Seguridad de la Información

FAQs

Descripción detallada sobre los procesos, controles y garantías

¿Qué protocolos, mecanismos y controles emplea eAlicia para garantizar que la transferencia de las grabaciones se realice de forma segura, eficiente y conforme a los requisitos de protección de la información?

La plataforma recibe y transmite grabaciones mediante SFTP y APIs seguras, garantizando transferencia cifrada extremo a extremo. Además, todas las comunicaciones usan TLS 1.3/SSL, asegurando confidencialidad e integridad durante el envío de audios u otros ficheros. Los procedimientos utilizados son SFTP y APIs cifradas bajo HTTPS/TLS 1.3.

¿Dispone la organización de un sistema de control de accesos basado en roles que restrinja, de manera granular y verificable, el acceso a información sensible durante los procesos de transferencia de datos?

La plataforma implementa control de acceso basado en roles (RBAC) bajo el principio de mínimo privilegio, aplicable a todos los procesos, incluida la transferencia de datos. Asimismo, cualquier acceso requiere autenticación robusta, y las conexiones están protegidas mediante MFA y credenciales seguras. Esto asegura que solo los usuarios autorizados pueden acceder a información sensible durante la transmisión.

¿Qué medidas de protección y mecanismos de defensa se han implementado para evitar la interceptación de información o la ejecución de ataques de tipo man-in-the-middle (MITM) durante el proceso de transmisión de datos?

La plataforma protege toda transmisión mediante TLS 1.3/SSL y validación mutua de certificados, evitando interceptación o manipulación en tránsito. Además, las transferencias vía SFTP y APIs HTTPS cifradas aseguran integridad y autenticidad. La arquitectura incorpora firewalls, IDS/IPS y segmentación de red, mitigando ataques MITM y accesos no autorizados.

¿La arquitectura y los procesos definidos para la transferencia de información están dimensionados para soportar altos volúmenes de archivos sin que ello afecte a los niveles de seguridad establecidos?

Sí, los procedimientos de transferencia están preparados para manejar grandes volúmenes de archivos sin comprometer la seguridad. La arquitectura de eAlicia utiliza transferencias asíncronas cifradas por SFTP y APIs, diseñadas para procesar grandes volúmenes de audio, texto e imágenes sin afectar la seguridad. Toda la transmisión está protegida mediante TLS 1.3/SSL, junto con segmentación de red y controles perimetrales. Además, los mecanismos de adquisición y procesamiento están modularizados y orquestados, permitiendo manejar cargas elevadas sin degradar la protección de datos.

Procedimientos establecidos para la gestión de parches, soluciones antimalware, uso de cifrado para datos en tránsito y copias de seguridad

¿Qué metodología o proceso formal utiliza la organización para coordinar, aplicar y verificar la instalación de parches y actualizaciones en los servidores y en el resto de los sistemas operativos y de aplicación?

Se aplican procedimientos de gestión de parches que priorizan los parches de seguridad en los sistemas que procesan Información Confidencial (ICF) o Datos Personales (DTPS). Asimismo, mantienen registros de todas las actividades de auditoría, monitoreo y seguridad durante 120 días, lo que permite verificar la correcta aplicación de actualizaciones. Estos procesos se integran en un entorno seguro con controles de acceso estrictos, asegurando que los parches se instalan de forma controlada.

¿Cuál es la periodicidad definida para la aplicación de parches y qué mecanismos de verificación utiliza la organización para confirmar que cada actualización se ha instalado de forma correcta y efectiva en los sistemas objetivo?

Los parches se priorizan cuando son de seguridad, y en otros caso, cada 3 meses. Se mantienen registros de auditoría, monitoreo y seguridad durante 120 días, lo que permite comprobar que los parches fueron aplicados correctamente.

¿Dispone la organización de un entorno de pruebas o de mecanismos de validación previa que permitan evaluar el comportamiento de los parches antes de su implantación en los sistemas de producción?

La plataforma mantiene entornos separados de desarrollo, test y producción, lo que implica que los cambios y actualizaciones —incluidos los parches— se validan primero en entornos no productivos. Además, el modelo CI/CD exige pruebas unitarias, funcionales, de integración y revisiones de seguridad antes de cualquier despliegue en producción. Por tanto, sí existen controles que garantizan que los parches se prueban y validan previamente.

¿Qué plataformas, motores o suites de protección antivirus y antimalware están desplegadas en los distintos sistemas para garantizar la detección, mitigación y respuesta frente a amenazas?

TrendMicro.

¿Qué mecanismos de gestión y actualización utiliza la organización para garantizar que las bases de firmas y las definiciones de malware se mantienen permanentemente al día en todos los sistemas protegidos?

El propio aplicativo actualiza de modo automático y programado, con gestión centralizada, las firmas de virus.

¿Se ejecutan escaneos de seguridad de manera programada o en régimen continuo sobre el conjunto completo de sistemas, con el fin de detectar amenazas o actividades anómalas de forma proactiva?

La plataforma cuenta con monitorización continua 24/7 mediante el SOC y sistemas como IDS/IPS, PRTG y registros centralizados, lo que implica análisis permanentes de seguridad e infraestructura. Además, se realizan auditorías internas, pentesting y evaluaciones de riesgos periódicas para detectar vulnerabilidades. Aunque no se especifica una frecuencia concreta por sistema, la Política de Seguridad confirma controles continuos y recurrentes sobre toda la infraestructura.

¿Qué estándares o algoritmos criptográficos se emplean para garantizar la confidencialidad de los datos almacenados en los servidores y asegurar que cumplen los requisitos de seguridad establecidos por la organización?

Los medios de copia de seguridad están cifrados, y los datos en tránsito utilizan TLS 1.3 con intercambio de claves RSA de 2048 bits. Además, las credenciales se cifran mediante AES-256. Los datos se almacenan cifrados en reposo.

¿Qué mecanismos criptográficos o estándares de cifrado se aplican específicamente a las copias de seguridad para asegurar que la información almacenada en ellas permanece protegida frente a accesos no autorizados o compromisos de integridad?

Todas las copias de seguridad están cifradas. Se usa TLS 1.3 + RSA-2048 para datos en tránsito y AES-256 para credenciales. Por tanto, los backups están cifrados.

¿Qué procedimientos, herramientas y controles aplica la organización para administrar el ciclo de vida de las claves criptográficas y garantizar su protección frente a accesos no autorizados o usos indebidos?

Las credenciales se cifran mediante AES-256.

¿Cuál es la periodicidad definida para la rotación de las claves criptográficas y qué mecanismos de control se aplican para garantizar que dicho proceso no afecte a la integridad, disponibilidad ni accesibilidad de los datos ya almacenados o cifrados con claves anteriores?

Cada tres meses.

¿Qué perfiles o roles están autorizados a acceder a las claves criptográficas y qué mecanismos de control —tales como segregación de funciones, registros de acceso o políticas de privilegios mínimos— se aplican para restringir y supervisar dicho acceso?

El acceso a las claves de cifrado está restringido exclusivamente al personal de IT autorizado, siguiendo controles estrictos de seguridad. Solo estos perfiles pueden gestionarlas, aplicando RBAC, principio de mínimo privilegio y segregación de funciones, garantizando que ningún otro usuario o área tenga acceso a dichas claves. Además, todas las acciones relacionadas con su uso o administración quedan registradas y auditadas para asegurar trazabilidad y control.

¿Se emplean mecanismos de cifrado para proteger la información durante su transmisión, tanto en los flujos de comunicación entre servidores como en las operaciones de envío o recuperación de datos asociados a las copias de seguridad?

Todos los datos en tránsito se cifran mediante TLS 1.3 con RSA de 2048 bits, incluidas las transferencias internas entre servidores y los flujos hacia/desde sistemas de copia. Además, las comunicaciones entre zonas de la arquitectura usan certificados SSL y validación mutua, garantizando integridad y confidencialidad. Por tanto, sí existe cifrado obligatorio en todos los datos en tránsito, incluidos los relacionados con backups.

¿Los métodos de cifrado implementados cumplen con los estándares técnicos y los requisitos normativos aplicables —como AES en sus variantes aprobadas, las validaciones FIPS 140-2 o las obligaciones de protección de datos derivadas del GDPR— y existe evidencia formal que lo acredite?

Se usao TLS 1.3 con RSA-2048 y cifrado AES-256 para credenciales, alineado con estándares de la industria y marcos como GDPR, ISO 27001, ENS, SOC 2 y NIST SP 800-53. El cifrado cumple con marcos y normativas de seguridad y protección de datos citados (GDPR, LOPDGDD, AI Act, etc.).

¿Qué protocolos de actuación tiene definidos la organización para gestionar la pérdida, exposición o compromiso de una clave criptográfica, incluyendo los procesos de revocación, sustitución, notificación y mitigación del impacto sobre los sistemas y datos afectados?

En caso de pérdida o compromiso de una clave de cifrado, se aplica un procedimiento interno de respuesta a incidentes, gestionado por el equipo de IT. Este proceso incluye la revocación inmediata de la clave afectada, su rotación/regeneración segura y la verificación de que no exista impacto en la integridad o disponibilidad de los datos. Todas las acciones quedan registradas y auditadas, garantizando trazabilidad y cumplimiento con las políticas de seguridad.

Bases de Datos independientes con separación lógica para aislar entornos y garantizar mayor seguridad en los procesos de desarrollo y operación

¿Es necesario disponer de una descripción más exhaustiva sobre los mecanismos que aseguran la segregación entre entornos —incluyendo controles lógicos, restricciones de acceso, aislamiento de datos y medidas de protección adicionales que garantizan dicha separación de forma efectiva?

Los datos de cada cliente se almacenan en bases de datos independientes y que existen entornos separados de desarrollo, preproducción y producción, con sus correspondientes mecanismso de control: políticas de firewall, separación de schemas, VLANs específicas, controles RBAC por instancia.

¿Qué sistemas de control de acceso, políticas de autorización y mecanismos de validación se aplican para asegurar que únicamente el personal debidamente autorizado pueda interactuar con cada entorno o con las distintas bases de datos que operan de forma independiente?

El acceso está protegido mediante control de acceso basado en roles (RBAC), aplicando el principio de mínimo privilegio para limitar qué usuarios pueden entrar a cada entorno o base de datos. Además, se requiere autenticación robusta, incluyendo contraseñas seguras, bloqueo por intentos fallidos. Todos los accesos quedan registrados y auditados, restringidos solo a roles definidos para cada sistema o recurso.

¿Se dispone de mecanismos de supervisión y sistemas de auditoría capaces de registrar, correlacionar y revisar de forma continua los accesos, modificaciones y actividades realizadas dentro de los distintos entornos segregados?

Sí. Contamos con sub-version y logs de Sistema.
Los servidores mantienen registros de auditoría, monitoreo y seguridad durante 120 días, incluyendo accesos, inserciones y modificaciones de datos. Además, la plataforma cuenta con monitorización continua (SOC/NOC 24/7) y centralización de logs para detectar cambios o accesos no autorizados. Todos los registros están restringidos por roles y forman parte de los procesos de auditoría interna y cumplimiento.

¿Qué controles de seguridad, mecanismos de protección de datos y medidas de resguardo aplica la organización dentro de cada entorno segregado para garantizar la confidencialidad, integridad y correcta gestión de la información sensible allí alojada?

Cada entorno separado protege los datos sensibles mediante cifrado en reposo y en tránsito (TLS 1.3, RSA-2048), junto con control de acceso basado en roles (RBAC) que restringe estrictamente quién puede ver o modificar información. Además, se registran todas las acciones en logs auditables, y los datos personales se tratan con anonimización/pseudonimización antes de cualquier procesamiento.

¿Qué procedimientos de gestión de incidentes tiene establecidos la organización para detectar, contener, analizar y resolver brechas de seguridad que puedan producirse dentro de cada entorno segregado, incluyendo los protocolos de respuesta, escalado y restauración operativa?

La plataforma cuenta con un SOC interno que monitoriza 24/7, generando alertas automáticas ante cualquier anomalía o incidente en cualquier entorno separado. Además, existen procedimientos documentados de gestión y respuesta ante incidentes, alineados con ISO 22301 e ISO 27001, que incluyen análisis, contención y comunicación al cliente. Todos los eventos quedan registrados en logs auditables, permitiendo investigación y trazabilidad completa.

Aspectos críticos para la protección de los sistemas basados en IA. Iinformación adicional sobre controles y prácticas de seguridad

¿Qué técnicas, algoritmos y procesos aplica el sistema de inteligencia artificial para llevar a cabo la anonimización o pseudonimización de los datos identificables, garantizando que la información personal no pueda ser asociada nuevamente a los individuos a los que pertenece?

La anonimización se realiza mediante procesos automáticos de detección de patrones y entidades que identifican datos personales y los sustituyen por identificadores irreversibles. Esta sustitución se adapta a cada caso, previa petición, según la información a proteger (por ejemplo: números de cuenta, DNI/NIE, códigos numéricos, nombres propios, fechas o referencias sensibles como información médica). Cuando el cliente lo solicita, estos datos pueden ser también pseudonimizados antes de su procesamiento.

¿Qué nivel de eficacia presenta el sistema de inteligencia artificial en la identificación de información sensible y en la posterior aplicación de técnicas de anonimización o pseudonimización, y cómo se mide o valida dicho desempeño?

Mediante procesos de sustitución, la tasa es del 100%.

¿Qué controles de seguridad, mecanismos de defensa y medidas de endurecimiento se han establecido para impedir accesos no autorizados al modelo de inteligencia artificial y para protegerlo frente a intentos de manipulación, alteración de parámetros o interferencias maliciosas en su funcionamiento?

Los modelos de IA están aislados en la red privada, sin conexión a servicios externos, y protegidos por segmentación de red, firewalls, WAF e IDS/IPS. El acceso está controlado mediante RBAC, MFA y políticas de mínimo privilegio, con trazabilidad completa de todas las acciones. Todas las comunicaciones se cifran con TLS 1.3/SSL y los cambios pasan por CI/CD seguro con validación y escaneo de vulnerabilidades. Además, un SOC 24/7 monitoriza cualquier intento de intrusión o manipulación. Únicamente personal autorizado del departamento de IT tiene acceso a los servidores con modelos IA.

¿Qué mecanismos de protección, controles criptográficos y medidas de aseguramiento se aplican para garantizar que los modelos de inteligencia artificial mantengan su integridad y confidencialidad tanto durante las fases de entrenamiento como en su posterior despliegue en los entornos operativos?

La integridad y confidencialidad se garantizan mediante entornos aislados, segmentación entre entrenamiento/validación/producción, cifrado TLS 1.3/SSL y control de acceso RBAC+MFA. Los despliegues pasan por CI/CD seguro con auditoría y escaneo de vulnerabilidades, y un SOC 24/7 monitoriza cualquier anomalía o intento de manipulación.

¿Se llevan a cabo evaluaciones de seguridad de forma periódica sobre los modelos de inteligencia artificial —incluyendo pruebas de robustez, detección de vulnerabilidades y análisis de sesgos— con el fin de identificar posibles riesgos que puedan comprometer la exposición de datos sensibles?

Sí, mínimo mensualmente. eAlicia realiza evaluaciones periódicas de riesgos, auditorías éticas y revisiones de sesgos en todos los modelos de IA, incluyendo los generativos, analíticos y de transcripción. Estos análisis buscan detectar vulnerabilidades, desviaciones, sesgos discriminatorios o comportamientos anómalos. Además, se aplican calibraciones y validaciones mensuales con supervisión humana para garantizar seguridad y equidad. Todo ello forma parte de un programa formal de monitorización continua y cumplimiento del AI Act y GDPR, evitando exposición accidental de datos sensibles.

¿Qué mecanismos de verificación, pruebas de validación y controles de calidad se aplican para confirmar que los procesos de anonimización y/o pseudonimización operan correctamente antes de que el sistema procese información real, garantizando así la eficacia de las técnicas y la ausencia de riesgos de reidentificación?

Se realizan test unitarios de validación de anonimización de los datos solicitados.

¿Qué mecanismos de supervisión, validación y depuración aplica la organización para asegurar que, una vez finalizado el entrenamiento, no permanezcan en el modelo datos sensibles ni trazas que puedan derivar en filtraciones involuntarias o en almacenamiento residual de información identificable?

Bajo petición del cliente (no en todos los casos es necesario), se realiza anonimización previa al envío a los modelos IA, sustituyendo todos los datos personales por identificadores irreversibles. Además, se aplican auditorías éticas, revisiones periódicas de sesgos y supervisión humana, asegurando que ningún dato sensible quede incrustado o residual en los modelos.

¿Se emplean técnicas de differential privacy u otros enfoques avanzados de preservación de la privacidad para reducir al mínimo la posibilidad de que el modelo entrenado pueda revelar información sensible o permitir la reidentificación de los datos utilizados durante su entrenamiento?

No es necesario aplicar differential privacy porque no se entrenan modelos con datos de cliente. Las consultas a los modelos (LLM) se utilizan únicamente para analizar el contexto recibido en ese momento, sin que exista retención ni aprendizaje sobre esa información. Además, los datos pueden anonimizarse previamente, y el análisis se centra exclusivamente en el comportamiento de los agentes, las conversaciones y la calidad de las interacciones, evitando cualquier riesgo de exposición.

¿Qué procesos de cumplimiento, verificaciones técnicas y controles normativos aplica la organización para garantizar que los modelos de inteligencia artificial operen conforme a las obligaciones de privacidad y protección de datos exigidas por marcos regulatorios como el GDPR, el LGPD u otras normativas aplicables?

El cumplimiento se garantiza mediante una arquitectura totalmente aislada, donde todos los datos se procesan exclusivamente dentro de nuestra red privada y nunca se envían a servicios externos. Las consultas a los modelos se realizan únicamente desde los procesos internos de eAlicia, sin posibilidad de acceso desde el exterior, lo que asegura un control absoluto del flujo de información. Además, cuando el cliente lo solicita, los datos pueden ser anonimizados o pseudonimizados antes del procesamiento, reforzando la protección de la privacidad y el cumplimiento de normativas como GDPR y LGPD.

En relación con el proceso que convierte la transcripción en información visualizable en el dashboard, ¿qué solución de inteligencia artificial o motor analítico se emplea para procesar, interpretar y estructurar los datos generados?

Modelos open source y propios trabajando en local.
Nuestra IA se basa en modelos open-source auditables (Whisper, Llama, Mistral) y en modelos propios entrenados internamente, todos ejecutados exclusivamente en nuestros servidores dentro del CPD. La tecnología subyacente utiliza frameworks como PyTorch, TensorFlow y HuggingFace, instalados en local y sin conexión a servicios externos. No empleamos APIs ni nubes públicas de terceros, por lo que ningún dato se envía fuera de nuestra infraestructura. Todo el procesamiento se realiza en entornos privados, aislados y bajo control absoluto. Esto garantiza confidencialidad total y soberanía del dato.

¿Qué mecanismos contractuales, controles técnicos y restricciones operativas aseguran que el uso de la herramienta se limita exclusivamente al proyecto del Cliente y que la información procesada no puede ser reutilizada, integrada o transferida a otros desarrollos, modelos o iniciativas de la organización?

El uso de la herramienta es cerrado por diseño, porque todos los modelos de IA se ejecutan únicamente en nuestra infraestructura privada, aislada y sin conexión a servicios externos. Los datos de cada cliente se procesan en instancias lógicamente separadas, con bases de datos independientes que impiden cualquier mezcla entre proyectos. No existe entrenamiento continuo ni aprendizaje cruzado: los modelos no reutilizan información ni incorporan datos de clientes a su funcionamiento interno. Todo el acceso está regulado por RBAC, auditoría y circuitos de autorización, garantizando que solo personal autorizado pueda interactuar con los entornos. Además, los compromisos contractuales refuerzan que la información del Cliente se utiliza exclusivamente para su propio servicio y nunca se comparte ni aplica fuera de su perímetro.

¿Qué mecanismos de defensa, técnicas de endurecimiento y estrategias de seguridad se aplican para proteger los modelos de inteligencia artificial frente a ataques dirigidos —incluidos intentos de extracción de información sensible, ingeniería inversa o manipulación de sus parámetros internos— y garantizar su resistencia ante amenazas avanzadas?

La plataforma protege los modelos mediante aislamiento total en la red privada, sin exposición a servicios externos, junto con segmentación estricta entre entrenamiento, validación y producción. Además, emplea firewalls, WAF, IDS/IPS, cifrado TLS 1.3, RBAC, MFA y monitorización SOC 24/7, evitando accesos no autorizados o intentos de extracción. Finalmente, las auditorías éticas, revisiones periódicas de sesgos y trazabilidad completa del ciclo de vida del modelo aseguran que no pueda inferirse ni extraerse información sensible.

Directrices formales que regulan la conservación y la eliminación segura de la información sensible, de manera controlada y conforme a los requisitos normativos

¿Resulta imprescindible disponer de una descripción exhaustiva de las políticas de retención aplicadas, tanto a los datos derivados de las grabaciones como a las propias grabaciones que se comparten, con el fin de garantizar su conservación, tratamiento y eliminación conforme a los requisitos legales y operativos establecidos?

Sí. Se distingue entre grabaciones originales y datos procesados, cada uno con políticas de retención distintas (por ejemplo, audios máximo 3 meses y datos solo durante la finalidad de auditoría). Por ello, es necesario conocer detalladamente ambas políticas para asegurar eliminación segura y cumplimiento normativo.Los datos se eliminan de forma segura al finalizar el contrato o cuando el cliente lo solicita, garantizando cumplimiento con GDPR y LGPD.

¿Qué plazo de conservación se ha definido para los datos —expresado en días o meses— y bajo qué condiciones específicas podría ampliarse dicho periodo de retención en función de requisitos legales, operativos o de cumplimiento?

Las grabaciones de audio se conservan un máximo de 3 meses, y solo pueden mantenerse más tiempo si el cliente lo solicita expresamente. Los datos procesados (transcripciones, análisis, etc.) se conservan únicamente durante el tiempo necesario para la finalidad de auditoría. Cualquier extensión del periodo requiere petición y autorización explícita del cliente.

Transcripción de llamadas: Para realizar la transcripción, ¿se efectúan grabaciones de las llamadas? ¿Qué tecnología, motor o sistema de transcripción se utiliza para procesar y convertir el audio en texto?

Sí, se graban las llamadas.
La plataforma utiliza modelos de IA de transcripción instalados y ejecutados en local, dentro del entorno privado y sin enviar información a servicios externos.
Los modelos empleados son modelos open-source tipo Whisper, así como variantes y modelos específicos desarrollados internamente, todos ejecutados exclusivamente en la infraestructura privada de la eAlicia. Estos modelos procesan el audio dentro del CPD, sin conexión a terceros y bajo control total del flujo de datos.

¿Qué técnicas de eliminación segura se aplican —como borrado lógico certificado, sobreescritura múltiple, destrucción criptográfica u otros procedimientos equivalentes— para garantizar que la información sea suprimida de manera irreversible y no pueda ser recuperada por medios técnicos posteriores?

La plataforma asegura la eliminación segura mediante destrucción verificable de los datos una vez cumplida la finalidad, incluyendo informes certificados cuando el cliente los solicita. Además, los backups son inmutables, cifrados y con retención limitada, garantizando que no permanezcan datos residuales tras su ciclo de vida. El proceso se realiza dentro de entornos privados y controlados conforme a GDPR, LOPDGDD e ISO 27001.

¿Las políticas y procedimientos de eliminación contemplan igualmente la depuración de la información almacenada en los sistemas de copia de seguridad, asegurando que los datos suprimidos no permanezcan de forma residual en los backups ni puedan ser restaurados posteriormente?

Los backups se conservan solo durante el periodo definido (90 días) y después se eliminan conforme a las políticas internas de continuidad y seguridad. Las copias son inmutables, cifradas y verificadas periódicamente, garantizando que no persista información más allá del ciclo autorizado. Por tanto, sí: el proceso de borrado contempla la eliminación de los datos en los backups una vez vencido su periodo de retención. Los datos se eliminan de forma segura al finalizar el contrato o cuando el cliente lo solicita, garantizando cumplimiento con GDPR y LGPD.

CONSULTAS RELACIONADAS CON LA INFRAESTRUCTURA Y LA ARQUITECTURA TECNOLÓGICA

¿Qué conjunto de arquitecturas de seguridad, controles operativos y mecanismos de protección física y lógica se implementan en el Centro de Procesamiento de Datos (CPD) para garantizar un entorno robusto, aislado y resiliente frente a amenazas internas y externas?

Los servidores están alojados en un CPD, al que únicamente tienen accesos el CTO y algún técnico seleccionado, con tarjeta de acceso y llave física.
El CPD mantiene un entorno seguro mediante certificaciones y estándares avanzados (ISO 27001, ENS alto, GDPR, ISO 22301, ISO 27017), además de infraestructura física reforzada, control de accesos biométricos, CCTV y vigilancia 24/7. También utiliza detección de incendios, puertas electrónicas, escáneres biométricos y alarmas antirrobo, garantizando la protección perimetral. Todo acceso está documentado y controlado, asegurando trazabilidad y cumplimiento continuo.

¿En qué ubicaciones geográficas o regiones de almacenamiento se encuentran alojadas las copias de seguridad y bajo qué criterios se ha definido dicha distribución territorial?

Los backups se guardan en NAS del propio CPD, y además se realiza una segunda copia en una ubicación geográfica alternativa. En cuanto a la infraestructura crítica, la plataforma mantiene backups replicados entre los CPDs de VODAFONE y COLT, ubicados en Barcelona y Madrid, garantizando resiliencia y continuidad.

¿Qué tipo de tecnología de soporte se utiliza para la conservación de las copias de seguridad: sistemas basados en cintas, plataformas de almacenamiento en disco o infraestructuras de arrays u otros medios equivalentes?

No usamos cintas. Los backups se almacenan en NAS del propio CPD, lo que implica almacenamiento basado en disco/arrays de storage, no en cintas. Además, existe una segunda copia en una ubicación geográfica alternativa, también gestionada en infraestructura de almacenamiento similar.

Más información

Descargar PDF para ampliar la información de Seguridad.