← Documentos legales

Política de Seguridad

Versión 1.0 · Última actualización: 25 de junio de 2026

Versión: 1.0 — Fecha de entrada en vigor: 25 de junio de 2026


Capítulo 1. Principios de seguridad

1.1. KORTHYX orienta su seguridad a proteger la confidencialidad, integridad y disponibilidad de los datos y del Servicio.

1.2. KORTHYX procura aplicar principios de defensa en profundidad, mínimo privilegio y seguridad por diseño y por defecto, con medidas proporcionadas al riesgo.

1.3. Dada la presencia de Datos de salud, KORTHYX aplica medidas reforzadas, según corresponda, para dichas categorías.

Capítulo 2. Cifrado en tránsito

2.1. Las comunicaciones entre el Usuario y el Servicio se protegen mediante cifrado en tránsito (por ejemplo, mediante protocolos TLS vigentes).

Capítulo 3. Cifrado en reposo

3.1. Cuando proceda conforme a la infraestructura, KORTHYX aplica cifrado en reposo (AES-256) a los datos almacenados, gestionado por sus proveedores de infraestructura (Supabase y Vercel).

Capítulo 4. Gestión de accesos

4.1. El acceso a los datos y a los sistemas se rige por el principio de mínimo privilegio y se limita al personal que lo necesite para sus funciones.

4.2. KORTHYX procura segregar funciones y revisar periódicamente los accesos, revocando los que dejen de ser necesarios.

Capítulo 5. Autenticación

5.1. El acceso al Servicio requiere autenticación mediante credenciales.

5.2. KORTHYX pone a disposición o recomienda mecanismos de autenticación reforzada (MFA), cuando estén disponibles.

Capítulo 6. Control de sesiones

6.1. El Servicio aplica medidas de gestión de sesiones, tales como la expiración por inactividad y el cierre de sesión, para reducir el riesgo de accesos no autorizados.

Capítulo 7. Logs

7.1. KORTHYX mantiene Logs de eventos y accesos relevantes para la seguridad, la trazabilidad y el diagnóstico.

7.2. Los Logs se protegen frente a accesos y modificaciones no autorizados, conforme a las medidas aplicables.

Capítulo 8. Monitoreo

8.1. KORTHYX procura monitorear el Servicio para detectar anomalías, accesos indebidos o Incidentes de seguridad, y responder a ellos.

Capítulo 9. Backups

9.1. KORTHYX procura mantener copias de respaldo de los datos necesarias para la continuidad y la recuperación del Servicio.

9.2. Las copias de respaldo se protegen con medidas apropiadas y, cuando proceda, se realizan pruebas de restauración. Las copias de respaldo se generan con frecuencia diaria.

Capítulo 10. Continuidad del negocio

10.1. KORTHYX procura adoptar medidas para mantener o restablecer la prestación del Servicio ante interrupciones.

Capítulo 11. Recuperación ante desastres

11.1. KORTHYX procura disponer de medidas de recuperación ante desastres orientadas a restablecer el Servicio y los datos en un plazo razonable, con objetivos de recuperación orientativos de RTO ≤ 24 horas y RPO ≤ 24 horas.

Capítulo 12. Pruebas de seguridad

12.1. KORTHYX procura realizar pruebas y revisiones de seguridad de forma periódica y proporcionada al riesgo, según corresponda.

Capítulo 13. Gestión de vulnerabilidades

13.1. KORTHYX procura identificar, evaluar y remediar vulnerabilidades, incluidas las derivadas de dependencias y componentes de terceros, conforme a su criticidad.

Capítulo 14. Modelo de responsabilidad compartida

14.1. La seguridad se rige por un modelo de responsabilidad compartida:

(a) KORTHYX es responsable de la seguridad del Servicio que opera (infraestructura, aplicación y medidas descritas en esta Parte); y

(b) el Usuario es responsable de la seguridad de sus credenciales, dispositivos, accesos, roles, permisos y configuración, así como del uso adecuado del Servicio.

Capítulo 15. Obligaciones del Usuario

15.1. El Usuario debe: (a) mantener la confidencialidad de sus credenciales y no compartirlas; (b) activar la autenticación reforzada cuando esté disponible; (c) utilizar dispositivos y redes razonablemente seguros; (d) gestionar adecuadamente los accesos de su personal; y (e) reportar sin demora cualquier Incidente de seguridad o uso no autorizado del que tenga conocimiento.

Capítulo 16. Reporte de vulnerabilidades

16.1. El Usuario y los investigadores de seguridad pueden reportar vulnerabilidades a seguridad@korthyx.com.

16.2. KORTHYX promueve la divulgación responsable: quien reporte una vulnerabilidad debe abstenerse de explotarla, de acceder a datos que no le correspondan y de divulgarla públicamente antes de su remediación razonable.

Capítulo 17. Gestión de incidentes

17.1. KORTHYX dispone de procedimientos de gestión y respuesta ante Incidentes de seguridad, conforme al Anexo de Respuesta ante Incidentes (Parte XII).

17.2. La notificación de brechas a autoridades, al Responsable y a los Titulares de datos se rige por la Política de Privacidad (Parte IV, Capítulos 84 y 85) y por el DPA (Parte V, Cláusula 12).

Capítulo 18. Limitaciones

18.1. Ningún sistema es completamente seguro. KORTHYX no garantiza una seguridad absoluta ni la ausencia total de Incidentes de seguridad, sin perjuicio de su deber de adoptar medidas técnicas y organizativas apropiadas.

18.2. La seguridad efectiva depende también del cumplimiento, por parte del Usuario, de las obligaciones que le corresponden (Capítulos 14 y 15).

Capítulo 19. Seguridad de terceros

19.1. KORTHYX impone a sus Subprocesadores obligaciones de seguridad equivalentes, conforme al DPA (Parte V).

19.2. KORTHYX no controla la seguridad de productos o servicios de terceros que el Usuario contrate o utilice por su propia cuenta, ni responde por ellos.

Capítulo 20. Seguridad en integraciones

20.1. Las integraciones habilitadas por el Usuario con servicios de terceros implican el intercambio de los datos necesarios; el Usuario es responsable de evaluar la seguridad y las condiciones de dichos terceros.

20.2. KORTHYX no es responsable de las prácticas de seguridad de los terceros que el Usuario conecte, conforme a la Parte III, Capítulo 36.