CÓMO PROTEGEMOS TUS DATOS
Política de seguridad
Política interna de seguridad de la información
Documento 19 --- Dossier Legal Leggado.digital + Upbrok v3.1 FINAL
Titular responsable Ángel Seisdedos Gavira, persona física ------------------------- ---------------------------------------------------------------------------------- DNI 45660354H Domicilio Calle Miguel Vázquez Delgado, 36, 3.º C, 41300 San José de la Rinconada, Sevilla Colegiación ICAS --- número 15891 Versión / Fecha 3.1 FINAL --- 15 de mayo de 2026
Dado el tipo de datos tratados, Leggado.digital y Upbrok deben operar bajo principios de mínimo privilegio, cifrado, trazabilidad, segregación de entornos, revisión humana en entregas sensibles y control estricto de accesos administrativos.
Medidas mínimas
MFA obligatorio para administradores y desarrolladores con acceso a producción.
Cuentas nominales, prohibido compartir credenciales.
Gestor de contraseñas corporativo.
Acceso a producción solo cuando sea necesario y registrado.
Cifrado de datos sensibles en reposo y tránsito.
Backups automáticos, cifrados y probados.
Separación producción/staging/desarrollo.
Datos reales anonimizados en staging.
Control de proveedores y subencargados.
Revisión periódica de permisos.
Procedimiento de baja de accesos al terminar colaboración.
Registro de cambios legales y técnicos.
No guardar secretos en repositorios.
Rotación de claves tras incidentes o cambios de personal.
Revisión de vulnerabilidades antes de go-live.
Política de retención formalizada. Los plazos de conservación se aplican por categoría de datos conforme al cuadro consolidado de retención, anexo a la política de privacidad: datos fiscales y contables seis años (artículo 30 del Código de Comercio); pruebas de consentimiento, registros de comunicaciones comerciales y bajas LSSI cinco años; registros de derechos ARCOPOL cinco años; logs de auditoría de accesos administrativos tres años; cuentas inactivas bloqueo a veinticuatro meses y supresión a seis años conforme al artículo 32 de la Ley Orgánica 3/2018; documentación de procedimientos post-fallecimiento e incapacidad cinco años desde el cierre. Los plazos son auditables y se ejecutan mediante jobs automáticos de borrado o bloqueo por categoría.