reserveme.ai | AI Operations Platform for Heavy Equipment Teams

Esta página resume las medidas técnicas y organizativas que reserveme.ai aplica para proteger la Plataforma, el Widget y los datos de Cliente, así como el registro actual de subencargados del tratamiento. Es el extracto público de la Política de Seguridad y Subencargados a la que se remite nuestro Acuerdo de Tratamiento de Datos.

1. Marco y ámbito

Nuestras medidas se calibran según el art. 32 del RGPD y la Ley Federal de Protección de Datos suiza (LPD) y cubren la Plataforma, el Widget embebible, las APIs y la infraestructura de backend para extracción por visión por ordenador, inferencia de IA, generación de cotizaciones, mensajería saliente (correo, WhatsApp, SMS) y automatizaciones.

2. Acceso e identidad

Acceso con mínimo privilegio y basado en roles a todos los sistemas de producción con cuentas nominativas únicas. MFA obligatorio para toda persona administradora o de ingeniería con acceso a producción. Revisiones trimestrales de acceso y revocación inmediata por cambio de rol o salida. Está prohibido compartir credenciales nominativas.

3. Cifrado

TLS 1.2+ para todos los datos en tránsito, incluidos el tráfico de la Plataforma, el Widget y nuestras APIs. AES-256 en reposo para bases de datos, almacenamiento de objetos y copias. Gestión de claves mediante el KMS del proveedor cloud con rotación anual. Los documentos cargados por el Cliente (tablas de carga, curvas de capacidad, manuales) se cifran antes de ser procesados por el módulo de visión.

4. Seguridad de red y aplicación

VPC de producción segregada con subredes privadas para almacenes de datos, listas de permitidos en security groups, Web Application Firewall (WAF) y mitigación DDoS. Ciclo de desarrollo seguro con revisión por pares, escaneo de dependencias (SCA), análisis estático (SAST), escaneo de secretos y escaneo de vulnerabilidades preproducción. Pruebas de penetración periódicas por terceros cualificados.

5. Registro, monitorización y respuesta a incidentes

Registro de auditoría centralizado a prueba de manipulación con al menos 12 meses de retención. Detección de intrusiones, alertas de anomalías y guardia 24×7. Nos comprometemos a notificar a los Clientes cualquier violación de datos personales que afecte a sus datos sin dilación indebida y, en todo caso, en un plazo de 72 horas desde que seamos conscientes, conforme al DPA. Las vulnerabilidades pueden reportarse a security@reserveme.ai.

6. Resiliencia y copias

Copias de seguridad cifradas diarias automatizadas con 30 días de retención, recuperación punto-a-tiempo en bases de datos de producción, conmutación multi-AZ y pruebas de restauración documentadas al menos anuales. Uso de regiones de nubes empresariales certificadas bajo SOC 2, ISO 27001 o equivalente para la seguridad física y operativa (AWS, Azure, Google Cloud™).

7. Registro de subencargados

Para prestar la Plataforma utilizamos los siguientes subencargados. La lista está actualizada a la fecha indicada arriba; los Clientes reciben preaviso de al menos 14 días sobre cualquier adición o reemplazo a través de la Política de Seguridad y Subencargados. - Amazon Web Services — infraestructura cloud (cómputo, almacenamiento, bases de datos). EE. UU. y regiones de la UE. Garantía: Cláusulas Contractuales Tipo de la UE + DPA. - Google Cloud Platform™ — inferencia de IA, mapas y rutas, infraestructura complementaria. EE. UU. y UE. CCT UE + DPA. - OpenAI, LLC — inferencia LLM para cotizaciones, mantenimiento y Widget. EE. UU. CCT UE + DPA. - Anthropic, PBC — inferencia LLM (respaldo y tareas especializadas). EE. UU. CCT UE + DPA. - Stripe, Inc. — procesamiento de pagos y facturación de suscripción. EE. UU. e Irlanda. CCT UE + DPA. - SendGrid / Twilio — correo transaccional y SMS enviados en nombre del Cliente. EE. UU. CCT UE + DPA. - Meta Platforms, Inc. — WhatsApp Business API, aprobación de plantillas y metadatos de entrega. EE. UU. e Irlanda. CCT UE + DPA. - Sentry — monitorización de errores pseudonimizada. EE. UU. CCT UE + DPA. - Intercom / HubSpot — soporte y CRM. EE. UU. e Irlanda. CCT UE + DPA.

8. Reporte y contacto

Investigadores de seguridad y Clientes pueden reportar vulnerabilidades, abusos o incidentes a security@reserveme.ai. Aporte pasos para reproducir, endpoints afectados y evidencias; acusaremos recibo y triaje en horario laboral suizo. Se agradece la divulgación coordinada — evite acceder a datos de Cliente, ejecutar escaneos intrusivos en producción o usar herramientas automáticas de explotación.

Contacto de seguridad

Para reportar una vulnerabilidad o incidente de seguridad, contacte directamente a nuestro equipo.

security@reserveme.ai