Seguridad y privacidad

Sus datos residen en la UE

Kit está alojado en Hetzner Cloud en Núremberg, Alemania. Sus datos de selección de personal están cifrados en reposo y en tránsito, protegidos por análisis de seguridad continuo y almacenados dentro de la Unión Europea.

Alojado en la UE (Alemania)
Cifrado en reposo y en tránsito Protegido por Cloudflare Análisis de seguridad en CI

Privacidad y RGPD

Residencia de datos

Todos los datos principales se almacenan en la Unión Europea (Hetzner Cloud, Núremberg, Alemania). No se realizan transferencias rutinarias de datos personales a Estados Unidos con fines de infraestructura.

Cumplimiento del RGPD

Kit está diseñado para facilitar el cumplimiento del RGPD. Proporcionamos un acuerdo de encargado del tratamiento completo, garantizamos los derechos del interesado y ofrecemos herramientas integradas para la exportación, anonimización y gestión de consentimientos.

Acuerdo de encargado del tratamiento

Nuestro acuerdo de encargado del tratamiento cubre todas las cláusulas obligatorias del artículo 28 del RGPD, incluyendo la gestión de subencargados, la notificación de brechas de datos personales, los derechos de auditoría y las garantías para transferencias internacionales.

Consultar nuestro acuerdo de encargado del tratamiento

Gestión de consentimientos

Gestión de consentimientos integrada para datos de candidatos con períodos de retención configurables, expiración automática, flujos de renovación y registro de auditoría.

Cumplimiento normativo

RGPD

  • Acuerdo de encargado del tratamiento disponible
  • Derechos del interesado garantizados (acceso, rectificación, supresión, limitación, portabilidad, oposición)
  • Herramientas de exportación y anonimización de datos
  • Gestión de consentimientos con registro de auditoría
  • Infraestructura ubicada en la UE
  • Cubre también el RGPD del Reino Unido y la FADP de Suiza

ePrivacy

  • Consentimiento de cookies con aceptación explícita para analítica
  • Solo cookies esenciales por defecto
  • Microsoft Clarity restringido a páginas de marketing
  • Cancelación de suscripción con un clic (RFC 8058)

CCPA

  • Sin venta ni cesión de datos personales
  • Eliminación de datos a solicitud del interesado
  • Derecho a conocer qué datos se recopilan
  • No discriminación por el ejercicio de derechos de privacidad

Infraestructura

Alojamiento

Toda la infraestructura funciona en Hetzner Cloud en Núremberg, Alemania (centro de datos nbg1-dc3, zona de red eu-central). Sin subencargados del tratamiento en EE. UU. para la infraestructura principal. Los datos principales de su aplicación se almacenan en la UE.

Residencia de datos

Su base de datos funciona en una red privada sin exposición a internet. Todo el tráfico de base de datos permanece en interfaces locales. Las copias de seguridad están cifradas y almacenadas dentro de la UE.

Infraestructura de correo

Servidor de correo autoalojado en la UE. Los correos de candidatos y las notificaciones nunca pasan por infraestructura de correo estadounidense de terceros. Control total sobre la entrega de correo y la residencia de datos.

Seguridad perimetral

Cloudflare proporciona protección DDoS, firewall de aplicaciones web (WAF) y terminación TLS. El procesamiento en la UE está disponible para los servicios de Cloudflare.

Cifrado

En tránsito

Todas las conexiones están cifradas mediante TLS 1.2 o superior. HSTS está activado. Los endpoints de la API requieren HTTPS.

En reposo

Los campos sensibles de datos personales se cifran a nivel de aplicación (cifrado determinista y no determinista, según proceda). Los volúmenes de almacenamiento están cifrados. Las copias de seguridad están cifradas.

Datos de pago

Todo el procesamiento de pagos es gestionado por Stripe. Kit nunca almacena, procesa ni tiene acceso a números completos de tarjetas de crédito. Stripe cuenta con la certificación PCI DSS Nivel 1.

Seguridad de la aplicación

Análisis de seguridad automatizado

Cada despliegue requiere superar Brakeman (análisis estático de vulnerabilidades en Rails), bundler-audit (verificación de CVE en gemas de Ruby) e importmap audit (verificación de dependencias JavaScript). Ningún código se despliega sin superar estas comprobaciones.

Protecciones del framework

Desarrollado sobre Ruby on Rails 8, que ofrece protección integrada contra CSRF, XSS, inyección SQL y otras vulnerabilidades del OWASP Top 10. Se aplican cabeceras de Content Security Policy.

Revisión de código

Todos los cambios pasan por revisión de pull request antes de fusionarse. El análisis estático automatizado (RuboCop, ERB Lint) garantiza los estándares de calidad del código.

Gestión de dependencias

Alertas automáticas ante dependencias vulnerables. Actualización periódica de versiones del framework y las bibliotecas. Monitorización continua de avisos de seguridad.

Control de acceso

Autenticación

Las contraseñas se almacenan de forma segura mediante hash. La autenticación de dos factores está disponible como opción. Gestión de sesiones con cookies seguras y HTTP-only.

Permisos de equipo

Control de acceso basado en roles (propietario, administrador, miembro) por cuenta. Permisos granulares para las etapas del proceso de selección. Registro de auditoría para acciones sensibles.

Seguridad de la API

Tokens de API basados en JWT con permisos específicos. Limitación de tasa en todos los endpoints de la API. Rotación de tokens disponible.

Acceso interno

Equipo de ingeniería reducido (2-3 personas). Sin credenciales compartidas. Principio de mínimo privilegio para todos los accesos al sistema.

Subencargados del tratamiento

Utilizamos los siguientes proveedores de servicios. Los detalles completos, incluidos los mecanismos de transferencia, se encuentran en nuestro acuerdo de encargado del tratamiento (Anexo 3):

Proveedor Finalidad Ubicación
Hetzner Online GmbH Infraestructura, cómputo, almacenamiento Núremberg, Alemania
Cloudflare, Inc. CDN, DNS, protección DDoS Global (MPD + CCT)
Stripe, Inc. Procesamiento de pagos Estados Unidos (MPD + CCT)
Functional Software, Inc. (Sentry) Monitorización de errores Estados Unidos (MPD + CCT)
Ver la lista completa de subencargados en nuestro ATD

Divulgación de vulnerabilidades

Kit opera un programa de divulgación de vulnerabilidades con un formulario de envío dedicado, triaje estructurado y una política de seguridad publicada. Nos comprometemos a confirmar la recepción de los informes en un plazo de 48 horas.

Enviar un informe de vulnerabilidad Consultar nuestra política de seguridad

Nuestro security.txt está publicado en /.well-known/security.txt

Disponibilidad y estado

Publicamos información de estado en tiempo real, incluyendo el historial de disponibilidad e informes de incidentes.

Ver página de estado

¿Tiene preguntas?

Para consultas sobre seguridad, contáctenos en:

[email protected]

Última actualización: 31 de marzo de 2026