Trust Center — APLIUM Label

En esta página

Seguridad de los datos
Privacidad y GDPR
Continuidad y disponibilidad
Cumplimiento y marcos sectoriales
Reporte responsable de vulnerabilidades
Contacto del equipo de seguridad

🔒 1. Seguridad de los datos

Cifrado

🔐 En tránsito

TLS 1.3 obligatorio en todas las conexiones. HSTS activado. Sin downgrade a HTTP.

💾 En reposo

AES-256 para base de datos, backups y almacenamiento de archivos en IBM Cloud.

👤 Credenciales

Contraseñas almacenadas con bcrypt (cost factor 12). Credenciales ERP cifradas con AES-256-GCM.

🔑 2FA / MFA

Disponible para todos los planes vía TOTP (Google Authenticator, Authy, 1Password, etc.).

Ubicación de los datos

🇪🇸 Todos tus datos se almacenan en territorio español.

Infraestructura: IBM Cloud, CPD en Madrid (España).
Bases de datos y archivos: exclusivamente en territorio español, UE.
Motor IA: IBM watsonx (familia Granite), ejecución en IBM Cloud Madrid.
Transferencias internacionales: ninguna fuera del Espacio Económico Europeo (EEE).

Backups y restauración

Tipo	Frecuencia	Retención	RPO objetivo	RTO objetivo
Snapshot base de datos	Diaria (00:00 CET)	30 días rolling	24 horas	4 horas
Snapshot archivos / etiquetas	Diaria (02:00 CET)	30 días rolling	24 horas	4 horas
Backups extendidos (Enterprise)	Configurable por contrato	Hasta 1 año	Negociable	Negociable

RPO (Recovery Point Objective) = máxima pérdida tolerable de datos. RTO (Recovery Time Objective) = tiempo máximo de restauración. Valores indicativos basados en infraestructura actual IBM Cloud.

Aislamiento multi-tenant

APLIUM Label es una arquitectura SaaS multi-tenant con aislamiento lógico a nivel de fila (empresa_id en todas las tablas operativas). Cada query operacional se filtra obligatoriamente por empresa_id; las consultas cross-tenant están restringidas al rol de superadministrador interno y auditadas.

Tests de seguridad

Realizamos revisión de seguridad continua mediante:

Escaneo de dependencias en cada despliegue (composer audit).
Revisión manual de código para cambios sensibles (autenticación, pagos, exportación de datos).
Tests de penetración externos: en evaluación para 2026.

Resúmenes ejecutivos de tests pasados disponibles bajo NDA para clientes Enterprise (contacta a aplium@aplium.com).

📋 2. Privacidad y GDPR

Rol de APLIUM en el tratamiento de datos

APLIUM actúa como encargado del tratamiento (art. 28 RGPD). El responsable del tratamiento es la empresa cliente que utiliza el servicio para gestionar la información de sus operaciones (productos, lotes, proveedores, empleados, etc.). APLIUM trata esos datos exclusivamente conforme a las instrucciones documentadas del cliente.

DPA — Data Processing Agreement

Ponemos a disposición de cualquier cliente un Acuerdo de Tratamiento de Datos conforme al art. 28 RGPD. Está disponible en formato HTML legible y PDF descargable, e incluye:

Objeto, duración, naturaleza y finalidad del tratamiento.
Tipo de datos personales tratados y categorías de interesados.
Obligaciones del encargado (confidencialidad, medidas técnicas y organizativas, asistencia ante DSAR y brechas).
Lista de subprocesadores autorizados.
Cláusulas tipo (SCC) para transferencias internacionales (no aplican hoy — todos los datos en UE).

→ Consultar DPA completo

Subprocesadores

Solo trabajamos con proveedores que ofrecen garantías suficientes en cumplimiento del RGPD. Mantenemos una lista pública y actualizada de subprocesadores, junto con su ubicación y salvaguardas contractuales.

→ Lista completa de subprocesadores

Derechos del interesado (DSAR)

Cualquier persona física cuyos datos sean tratados por APLIUM puede ejercer sus derechos GDPR (acceso, rectificación, supresión, limitación, oposición y portabilidad) escribiendo a aplium@aplium.com. Plazo de respuesta: 30 días naturales (RGPD art. 12.3).

Notificación de brechas

En caso de brecha de seguridad que afecte a datos personales, notificaremos a los clientes afectados en un plazo máximo de 72 horas desde el momento en que tengamos constancia, conforme al art. 33 RGPD. La notificación incluirá: naturaleza de la brecha, categorías y volumen aproximado de datos afectados, medidas adoptadas y de mitigación.

DPO — Delegado de Protección de Datos

APLIUM Aplicaciones Telemáticas, S.L.U. es PYME y, conforme al art. 37 RGPD, no está obligada a designar un DPO formal. No obstante, gestionamos las cuestiones de privacidad centralizadas en aplium@aplium.com.

→ Política de Privacidad completa

⚡ 3. Continuidad y disponibilidad

SLA por plan contratado

Cada plan tiene un SLA específico de disponibilidad, ventanas de mantenimiento y tiempos de respuesta de soporte. Los créditos por incumplimiento están definidos por contrato.

→ Consultar SLA completo por tier

Status page

Estamos preparando una página pública de estado en tiempo real (status.aplium.com) que mostrará el uptime histórico por componente y los mantenimientos programados. Próximamente.

Mientras tanto, los incidentes relevantes se comunican por email a los administradores de las empresas clientes y desde el banner superior del panel.

Plan de continuidad

APLIUM cuenta con un plan de continuidad básico basado en:

Infraestructura redundante de IBM Cloud (alta disponibilidad de instancia + servicios gestionados).
Backups diarios automáticos en zona de disponibilidad separada.
Runbooks de recuperación documentados para incidentes principales (caída de DB, caída de aplicación, brecha de seguridad).
Contactos de escalado 24/7 para clientes con plan Enterprise.

📜 4. Cumplimiento y marcos sectoriales

Hemos diseñado APLIUM Label desde el primer día para alinearse con los marcos regulatorios europeos y los estándares de la industria alimentaria. A continuación, el estado real y honesto de cada uno:

GDPR / RGPD

✅ Cumplimiento vigente

Reglamento UE 2016/679 + LOPDGDD 3/2018. Aplicable como ley. Auto-evaluación interna y revisión legal periódica.

LSSI-CE

✅ Cumplimiento vigente

Ley 34/2002 de Servicios de la Sociedad de la Información. Información del prestador, banner cookies granular y políticas legales publicadas.

ISO 22000 / FSSC 22000

🟢 Soporte alineado

APLIUM Label está diseñada para soportar a empresas alimentarias que cumplen ISO 22000. APLIUM como empresa SaaS no se certifica directamente; ofrecemos las herramientas para cumplir.

IFS Food / BRCGS

🟢 Soporte para auditorías

Funcionalidades diseñadas para facilitar auditorías IFS Food 8 y BRCGS Food Safety v9. Export auditor-ready en PDF y JSON.

Reglamento UE 178/2002

🟢 Trazabilidad <4h

Soporte completo para Art. 18-19 (trazabilidad general) y Art. 50 (RASFF). Simulador de recall integrado.

PPWR (UE 2025/40)

🟢 Módulo en producción

Reglamento de envases y residuos de envases. Countdown a obligaciones 2026-2040, gap analysis y reporting integrado.

EUDR (UE 2023/1115)

🟢 Simulador disponible

Reglamento de deforestación. Diligencia debida para commodities afectadas. Aplicable a partir de 30/12/2026 para grandes operadores.

GS1

🟢 Estándares soportados

GTIN, SSCC, GLN, AI generales de GS1, códigos GS1-128 e ITF-14, EPCIS para trazabilidad.

Última actualización del estado de cumplimiento: 15 mayo 2026. Revisamos este apartado trimestralmente o con cada cambio normativo relevante.

🐛 5. Reporte responsable de vulnerabilidades

Si has descubierto una vulnerabilidad de seguridad en APLIUM Label, agradecemos un reporte responsable que nos permita corregirla antes de que se haga pública.

¿Cómo reportar?

Email: aplium@aplium.com con asunto «[SECURITY]».
Información a incluir: descripción, pasos para reproducir, impacto estimado, tu nombre/alias para crédito.
Confidencialidad: trataremos tu reporte de forma confidencial. No tomaremos acciones legales si actúas de buena fe.

Política de divulgación coordinada

Acusamos recibo en 48 horas laborables.
Confirmación o descarte de la vulnerabilidad en 5 días laborables.
Plazo de corrección objetivo: 90 días desde el reporte para vulnerabilidades de severidad alta o crítica.
Tras la corrección, podemos publicar un agradecimiento (con tu consentimiento) en una sección de reconocimientos futura.

Fuera del alcance

Ataques de denegación de servicio (DoS / DDoS).
Ingeniería social o phishing al personal de APLIUM.
Vulnerabilidades en infraestructura de terceros no gestionada por APLIUM (IBM Cloud, Stripe, Redsys, navegadores).
Issues en versiones obsoletas no soportadas.

📨 6. Contacto del equipo de seguridad

¿Tienes preguntas sobre seguridad, privacidad o compliance?

Nuestro equipo responde a equipos de seguridad, abogados internos y compradores corporativos que necesitan validar APLIUM antes de contratar.

📧 aplium@aplium.com

También puedes solicitar:

DPA personalizado (Enterprise/Corporate).
Resumen ejecutivo de seguridad bajo NDA.
Cuestionario de seguridad (CAIQ-style) para tu proceso de procurement.
Demo técnica con tu equipo de IT/security.

Última actualización del Trust Center: 15 mayo 2026. APLIUM se compromete a actualizar este documento cada vez que cambien las condiciones materiales descritas (subprocesadores, certificaciones, ubicación de datos).

← Volver al inicio · Aviso Legal · Privacidad · Cookies · Términos

Tu confianza, nuestro compromiso