Confianza #
Todo lo que un revisor de compras, un delegado de protección de datos o un equipo jurídico necesita para evaluar EthicsPortal.
Última actualización: 2026-05-24.
Parte contratante #
- Nombre del servicio: EthicsPortal
- Operador: Yaroslav Shmarov
- Domicilio registrado: ul. Obrzeżna 1A, 02-691 Varsovia, Polonia
- Número de identificación fiscal (NIP): 5272755790
- Firmante autorizado para acuerdos comerciales, DPA y cuestionarios de seguridad: Yaroslav Shmarov
- Contacto comercial: support@ethicsportal.eu
- Contacto de seguridad: security@ethicsportal.eu
- Contacto de privacidad y protección de datos: privacy@ethicsportal.eu
Las pruebas registrales y los documentos de contratación firmados se facilitan a petición durante el proceso de compras.
Residencia de los datos y relación de encargo del tratamiento #
En el modelo de suscripción estándar, el cliente es el responsable del tratamiento y EthicsPortal actúa como encargado del tratamiento de los datos de las comunicaciones del cliente.
Los datos centrales de las comunicaciones de los informantes, incluidos la aplicación, la base de datos y el almacenamiento de archivos, se alojan en Núremberg, Alemania, en Hetzner . El correo electrónico transaccional se gestiona a través de Mailjet (Francia). El sitio de presentación usa un subencargado del tratamiento no perteneciente a la UE designado, Cloudflare (CDN), enumerado en su totalidad en la página de subencargados del tratamiento . El portal de denuncias y el portal de los gestores no cargan Cloudflare.
Continuidad y personal #
Los datos del cliente son recuperables con independencia de la disponibilidad del operador. En cualquier momento durante la relación y a la salida del contrato, las organizaciones cliente tienen derecho a una exportación completa y legible por máquina de sus datos, además de un período definido de cese de actividad para migrar a un proveedor alternativo. Estas disposiciones figuran en el contrato de encargado del tratamiento y se desarrollan en el plan de continuidad de negocio , que define los desencadenantes de activación, RPO de 24 horas / RTO de 4 horas y el procedimiento de incapacidad del operador.
Copias de seguridad. Volcados cifrados diarios de PostgreSQL a Hetzner Object Storage (UE, conservación de 7 días) más instantáneas a nivel de servidor de Hetzner (conservación de 7 días). Última prueba de restauración: 2026-05-14.
Alcance del personal. Todos los datos del cliente los trata el operador designado. No hay otros empleados ni contratistas: una decisión de alcance deliberada que elimina del modelo de amenazas los riesgos de personal del lado del proveedor (lagunas en la verificación de antecedentes, fugas en altas/bajas, proliferación de contratistas). Los controles de acceso privilegiado del operador designado están documentados y disponibles durante la revisión de compras.
Estado de certificación #
EthicsPortal no reclama actualmente una certificación acreditada ISO 27001 en este sitio. Una prueba de penetración externa independiente no consta actualmente en registro. Cuando cualquiera de las dos cambie, se publicará aquí el nombre de la certificación (o el alcance, la fecha y el resumen de subsanación de la prueba).
En lugar de una certificación acreditada, EthicsPortal publica una autoevaluación estructurada con arreglo a los mismos conjuntos de controles que evaluaría una auditoría externa:
- Un mapa de controles del Anexo A de la ISO/IEC 27001:2022 que cubre los 93 controles, con su estado (Implementado / Autoevaluado / No aplicable / Control compensatorio) e indicadores de prueba para cada uno.
- Un mapa de alineación con las orientaciones de la ISO 37002:2021 que cubre el ciclo de vida de la gestión de denuncias cláusula por cláusula, con la frontera software/operador indicada. (La ISO 37002 es una norma de directrices: ninguna organización puede certificarse con arreglo a ella; la alineación es la única afirmación honesta que cualquier proveedor puede hacer.)
- Documentos de política designados en /policies/ : política de seguridad de la información , plan de continuidad de negocio , registro de riesgos .
- Un cuestionario alineado con CAIQ ya cumplimentado para las preguntas cuyas respuestas ya están documentadas públicamente.
La autoevaluación es la sustancia que una acreditación atestiguaría. EthicsPortal la publica directamente para que un revisor de compras pueda evaluar las mismas pruebas sin esperar a un auditor.
Ciclo de vida operativo #
| Pregunta | Respuesta |
|---|---|
| Disponibilidad en directo | Publicada en secure.ethicsportal.eu/up para las superficies cubiertas. Consulte el acuerdo de nivel de servicio para la metodología de medición y las exclusiones. |
| Ciclo de vida de la sesión y del acceso | Las sesiones expiran automáticamente tras 14 días de inactividad y se barren cada noche. Los usuarios pueden revisar y revocar sus propias sesiones en cualquier momento. Cada sesión registra last_seen_at, de modo que los dispositivos obsoletos son identificables. La desactivación de un miembro corta el acceso en la frontera de la solicitud, anula las asignaciones de comunicaciones abiertas y elimina las participaciones, preservando el historial de auditoría. Consulte Seguridad
. |
| Copias de seguridad y restauración | Volcados cifrados diarios de PostgreSQL a Hetzner Object Storage (UE, conservación de 7 días) más instantáneas a nivel de servidor de Hetzner (conservación de 7 días). RPO de 24 horas, RTO de 4 horas. Última prueba de restauración: 2026-05-14. Consulte Seguridad . |
| Gestión de dependencias y parches | SCA continuo en CI (Brakeman, bundler-audit, importmap audit) más actualizaciones semanales de Dependabot. Sin componentes al final de su vida útil desplegados. Consulte Seguridad . |
| Exportación y supresión | La exportación de expedientes en PDF está disponible en la aplicación para cada caso (descripción, mensajes, registro de auditoría, adjuntos). La exportación masiva y legible por máquina del conjunto completo de datos de la organización está disponible a petición a la salida del contrato. Los compromisos contractuales figuran en el contrato de encargado del tratamiento . |
| Objetivos de recuperación | Consulte el acuerdo de nivel de servicio . |
Posiciones contractuales #
Una única fuente de verdad para las preguntas contractuales que con más frecuencia plantean los equipos de compras empresariales. Cada fila enlaza con el documento que rige.
| Elemento | Posición de EthicsPortal |
|---|---|
| Límite de responsabilidad agregado | 12 meses de tarifas abonadas en los 12 meses anteriores al hecho que dé lugar a la reclamación (Términos §11 ). El contrato de encargado del tratamiento, el acuerdo de nivel de servicio y la indemnización por propiedad intelectual se integran en el mismo límite agregado. |
| Indemnización por infracción de la propiedad intelectual | El operador defenderá al Responsable del tratamiento frente a reclamaciones de terceros por derechos de autor, marcas o patentes derivadas del uso del Servicio de conformidad con los Términos, con sujeción a las exclusiones estándar (modificaciones del cliente, uso no autorizado, combinaciones no autorizadas) y al límite de responsabilidad agregado. Consulte Términos §12 . |
| Plazo de notificación de violaciones de la seguridad | Sin dilación indebida y, en todo caso, en un plazo de 72 horas desde que se tiene conocimiento (DPA §6.6 ), en línea con el Art. 33 del RGPD. No se ofrece contractualmente un plazo más corto en los planes estándar, porque los plazos más cortos arriesgan una notificación prematura y entran en conflicto con el umbral forense exigido por el RGPD. |
| Derechos de auditoría | Conforme al Art. 28(3)(h) del RGPD, con un preaviso de al menos 30 días y durante el horario laboral normal (DPA §6.9 ). El Encargado del tratamiento responderá a los cuestionarios de seguridad por escrito en lugar de una auditoría in situ cuando la revisión del Responsable del tratamiento pueda satisfacerse de ese modo. |
| Créditos de servicio | Los planes estándar no incluyen créditos de servicio monetarios. Los remedios por fallos de disponibilidad materiales o reiterados se rigen por el límite de responsabilidad agregado (SLA ). |
| Claves de cifrado gestionadas por el cliente (BYOK / KMS externo) | No admitidas. Se requieren claves gestionadas por el Encargado del tratamiento para mantener la frontera de claves informante-gestor y la garantía de supresión de extremo a extremo. Consulte DPA §6.11 . |
| Depósito en custodia del código fuente (escrow) | No se ofrece. La continuidad se gestiona a través de las disposiciones de incapacidad del operador del plan de continuidad de negocio y de los derechos de exportación y supresión de datos del Responsable del tratamiento conforme al DPA §6.8 . |
| Aviso de cambio de subencargado del tratamiento | Al menos 30 días antes de añadir o sustituir a un subencargado del tratamiento; el Responsable del tratamiento puede oponerse y resolver si no se alcanza una solución (DPA §6.4 ). |
| Exportación y supresión de datos a la salida | Exportación de expedientes en PDF en autoservicio dentro del producto, más exportación masiva y legible por máquina a petición a la salida, más supresión en un plazo de 30 días desde la terminación de la suscripción a petición por escrito (DPA §6.8 ). |
| Seguro de responsabilidad cibernética | En revisión. El importe de la cobertura y la aseguradora se publicarán aquí cuando estén en vigor. |
| Prueba de penetración externa independiente | Ninguna consta actualmente en registro. El alcance, la fecha y el resumen de subsanación se publicarán aquí cuando se realice una. |
| Ley aplicable y jurisdicción | Leyes de Polonia; tribunales de Varsovia (Términos §13 ). Los consumidores de la UE conservan el derecho a entablar acciones en su país de residencia. |
Estas posiciones se reflejan en los Términos del servicio , el contrato de encargado del tratamiento y el acuerdo de nivel de servicio publicados. No se conceden desviaciones materiales en los planes estándar.
Documentos públicos #
Todo lo que un revisor de compras necesita se publica abiertamente. Agrupado por lo que hace el documento.
Contractuales #
Lo que rige la relación entre EthicsPortal y el cliente.
| Documento | Finalidad |
|---|---|
| Términos del servicio | Términos de suscripción, cancelación, reembolsos, límite de responsabilidad, indemnización por PI |
| Contrato de encargado del tratamiento | Términos de encargo del tratamiento conforme al art. 28 del RGPD |
| Acuerdo de nivel de servicio | Objetivo de disponibilidad y medición |
| Política de privacidad | Cómo se tratan los datos personales |
Operativos #
Cómo funciona el Servicio en el día a día y quién más interviene.
| Documento | Finalidad |
|---|---|
| Seguridad | Medidas técnicas y organizativas |
| Subencargados del tratamiento | Subencargados del tratamiento designados y su alcance |
| Registro de incidentes | Incidentes materiales que afectan a datos personales |
| Accesibilidad | Estado de conformidad con la EAA / EN 301 549 |
Referencia de la Directiva #
Cómo se corresponde EthicsPortal con la Directiva (UE) 2019/1937, y cómo la lee.
| Documento | Finalidad |
|---|---|
| Mapa de cobertura de la Directiva 2019/1937 | Mapa de función a artículo de la Directiva 2019/1937 |
| Interpretaciones de la Directiva 2019/1937 | Posiciones interpretativas sobre las disposiciones ambiguas de la Directiva |
| Leyes de protección del informante por país | Transposiciones nacionales, autoridades de aplicación |
| Sanciones por país | Multas y responsabilidad penal por Estado miembro |
Autoevaluación #
Documentos de política designados y las correspondencias de controles que evaluaría una auditoría externa.
| Documento | Finalidad |
|---|---|
| Política de seguridad de la información | Declaración de intenciones, alcance, roles, compromisos de control |
| Plan de continuidad de negocio | Desencadenantes de activación, objetivos de recuperación, divulgación de incapacidad del operador |
| Registro de riesgos | Principales riesgos, tratamiento, posición residual |
| Mapa de controles del Anexo A de la ISO/IEC 27001:2022 | Autoevaluación estructurada con arreglo a los 93 controles |
| Cuestionario alineado con CAIQ | Evaluación de seguridad del proveedor ya cumplimentada (estructura de dominios CSA CAIQ v4) |
Disponible durante la revisión de compras #
Los siguientes materiales se comparten en divulgación controlada en lugar de publicarse abiertamente:
- DPA firmado
- Extracto registral y prueba del NIP / fiscal
- Cuestionario de seguridad cumplimentado
- Resumen del acceso privilegiado a producción
- Resumen de respuesta a incidentes
- Respuestas de continuidad de negocio, salida y exportación del cliente
- Resumen de la prueba de penetración externa (cuando conste en registro)
Para solicitarlos, escriba a support@ethicsportal.eu . Para preguntas de revisión de seguridad, escriba a security@ethicsportal.eu .
Última actualización: