¿Cumple Quick Event con el RGPD?

Sí, Quick Event cumple al 100 % con el RGPD desde el primer día: • Privacidad por diseño: la protección de datos está integrada en la arquitectura • Procesamiento de datos en la UE: Todos los datos permanecen exclusivamente en centros de datos alemanes/de la UE. • Acuerdos de procesamiento de datos: Acuerdos de procesamiento de datos claros disponibles • Derechos del interesado: Implementación completa de todos los derechos del RGPD • Eliminación automática: períodos de retención configurables Cumplimiento certificado con auditorías de seguridad continuas.

¿Dónde se almacenan mis datos?

100% garantía de procesamiento de datos de la UE: Ubicación principal: Fráncfort del Meno, Alemania (base de datos NEON) Ubicaciones secundarias: Ámsterdam, París, Múnich, Madrid CDN/Edge: servidores edge europeos de Cloudflare No se transfieren datos fuera de la UE. Sus datos nunca salen del espacio legal europeo. Cumplimiento: con la legislación de protección de datos alemana y de la UE.

¿Qué tan segura es la transferencia de datos?

Cifrado de nivel empresarial en todos los niveles: • TLS 1.3: el último estándar de cifrado para todas las conexiones • Cifrado de extremo a extremo: cifrado de todas las llamadas API y transferencias de datos • AES-256: Cifrado en reposo en la base de datos • SSL automático: certificados para todos los dominios personalizados Infraestructura empresarial de Cloudflare con protección DDoS y WAF (Web Application Firewall).

¿Qué certificaciones de seguridad tiene Quick Event?

Seguridad empresarial a través de socios certificados: Cloudflare Empresarial: • Certificado SOC 2 Tipo II • Certificación ISO 27001 • Cumple con PCI DSS Nivel 1 Certificaciones de infraestructura: • Base de datos NEON: ISO 27001, SOC 2 • SendGrid: compatible con SOC 2 y GDPR • Stripe: PCI DSS Nivel 1 SLA de tiempo de actividad del 99,99 % con soporte empresarial disponible.

¿Cómo funciona el control de acceso?

Gestión granular de permisos: Basado en roles: • Rol de usuario: Acceso solo a eventos propios • Rol de administrador: acceso completo a la organización • Roles personalizados: conjuntos de permisos individuales Características de seguridad: • Se requiere 2FA para cuentas de administrador • Gestión de sesiones con tiempo de espera automático • Integración de OAuth (Google, Microsoft, GitHub) • Registros de auditoría para todos los cambios de autorización El principio del mínimo privilegio se aplica en todas partes.

¿Qué sucede en caso de un incidente de seguridad?

Plan de respuesta a incidentes profesionales: Medidas inmediatas: • Detección automática de amenazas a través de Cloudflare AI • Alertas en tiempo real al equipo de seguridad • Aislamiento inmediato de los sistemas afectados Comunicación: • Dentro de las 24 horas: Informar a los clientes afectados • Dentro de las 72 horas: Informar a las autoridades sobre las violaciones de datos. • Transparencia total sobre el incidente y las medidas adoptadas. Prevención: Monitoreo y actualizaciones de seguridad continuas.

¿Cómo se eliminarán mis datos?

Eliminación automatizada de datos de conformidad con el RGPD: Plazos configurables: • Datos del evento: Estándar 2 años, personalizable • Datos de los participantes: Por evento o individualmente • Registros de auditoría: 7 años para cumplimiento Procedimiento de eliminación: • Eliminación automática una vez vencidos los plazos • Eliminación manual posible en cualquier momento previa solicitud • Eliminación segura de todos los sistemas y copias de seguridad El derecho al olvido se aplica plenamente.

Seguridad y protección de datos

Al gestionar datos de eventos ( listas de asistencia , información de contacto, detalles de pago), la seguridad no es una opción, sino una necesidad. Quick Event se diseñó desde cero teniendo en cuenta la protección de datos y la seguridad empresarial: cumplimiento total del RGPD, procesamiento de datos exclusivamente en la UE y cifrado de extremo a extremo en todos los niveles.

Quick Event cumple con el RGPD desde el primer día: no se ha adaptado, sino que se ha desarrollado según el principio de Privacidad desde el Diseño . La protección de datos está integrada en la arquitectura, no se añade como una característica adicional.

En concreto, esto significa: Ofrecemos un contrato de tratamiento de datos (TPD) completo que cumple con todos los requisitos del artículo 28 del RGPD. El TPD define claramente qué datos se tratan, con qué finalidad y con qué medidas técnicas y organizativas se protegen.

Se respetan plenamente todos los derechos de los interesados : acceso, rectificación, supresión, portabilidad y oposición. Los participantes pueden consultar, corregir o eliminar sus datos en cualquier momento, directamente a través de la plataforma o solicitándolo al organizador.

Además, Quick Event ofrece periodos de retención configurables con eliminación automática. Una vez transcurrido el periodo definido, los datos personales se eliminan automática y completamente de todos los sistemas, sin intervención manual.

Tratamiento de datos en la UE

Todos los datos se procesan y almacenan exclusivamente en la Unión Europea. No se transfieren datos a terceros países, ni para la base de datos, ni para la computación en el borde ni para las copias de seguridad.

La ubicación principal es Fráncfort del Meno, Alemania. Aquí se ejecuta la base de datos NEON, que almacena todos los datos de eventos, participantes y organizaciones. Las ubicaciones secundarias en Ámsterdam y París sirven como copias de seguridad y para el almacenamiento en caché perimetral a través de la red Cloudflare. Otras ubicaciones europeas, como Múnich y Madrid, se utilizan para la distribución de contenido.

Toda la infraestructura está sujeta a la legislación alemana y de la UE en materia de protección de datos . La jurisdicción alemana se aplica a todas las operaciones de tratamiento de datos. Para los organizadores de eventos, esto supone la máxima seguridad jurídica sin complejas evaluaciones de transferencias a terceros países.

Cifrado

Quick Event utiliza cifrado multicapa que protege tanto los datos durante la transmisión como los datos almacenados.

Cifrado durante la transmisión

Todas las conexiones utilizan TLS 1.3 , el estándar de cifrado más reciente. Esto se aplica a la comunicación entre el navegador y el servidor, entre servicios internos y a todas las llamadas a la API. Las versiones de TLS anteriores e inseguras no son compatibles.

Cifrado en reposo

Todos los datos almacenados en la base de datos están cifrados con AES-256 , el mismo estándar que utilizan bancos y organismos gubernamentales. Esto incluye datos de participantes, información de reservas , contenido de correos electrónicos y archivos subidos a Cloudflare R2.

Certificados SSL automáticos

Si usa su propio dominio para las páginas de su evento, Quick Event le proporciona automáticamente un certificado SSL, sin intervención manual ni costes adicionales. Los certificados se renuevan automáticamente, lo que garantiza que sus asistentes siempre tengan una conexión cifrada.

Control de acceso

El sistema de permisos de Quick Event sigue el principio del mínimo privilegio : cada usuario recibe solo los derechos que necesita para su tarea. Ni más ni menos.

Sistema de autorización basado en roles

Quick Event ofrece tres niveles de permisos. El rol de Usuario restringe el acceso a sus propios eventos, ideal para miembros del equipo del proyecto que solo gestionan sus propios eventos. El rol de Administrador otorga acceso total a todos los eventos y configuraciones de la organización, incluyendo la gestión del equipo y la facturación. Además, se pueden crear roles personalizados con conjuntos de permisos individuales para proporcionar el nivel de acceso necesario.

Autenticación y gestión de sesiones

La autenticación de dos factores (2FA) está disponible para las cuentas de administrador para evitar el acceso no autorizado, incluso con contraseñas comprometidas. Las sesiones se cierran automáticamente tras un periodo de inactividad configurable. Como alternativa, los usuarios pueden iniciar sesión mediante OAuth con su cuenta de Google, Microsoft o GitHub, sin necesidad de gestionar una contraseña adicional.

Todos los cambios de permisos se registran en registros de auditoría , de modo que se pueda rastrear quién obtuvo o perdió qué derechos de acceso y cuándo.

Certificaciones de socios

Quick Event cuenta con socios de infraestructura de probada eficacia que cumplen con los más altos estándares de seguridad. Cada componente de la plataforma es operado por un proveedor auditado y certificado de forma independiente.

Cloudflare

Como plataforma para computación de borde, protección DDoS y distribución de contenido, Cloudflare está certificada según SOC 2 Tipo II , ISO 27001 y PCI DSS Nivel 1. Su firewall de aplicaciones web (WAF) protege contra las 10 principales amenazas de OWASP y su red global ofrece una disponibilidad del 99,99 %.

Base de datos NEON

La base de datos PostgreSQL se ejecuta en NEON, certificado según ISO 27001 y SOC 2. La ubicación de la UE en Frankfurt garantiza que las consultas y el almacenamiento de la base de datos se realizan íntegramente de acuerdo con la legislación de la UE.

Raya

Para el procesamiento de pagos, Quick Event utiliza Stripe, certificado según PCI DSS Nivel 1 , el estándar de seguridad más alto en la industria de las tarjetas de pago. Los datos de las tarjetas de crédito nunca se almacenan en los servidores de Quick Event, sino que son procesados exclusivamente por Stripe.

SendGrid

Los correos electrónicos se envían a través de SendGrid, que cuenta con la certificación SOC 2 y cumple totalmente con el RGPD. Todos los servidores de correo electrónico se encuentran en la UE, y el cifrado de transporte mediante TLS es estándar para todos los mensajes salientes.

Respuesta a incidentes

Si ocurre un incidente de seguridad a pesar de todas las medidas de protección, se activará un plan de respuesta a incidentes definido con responsabilidades y plazos claros.

La detección automatizada de amenazas de Cloudflare AI identifica anomalías en tiempo real. Al confirmarse un incidente, el sistema afectado se aísla inmediatamente para evitar su propagación. Simultáneamente, se envían alertas en tiempo real al equipo de seguridad.

La comunicación se rige por plazos fijos: los clientes afectados son informados en un plazo de 24 horas . En caso de una filtración de datos, según lo definido por el RGPD, se notifica a las autoridades en un plazo de 72 horas , según lo exige la ley. La transparencia es una prioridad absoluta: las partes afectadas reciben información completa sobre el incidente, las medidas adoptadas y los pasos para prevenir futuros incidentes.

Periodos de eliminación y conservación de datos

Quick Event ofrece a los organizadores de eventos control total sobre la duración del almacenamiento de datos personales. Los periodos de retención se configuran por evento y se aplican automáticamente.

De forma predeterminada , los datos del evento se conservan durante dos años después del mismo; este periodo puede acortarse o ampliarse según sea necesario. Los datos de los participantes pueden eliminarse después del evento o tras un periodo definido por el usuario. Los registros de auditoría se conservan durante siete años para cumplir con los requisitos legales.

La eliminación se produce automáticamente una vez finalizado el periodo de conservación, sin intervención manual. También es posible en cualquier momento previa solicitud , por ejemplo, si un participante ejerce su derecho al olvido. En este caso, los datos se eliminan completa e irrevocablemente de todos los sistemas y copias de seguridad.