EN VIVO · CON AUDITORÍA · UE
SISTEMA · 99,99% UPTIME
v 1.0 ↗ HECHO EN UE
Seguridad y conformidad

Tus datos, tus pruebas, seguros.

Nexbasira fue diseñada desde el primer día en torno a los estándares europeos más estrictos: eIDAS, RGPD e ISO 27001.

eIDAS
Qualified signature
RGPD
GDPR Compliant
ISO 27001
Certified 2026
HDS
Health-grade hosting

Arquitectura de extremo a extremo.

5 capas de seguridad, del smartphone del técnico al archivo legal de 7 años.

Captura
TLS 1.3
Cloud UE
AES-256
eIDAS
QES
Archivo
7 ans
Blockchain
SHA-256

Estándares y certificaciones.

Firma electrónica cualificada
Règlement UE 910/2014 · QES Level
✓ Conforme

Nexbasira usa Firma Electrónica Cualificada (QES) según el reglamento eIDAS. El nivel más alto de firma electrónica reconocido en Europa, equivalente a una firma manuscrita.

Jurídicamente oponible
Aceptada en los 27 Estados miembros de la UE.
Identidad verificada
KYC en video + DNI antes de firmar.
Marca temporal RFC 3161
Marca temporal cualificada vía autoridad.
Proveedor cualificado
Socio QTSP listado por ANSSI.
Protección de datos personales
Règlement UE 2016/679 · DPO certifié
✓ Conforme

Nexbasira es RGPD-nativa: la protección está integrada en el diseño. Nuestro DPO está certificado por AFNOR.

Datos en UE
100% alojado en Francia y Alemania. Sin transferencias fuera UE.
Derecho al olvido
Borrado completo a petición, máx. 30 días.
Portabilidad
Exportación en JSON/PDF en cualquier momento.
DPA / Subcontratación
Acuerdo firmado con cada cliente empresarial.
Gestión de seguridad de información
Certifié 2026 · Audit annuel
✓ Certificado

Nexbasira está certificada ISO 27001 desde 2026. Nuestro SGSI cubre producto, infraestructura, RRHH y procesos. Auditoría externa anual.

Cifrado E2E
TLS 1.3 en tránsito, AES-256 en reposo.
Control de acceso estricto
SSO, MFA obligatorio, mínimo privilegio.
Pentests trimestrales
Tests externos 4×/año + bug bounty.
PCN / PRE probado
Plan de continuidad probado 2×/año. RTO < 4h.
Alojamiento de Datos de Salud
Disponible sur demande · Plan Enterprise
Opción

Para clientes médicos o con datos sensibles, Nexbasira ofrece alojamiento HDS vía OVHcloud, certificado por el Ministerio francés de Salud. En plan Enterprise.

Auditorías y atestados.

Todos los informes están disponibles bajo NDA para clientes enterprise.

Auditoría / Certificación
Auditor
Última actualización
Status
ISO 27001:2022
Bureau Veritas
Mar 2026
✓ ACTIVE
SOC 2 Type II
Mazars
Feb 2026
✓ ACTIVE
RGPD Audit
CNIL Compliance
Jan 2026
✓ ACTIVE
Pentest external
Synacktiv
Apr 2026
✓ PASSED
eIDAS QTSP
ANSSI listing
2025
✓ ACTIVE
Specs técnicas

Para tu equipo de seguridad.

Respuestas concretas a la checklist habitual. Cada línea está en código, en este commit — no es una wishlist.

🇪🇺

Residencia de datos

Región principal eu-central-1 (Frankfurt) + eu-west-3 (Paris)
Schrems II Sin control-plane US. Sin subcontratistas US en cadena de auditoría.
Almacenamiento S3 cifrado con claves preficadas. Lifecycle a archivo frío a 90 días.
Self-host Disponible en Enterprise. Stack Docker + Caddy documentada.
🔐

Criptografía

Cadena auditoría SHA-256 sobre envolturas JSON canónicas. Referencia al enlace previo.
Marcado temporal 3 TSA independientes — Tezos, RFC 3161, OpenTimestamps.
Firma webhooks HMAC-SHA256 formato Stripe-style. Tolerancia 5 min. Secreto Fernet en reposo.
Credenciales API SHA-256 + pepper. Verif constant-time.
Tokens campo JWT HS256 de un solo uso, vinculado IP/UA, scoped.
Firma PAdES PKCS#7/CMS desligado en dict de firma PDF.
🛡

Controles de acceso

Aislamiento RLS Postgres en cada tabla. app.current_org GUC.
RBAC 4 roles sistema + custom. Permisos slug-checked.
MFA TOTP. Política por org.
SSO OIDC + SAML 2.0. JIT provisioning.
SCIM SCIM 2.0 con bearer por org.
⚙️

Seguridad operativa

CI gate ruff + eslint strict + Playwright + pytest + vitest. Un warning rompe el build.
SBOMs SBOMs CycloneDX publicados por build.
Escaneo dependencias pip-audit + npm audit en cada CI run.
Builds reproducibles Imágenes Docker pinned por digest.
Logging Logs JSON estructurados. Sin PII en claro.
Divulgación responsable

¿Encontraste algo?

Lo apreciamos. Aquí están nuestros compromisos y el canal seguro.

01

Acuse en 2 días hábiles

Respuesta humana, no autorespuesta.

02

Triage y CVE en 5 días

Clasificación, ID interno, remediación en cola.

03

Fixes críticos en 7 días

Para críticos post-triage. Avisos siguen CVE.

04

Crédito público y bounty

Hall of fame público. Recompensas por severidad.

Email seguro
security@nexbasira.com
Clave PGP — huella
A1B2 C3D4 E5F6 0708 1920 · 3132 3435 3637 3839 4041
Clave pública
/.well-known/pgp.asc
Política completa
/.well-known/security.txt

Por favor no divulgues hasta que despleguemos el fix. Te mantenemos al día.

¿Necesitas el cuestionario de seguridad?

CAIQ, VSA, SIG o tu propio formato — respondemos en 5 días con artefactos.

Solicitar cuestionario → Ver Privacidad & RGPD