Seguridad y conformidad
Una plataforma diseñada para las exigencias del B2B
GroundCam protege sus sesiones, sus pruebas visuales y los datos de sus clientes con una infraestructura 100 % europea, cifrado sistemático y conformidad declarativa con el RGPD.
Cuatro pilares
Alojamiento 100 % UE
Aplicaciones, bases de datos y archivos alojados en Europa.
Autenticación reforzada
MFA, SSO Microsoft Entra ID y Okta, roles granulares.
Cifrado en tránsito y en reposo
TLS 1.3, HSTS preload, cifrado en reposo de archivos y base de datos.
Conformidad con el RGPD
Minimización, consentimiento explícito, derechos de los usuarios garantizados.
Alojamiento e infraestructura
Toda la plataforma se apoya en infraestructuras cloud Tier-1 en la región europea.
Región europea exclusiva
Alojamiento de aplicaciones en Francia y almacenamiento de bases de datos en la región UE multi-zona. Ningún dato de cliente sale de la Unión Europea en el funcionamiento nominal.
CDN global con protección DDoS
Red de distribución de contenidos mundial para el rendimiento, con protección DDoS automática y reglas de filtrado HTTP/HTTPS.
Aislamiento multi-tenant estricto
Separación lógica de los datos entre organizaciones aplicada del lado servidor. Los accesos a archivos y datos pasan exclusivamente por rutas de servidor autenticadas — nunca acceso directo al almacenamiento desde el navegador.
Tecnologías utilizadas
Estas son las categorías de tecnologías sobre las que se apoya GroundCam.
Plataforma de vídeo web HD
Streaming de vídeo y audio en tiempo real a través de un operador europeo. Sesiones cifradas de extremo a extremo.
Pasarela SMS internacional
Envío de enlaces de invitación por SMS a través de un operador de telecomunicaciones certificado, cobertura mundial.
Procesador de pagos PCI-DSS N1
Pago con tarjeta bancaria y transferencia SEPA a través de un procesador certificado PCI-DSS nivel 1. Ningún dato de tarjeta transita por nuestros servidores.
Proveedor SMTP transaccional
Correos transaccionales (notificaciones, facturas) a través de un proveedor SMTP con autenticación SPF, DKIM y DMARC.
Supervisión de aplicaciones
Plataforma de monitorización y seguimiento de errores conforme al RGPD, solo datos técnicos (ningún dato personal).
Analítica de comportamiento opt-in
Herramienta de análisis comportamental activable con consentimiento, sin cookies de terceros, anonimizada.
Protección anti-bot
Sistema CAPTCHA sin cookies de terceros para proteger los formularios sensibles.
Autenticación y control de acceso
Política de contraseñas
Contraseñas almacenadas como hash bcrypt, nunca en claro. Restablecimiento mediante enlace de duración limitada.
Autenticación de doble factor (MFA)
Código OTP por correo electrónico para reforzar el inicio de sesión. Disponible en todas las cuentas.
SSO Microsoft Entra ID y Okta
Inicio de sesión centralizado mediante SAML/OIDC con su directorio corporativo. Aprovisionamiento por el administrador.
Roles granulares
Cuatro niveles de acceso: propietario, administrador, agente, solo lectura. Registro de auditoría de las acciones sensibles.
Cifrado y protección de datos
TLS 1.3 + HSTS preload
Todas las conexiones imponen HTTPS con HSTS preload (max-age 2 años). Ningún tráfico en claro.
Cifrado en reposo
Bases de datos y almacenamiento de archivos cifrados en reposo por defecto por los operadores cloud.
Cabeceras de seguridad endurecidas
Content Security Policy (CSP), X-Frame-Options, X-Content-Type-Options, Permissions-Policy configuradas estrictamente.
Almacenamiento server-only
Sin acceso directo al almacenamiento desde el navegador. Toda lectura/escritura pasa por un endpoint de servidor autenticado.
Gestión de secretos
Claves de API y tokens almacenados en variables de entorno cifradas. Comparaciones timing-safe para resistir ataques por tiempo.
Validación estricta de las entradas
Esquemas Zod en todas las rutas API. Verificación de magic bytes en las cargas. Protección SSRF en los webhooks salientes.
RGPD y privacidad
Datos tratados exclusivamente en la UE
Alojamiento de aplicaciones y bases de datos en la región UE. Restricción zona euro para los pagos (EUR + zona SEPA).
Minimización de los datos
Solo recopilamos los datos necesarios para el servicio: perfil, sesiones de vídeo, capturas vinculadas a una sesión, datos de facturación.
Conservación limitada
Las sesiones de vídeo no se graban por defecto. Las capturas y registros se conservan según su plan (de 30 días a 1 año).
Derechos de los usuarios
Acceso, rectificación, supresión, portabilidad: estos derechos se pueden ejercer desde el panel de control o contactando con nuestro equipo.
Para más detalles:
Preguntas frecuentes
- ¿GroundCam es objeto de auditorías de seguridad?
- Aplicamos de forma continua buenas prácticas de seguridad: revisión de código por pares, validación estricta de entradas, supervisión de errores, actualización periódica de dependencias. Para solicitudes específicas de certificaciones externas, contáctenos.
- ¿Dónde se almacenan los vídeos y las capturas de pantalla?
- Las sesiones de vídeo circulan en directo entre los participantes sin ser grabadas por defecto. Las capturas de pantalla se cifran en reposo en un almacenamiento alojado en la región UE, accesibles únicamente a través de URLs server-only autenticadas.
- ¿Cómo se les notifica un incidente de seguridad?
- Nuestra infraestructura informa automáticamente de las anomalías a través de nuestra plataforma de monitorización. En caso de incidente que afecte a datos personales, notificamos a los clientes afectados y a la CNIL dentro de los plazos legales del RGPD.
- ¿Cómo puedo eliminar mis datos?
- Puede desactivar su cuenta desde el panel de control. Para una supresión completa (derecho al olvido del RGPD), contáctenos: procedemos a la supresión en un plazo de 30 días conforme al reglamento.
¿Una cuestión específica de seguridad?
Nuestro equipo responde a sus solicitudes de aclaraciones técnicas, auditorías de cliente y requisitos contractuales.
Contáctenos