Saltar al contenido principal
FluviaPro
ES

Seguridad

La seguridad de sus datos, sin palabrería

Sus datos de negocio, viajes, cargas, tripulaciones, son sensibles. Esto es concretamente lo que hacemos técnica y organizativamente para protegerlos.

Los 4 pilares

Nuestro enfoque en cuatro capas

Soberanía

100 % de sus datos de negocio alojados en Francia, en OVH Cloud, en centros de datos europeos. Sin transferencias fuera de la UE.

Cifrado

TLS 1.3 en todas partes (tránsito), cifrado en reposo en los discos, contraseñas con argon2id (algoritmo moderno resistente a ataques).

Control de accesos

Multi-tenant estricto, PostgreSQL Row Level Security, 4 roles distintos, 2FA opcional, registro de auditoría consultable por el armador.

Continuidad

Copias de seguridad cifradas cada hora, réplicas calientes en 2 centros de datos, plan de recuperación probado, RTO < 4 h y RPO < 1 h.

Alojamiento

OVH Cloud · centros de datos franceses

Todos los servicios y datos de negocio de nuestros clientes están alojados en OVH Cloud, operador francés certificado ISO 27001 y SecNumCloud (referencial ANSSI para servicios cloud sensibles).

Sus datos se reparten entre los centros de datos de Gravelines (Hauts-de-France), Roubaix (Hauts-de-France) y Estrasburgo (Grand Est), con replicación activo-activo entre dos regiones. Ningún dato de negocio sale de Francia.

Solo el sitio de marketing fluviapro.fr está alojado en Cloudflare (CDN mundial, gratis). El sitio solo contiene contenido público estático, ningún dato de cliente transita por él.

Operador
OVH Cloud (FR)
Certificaciones
ISO 27001, SecNumCloud
Ubicación datos
Francia · 100 %
Centros de datos
Gravelines · Roubaix · Estrasburgo

Cifrado

Sus datos cifrados, en todas partes, siempre

En tránsito

TLS 1.3 entre su navegador (o tableta del patrón) y nuestros servidores. HSTS activado. Certificados Let's Encrypt renovados automáticamente.

En reposo

Discos cifrados a nivel de bloque (LUKS) en todos los servidores. PostgreSQL Transparent Data Encryption activado en la base de producción.

Contraseñas

Hashing argon2id (ganador del Password Hashing Competition 2015). Parámetros modernos: 64 MB de memoria, 3 iteraciones, paralelismo 4.

Secretos

Gestionados por Infisical auto-alojado. Ningún secreto en claro en código, logs o copias de seguridad. Rotación de claves cada 90 días.

Control de accesos

Multi-tenant estricto, 4 roles, auditoría completa

Cada organización cliente (armador) está aislada por un `organization_id` presente en cada tabla de negocio. El filtrado se aplica dos veces: por el código de la aplicación Y por PostgreSQL Row Level Security. Una fuga de una organización a otra es técnicamente imposible.

Cuatro roles distintos con permisos granulares: armador (administración completa de su organización), patrón (registro a bordo + lectura de sus viajes), contable (facturas, exportaciones, solo lectura en el resto), cliente (portal cargador en solo lectura sobre sus cargas).

La autenticación usa JWT de corta duración (15 minutos) con refresh tokens (30 días, revocables). 2FA TOTP opcional (recomendada para armadores). Cada conexión, cada acción sensible (exportación, eliminación, modificación de derechos) queda registrada en un registro de auditoría consultable por el armador.

Copias de seguridad y continuidad

Ningún dato se pierde, nunca

Copias de seguridad

PostgreSQL Point-in-Time Recovery: restauración posible a cualquier segundo de los últimos 30 días. Snapshots diarios cifrados conservados 12 meses.

Replicación

Replica síncrona en un segundo centro de datos (Roubaix ⇄ Estrasburgo). Conmutación manual < 1 h en caso de incidente grave en la región primaria.

Almacenamiento de archivos

OVH Object Storage con replicación geográfica. Permisos, certificados y exportaciones PDF duplicados en 2 regiones francesas.

Plan de recuperación

Procedimiento probado cada semestre. Objetivos contractuales: RTO (Recovery Time Objective) < 4 h, RPO (Recovery Point Objective) < 1 h.

Cumplimiento

RGPD y más allá

  • RGPD: cumplimiento completo, registro de tratamientos actualizado, contratos de subcontratación firmados con todos los subcontratistas técnicos.
  • Proveedor de alojamiento certificado ISO 27001 y SecNumCloud (referencial ANSSI para servicios cloud sensibles).
  • Auditoría de seguridad externa anual por un despacho independiente (pentest aplicativo + revisión de infraestructura).
  • Auditoría semanal de dependencias de software (Snyk + Dependabot). Aplicación de parches críticos en menos de 48 h.
  • Política de gestión de incidentes: cualificación en menos de 4 h, notificación a clientes en menos de 24 h, post-mortem público en menos de 7 días.

Divulgación responsable

¿Ha encontrado una vulnerabilidad?

Si descubre una vulnerabilidad de seguridad en FluviaPro, le agradecemos que nos la notifique de manera responsable a security@fluviapro.fr. Acusamos recibo en menos de 24 h, cualificamos en menos de 72 h, y corregimos las fallas críticas en un máximo de 7 días. Reconocemos públicamente las contribuciones (con su consentimiento) y trabajamos en un programa de bug bounty.

security@fluviapro.fr

¿Preguntas sobre nuestra seguridad?

Nuestro equipo técnico responde a todas las preguntas de seguridad (cuestionarios de DSI, auditorías internas, due diligence).

Contáctenos Ver política de privacidad