibles consecuencias: Riesgos potenciales derivados de la brecha para el usuario.
• Medidas adoptadas: Acciones que AuditWaste ha tomado y esta tomando para mitigar los efectos.
• Medidas recomendadas: Acciones que el usuario puede tomar para protegerse (cambio de contrasena, vigilancia de cuentas, etc.).
• Contacto del DPO: Datos de contacto del Delegado de Proteccion de Datos para consultas adicionales.

4. Canales de Notificacion

AuditWaste utilizara los siguientes canales para notificar a los usuarios afectados:

• Email directo: Notificacion individual al correo electronico registrado de cada usuario afectado. Este es el canal principal y obligatorio.
• Banner en el Dashboard: Aviso prominente visible al acceder a la plataforma, con enlace a informacion detallada sobre el incidente.
• Comunicacion a administradores: Notificacion especifica a los usuarios con rol company_admin y gco de las empresas afectadas, con informacion adicional sobre el impacto en su organizacion.

5. Medidas Preventivas Implementadas

AuditWaste implementa las siguientes medidas tecnicas y organizativas para prevenir brechas de seguridad:

5.1 Medidas Tecnicas

• Cifrado en transito: TLS 1.3 para todas las comunicaciones
• Cifrado en reposo: AES-256 para datos almacenados
• Row Level Security (RLS): Aislamiento de datos a nivel de base de datos, garantizando que cada usuario solo accede a sus propios datos
• Hashing de registros: SHA-256 para integridad de registros de mermas
• Cabeceras de seguridad: X-Frame-Options, HSTS, Content-Security-Policy, X-Content-Type-Options
• Rate limiting: Proteccion contra ataques de fuerza bruta y DDoS
• Honeypots: Endpoints trampa para deteccion temprana de ataques
• Anonimizacion: Datos enviados a proveedores de IA anonimizados

5.2 Medidas Organizativas

• Principio de minimo privilegio en accesos internos
• Auditorias de acceso y logs de actividad
• Formacion periodica del equipo en seguridad
• Pruebas de penetracion (penetration testing) regulares
• Backups automaticos cifrados con verificacion de integridad
• Procedimiento de respuesta a incidentes documentado y ensayado

6. Reporte de Vulnerabilidades

Si has descubierto una vulnerabilidad de seguridad en AuditWaste, te pedimos que nos la comuniques de forma responsable:

7. Marco Normativo de Referencia

Este procedimiento se enmarca en la siguiente normativa:

• RGPD, Art. 33: Notificacion de una violacion de la seguridad de los datos personales a la autoridad de control.
• RGPD, Art. 34: Comunicacion de una violacion de la seguridad de los datos personales al interesado.
• LOPDGDD, Art. 73.f): Infraccion grave por no notificar brechas de seguridad a la autoridad de control.
• LOPDGDD, Art. 73.g): Infraccion grave por no comunicar brechas al interesado cuando suponen alto riesgo.
• Esquema Nacional de Seguridad (ENS): Principios de seguridad aplicados como referencia de buenas practicas.

8. Contacto