OpenCap

Política de Seguridad de Datos

Medidas técnicas y organizativas que OpenCap aplica para proteger la confidencialidad, integridad y disponibilidad de tus datos patrimoniales.

Última actualización: 1 de enero de 2026

1. Principios generales

OpenCap está diseñada siguiendo los principios de privacidad por diseño y privacidad por defecto (art. 25 RGPD). Esto significa que la protección de datos se incorpora desde las primeras fases del desarrollo y que, por defecto, solo se tratan los datos estrictamente necesarios para la prestación del servicio.

Las medidas de seguridad se revisan periódicamente y se actualizan en función de la evolución tecnológica, los riesgos detectados y los estándares del sector (OWASP Top 10, NIST Cybersecurity Framework).

2. Autenticación y gestión de contraseñas

  • Hash de contraseñas: todas las contraseñas se almacenan como hash irreversible usando bcrypt con un factor de trabajo de al menos 12 iteraciones. Nunca se guarda la contraseña en texto plano, ni siquiera temporalmente.
  • Tokens JWT: la autenticación de sesión se gestiona mediante JSON Web Tokens (JWT) firmados con clave secreta fuerte. Los tokens tienen un tiempo de expiración configurado y se validan en cada petición.
  • Transmisión segura: las credenciales de autenticación solo se transmiten a través de canales cifrados (HTTPS/TLS).
  • Sin almacenamiento de credenciales de terceros: OpenCap no solicita ni almacena credenciales de cuentas bancarias, brokers u otras plataformas financieras.

3. Cifrado en tránsito y en reposo

  • En tránsito: todas las comunicaciones entre el navegador del usuario y la plataforma se cifran mediante TLS 1.2 o superior. Las conexiones HTTP son redirigidas a HTTPS automáticamente.
  • En reposo: la base de datos se aloja en un entorno protegido con acceso restringido. Los datos se almacenan en SQLite con permisos de sistema operativo restrictivos (acceso exclusivo del proceso de la aplicación).
  • Cabeceras de seguridad HTTP: el servidor incluye cabeceras de seguridad como X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security y Content-Security-Policy para mitigar ataques comunes (XSS, clickjacking, MIME sniffing).

4. Control de acceso y aislamiento de datos

  • Aislamiento por usuario: cada usuario solo puede acceder a sus propios datos. Todos los endpoints de la API verifican el JWT y limitan las operaciones al propietario de los recursos. No existe acceso cruzado entre cuentas.
  • Principio de mínimo privilegio: el proceso de la aplicación se ejecuta con los permisos mínimos necesarios, sin acceso a recursos del sistema no requeridos por el servicio.
  • Validación de entradas: todos los datos recibidos del exterior se validan y sanquizan antes de ser procesados, protegiendo contra inyección SQL, XSS y otras vulnerabilidades de inyección (OWASP Top 10).

5. Infraestructura y entorno de ejecución

  • Containerización: la aplicación se ejecuta en contenedores Docker aislados, limitando el impacto potencial de una vulnerabilidad a un entorno confinado.
  • Variables de entorno: los secretos (claves JWT, contraseñas de administrador) se gestionan mediante variables de entorno y nunca se incluyen en el código fuente ni en el control de versiones.
  • Dependencias auditadas: las dependencias del proyecto se mantienen actualizadas y se revisan periódicamente para detectar vulnerabilidades conocidas (CVEs).

6. Copias de seguridad

Se realizan copias de seguridad periódicas de la base de datos para garantizar la recuperación de datos en caso de incidente o fallo técnico. Las copias de seguridad están protegidas con los mismos controles de acceso que los datos en producción.

El usuario puede exportar sus propios datos en cualquier momento usando las funcionalidades de exportación de la plataforma, ejerciendo así su derecho de portabilidad.

7. Gestión de incidentes de seguridad

En caso de detectarse una brecha de seguridad que afecte a datos personales, OpenCap seguirá el siguiente protocolo:

  1. Detección y contención: identificación y aislamiento del incidente en el menor tiempo posible.
  2. Notificación a las autoridades: si la brecha entraña un riesgo para los derechos y libertades de los usuarios, se notificará a la AEPD en un plazo máximo de 72 horas desde su detección, conforme al art. 33 RGPD.
  3. Notificación a los afectados: si la brecha entraña un riesgo alto para los usuarios, se les informará sin dilación indebida conforme al art. 34 RGPD.
  4. Análisis post-mortem: revisión de la causa raíz y aplicación de medidas correctoras.

8. Actualizaciones y gestión de parches

OpenCap se compromete a mantener actualizadas las dependencias de software, el sistema operativo del servidor y los componentes de la infraestructura para incorporar los últimos parches de seguridad disponibles. Las actualizaciones críticas de seguridad se aplican con la máxima celeridad posible.

9. Responsabilidad del usuario

La seguridad es una responsabilidad compartida. El usuario contribuye a ella:

  • Utilizando contraseñas robustas y únicas para su cuenta de OpenCap.
  • No compartiendo sus credenciales con terceros.
  • Cerrando sesión al utilizar dispositivos compartidos o públicos.
  • Manteniendo actualizado su navegador y sistema operativo.
  • Notificando cualquier actividad sospechosa a seguridad@opencap.es.

10. Reporte de vulnerabilidades (Responsible Disclosure)

Si descubres una vulnerabilidad de seguridad en OpenCap, te pedimos que nos la comuniques de forma responsable antes de hacerla pública. Esto nos permite corregirla y proteger a todos los usuarios.

Envía tu reporte a seguridad@opencap.es con:

  • Descripción detallada de la vulnerabilidad.
  • Pasos para reproducirla.
  • Impacto potencial estimado.

Nos comprometemos a responder en un plazo de 5 días hábiles y a no emprender acciones legales contra investigadores de seguridad que actúen de buena fe y sigan estas directrices.