Acuerdo de tratamiento de datos
Plantilla estándar de DPA para cada escuela cliente. Define roles (responsable, encargado), fines del tratamiento, períodos de conservación, política de eliminación.
Seguridad
Protección de datos personales.
La seguridad no es una opción.
Los estudiantes hacen exámenes. Los profesores gestionan calificaciones.
Es nuestra responsabilidad que esta información sea accesible
solo para quienes deben acceder a ella.
GDPR
conformidad total
Cifradas
conexiones en todas partes
24h
archivos de copia
100%
registro de auditoría
Arquitectura
Protección en capas, desde el dispositivo hasta la base de datos
01
Lo que ves
Aplicación o navegador. Conexión cifrada desde el momento en que se abre.
02
La conexión entre tú y nosotros
Protegida con protocolos modernos. Nadie en el camino puede leer la comunicación.
03
Antes de llegar al servidor
Límites de solicitudes, cabeceras de seguridad, filtros. Primera línea contra ataques automatizados.
04
Quién ve qué
Una sesión activa a la vez, control de roles, aislamiento por escuela.
05
Qué ocurre
Aplicación de reglas de negocio, comprobaciones para cada acción, auditoría de operaciones sensibles.
06
Dónde viven los datos
Base de datos protegida en un entorno aislado. Los servicios tienen solo los derechos necesarios. Copias de seguridad diarias.
GDPR
Transparencia y control
La conformidad con el GDPR está integrada en el diseño. La exportación y la eliminación son herramientas en la aplicación — directamente accesibles, sin formularios y sin esperas.
Derecho de acceso
El usuario ve qué datos almacenamos sobre él — nombres, correo electrónico, calificaciones, exámenes, archivos. Transparente, en exportación JSON. (GDPR art. 15)
Exportación de datos personales
Exportación con un botón en la aplicación. Formato JSON — legible por humanos y programas. Sin formularios, sin correo al soporte. (GDPR art. 15 + 20)
Información minimizada
No recopilamos datos innecesarios. Sin seguimiento, sin huellas de dispositivo, sin comportamiento publicitario. Solo lo necesario para el funcionamiento del examen.
Solicitud de eliminación
El usuario inicia la eliminación de su cuenta desde la configuración. La solicitud pasa por una breve aprobación con fines de auditoría. Tras la aprobación — eliminación completa en cascada de todos los datos personales. (GDPR art. 17)
Notificación de incidentes
Ante una brecha de seguridad — en un plazo de 72 horas notificamos a las escuelas afectadas con detalles: qué ocurrió, qué datos están afectados, qué medidas hemos tomado. (GDPR art. 33)
Defensa activa
Seguridad en tiempo real
Conexiones cifradas en todas partes
Todo el tráfico se cifra con protocolos modernos. Las versiones antiguas están desactivadas. Los certificados se renuevan automáticamente 30 días antes de su vencimiento.
Límites contra el tráfico excesivo
Cada tipo de solicitud — API principal, archivos, gestión — tiene límites separados. Protección contra ataques automatizados y carga excesiva.
Una sesión activa
Al iniciar una nueva sesión del mismo usuario, todas las sesiones anteriores se terminan automáticamente. Protección contra accesos compartidos.
Aislamiento por escuela
Los datos de una escuela no son visibles para otra, ni siquiera para un administrador. Las solicitudes se restringen a nivel de base de datos — es imposible ver, accidental o intencionadamente, estudiantes, calificaciones o exámenes ajenos.
Transparencia para todo lo importante
Cada acción sensible se registra — quién la hizo, cuándo, sobre qué. El director de la escuela ve el historial de todo dentro de la escuela. Los registros no se eliminan.
Procesos aislados
La base de datos, la caché y la aplicación funcionan como usuarios separados sin derechos innecesarios. Cada servicio tiene acceso solo a lo que necesita.
Seguridad del examen
Protección del entorno de examen
Bloqueo por IP
Opcional: la escuela puede bloquear sus exámenes solo a las direcciones IP de su propia red. El estudiante no puede examinarse desde casa, aunque haya iniciado sesión.
Supervisión en tiempo real
El profesor supervisa la actividad de los estudiantes durante el examen — quién está activo, quién ha dejado de trabajar, quién ha terminado.
Reenvío seguro
El envío del examen está protegido contra duplicaciones. Incluso cuando la red obliga al cliente a repetir muchas veces, las respuestas llegan al servidor solo una vez.
Envío automático al expirar
Cuando expira el tiempo, las respuestas se envían automáticamente. No hay posibilidad de continuar más allá del plazo establecido.
Archivos de examen protegidos
Las imágenes y PDFs en los exámenes se abren solo desde la aplicación con identificación de sesión. Un enlace compartido en chat o navegador no funciona fuera de la sesión. Los enlaces tienen una vida útil limitada.
Registro de cada infracción
Cambiar de ventana, copiar, abrir una nueva pestaña — todo queda registrado. El profesor ve las infracciones inmediatamente en el registro del examen.
Copias de seguridad
Procedimiento de recuperación probado
Restauramos periódicamente los datos en un entorno separado y verificamos su integridad — para saber que el procedimiento funciona cuando sea necesario y que nuestras copias no son una ilusión de seguridad.
- Copia de seguridad diaria de la base de datos
- Historial de 30 días
- Recuperación de datos críticos
- Copia de seguridad antes de cada despliegue en producción
- Opcional: copia de seguridad externa en una ubicación separada
¿Tiene requisitos específicos?
Contáctenos para una revisión detallada de seguridad o para una plantilla de DPA.
Contáctenos