Seguridad

Lectame se utiliza en la educación y la formación. En este contexto se manejan datos de docentes, organizaciones e —indirectamente— participantes. Los tratamos con cuidado y procuramos, en la medida de lo posible, limitar su cantidad.

El texto siguiente describe las medidas a grandes rasgos. Los centros educativos que necesiten detalles adicionales (por ejemplo, para un proceso de licitación) pueden solicitar documentación complementaria a través de [email protected].

Diseñamos Lectame de modo que se necesiten la menor cantidad de datos posible:

• Los participantes en una sesión en directo no necesitan una cuenta y eligen su propio nombre para mostrar: basta con un seudónimo.
• Para los invitados («Empezar gratis») utilizamos un identificador aleatorio en una cookie HttpOnly en lugar de un registro de cuenta.
• No solicitamos fecha de nacimiento, número de teléfono ni datos de dirección al registrar una cuenta.
• Los registros no se conservan más tiempo del necesario (consulta la política de privacidad).

Lectame funciona sobre infraestructura dentro de la Unión Europea. Nuestra base de datos principal y el servicio de autenticación se encuentran en una región de la UE de Supabase; el servidor de aplicaciones está alojado en Hetzner, en Falkenstein, Alemania.

Para la red edge global (CDN, DNS y protección frente a ataques) utilizamos Cloudflare. El procesamiento edge puede tener lugar fuera del EEE; para ello se aplica el Marco de Privacidad de Datos UE-EE. UU. con cláusulas contractuales tipo adicionales.

• En tránsito: todas nuestras conexiones se realizan a través de HTTPS con estándares TLS modernos y HSTS.
• En reposo: el almacenamiento se realiza en plataformas que aplican por defecto el cifrado a nivel de almacenamiento.
• Contraseñas: almacenadas como valores con hash a través de nuestro proveedor de autenticación: nunca vemos tu contraseña en forma legible.

• La autenticación de dos factores (TOTP) está disponible para las cuentas.
• Iniciar sesión desde una ubicación desconocida, o después de cerrar sesión, requiere volver a autenticarse.
• Las medidas de mitigación de abusos previenen los ataques de fuerza bruta contra las contraseñas.
• Por cada cuenta, el usuario puede consultar y finalizar las sesiones activas.

A nivel de base de datos, unas reglas estrictas garantizan que un usuario solo pueda acceder a sus propios datos. Para compartir presentaciones o colaborar con compañeros existe un modelo de autorización independiente en el que el propietario determina quién puede hacer qué.

Dentro de nuestro equipo, el acceso a los sistemas de producción se limita a lo necesario para el mantenimiento, sobre la base de roles separados y accesos auditados.

Monitorizamos los mensajes de error, la disponibilidad y las solicitudes sospechosas dentro de nuestra propia infraestructura. No utilizamos servicios externos de monitorización de errores en los que podrían acabar datos personales de forma involuntaria.

Ante un posible incidente de seguridad, seguimos un procedimiento interno: triaje → contención → análisis → remediación → documentación → aprendizaje. Para las filtraciones de datos se aplica lo siguiente:

• Lectame como encargado del tratamiento: informamos al cliente (el centro educativo u organización) sin demora indebida tras tener conocimiento. El cliente evalúa después si es necesario notificarlo a la autoridad de control y a los interesados. Le prestamos apoyo con la información necesaria para ello.
• Lectame como responsable del tratamiento: en ese caso evaluamos nosotros mismos —sobre la base de la evaluación de riesgos del RGPD— si es necesario notificarlo a la autoridad de control y a los interesados y, en su caso, en qué plazo.

Nuestras bases de datos se respaldan de acuerdo con las políticas de plataforma de nuestros proveedores. Las copias de seguridad están cifradas y permanecen dentro del EEE. Las copias de seguridad rotativas pueden seguir presentes brevemente tras una solicitud de eliminación; según el calendario habitual de copias de seguridad, desaparecen automáticamente.

Utilizamos proveedores cuidadosamente seleccionados. Encontrarás una lista actualizada —incluida la ubicación y la garantía jurídica— en nuestra política de privacidad y en el contrato de tratamiento de datos. Para los cambios de proveedores se aplica el procedimiento del contrato de tratamiento de datos.

• Las solicitudes de IA se envían a nuestro proveedor de IA a través de una conexión cifrada.
• La interfaz advierte explícitamente a los usuarios de que no incluyan datos personales, datos de pacientes ni información confidencial en las indicaciones.
• No utilizamos el material de los usuarios ni las respuestas de los participantes para entrenar modelos de IA.

• Los participantes solo utilizan un código de sesión y un nombre para mostrar elegido por ellos mismos.
• En las páginas para participantes no se cargan herramientas de analítica sin consentimiento.
• Las respuestas solo son visibles para el docente o el administrador de la organización que dirige la sesión.

Agradecemos los informes de investigadores de seguridad y usuarios. Envía tu informe a [email protected]. Preferiblemente con:

• Una descripción concisa del problema.
• Pasos de reproducción o una prueba de concepto.
• El impacto tal y como lo evalúas.
• La forma en que probaste tu hallazgo (fecha, entorno).

Confirmamos la recepción de tu informe y te respondemos en cuanto hayamos llegado a una conclusión. Buscamos un seguimiento cuidadoso; deliberadamente no comprometemos plazos de respuesta fijos. Quien respete estos acuerdos puede contar con una actitud cooperativa y no jurídica por parte de Lectame.

Los centros educativos y organizaciones que necesiten información adicional —por ejemplo, para una EIPD, una licitación o una revisión interna de TI— pueden ponerse en contacto a través de [email protected]. Ponemos a disposición documentación adicional bajo acuerdos de confidencialidad.