1. Acerca de esta página
Esta página es mantenida por MIKUJY Sàrl para responder a preguntas frecuentes de seguridad y privacidad sobre mikujy.com y la plataforma MIKUJY. Describe los controles actualmente implementados; no constituye una certificación independiente.
Para documentos detallados (DPA, cuestionarios de seguridad, subencargados), escriba a info@mikujy.com.
2. Alojamiento e infraestructura
- Alojamiento principal: Lovable / Cloudflare (edge global con réplicas en la UE) para el sitio público.
- Base de datos y autenticación: Supabase (Fráncfort, UE), con Row-Level Security activada en todas las tablas de la aplicación.
- Nombre de dominio y correo electrónico profesional: Infomaniak (Suiza).
- HTTPS/TLS obligatorio en todos los endpoints públicos (HSTS activado).
3. Protección de datos
- En tránsito: TLS 1.2+ para todas las conexiones públicas y administrativas.
- En reposo: cifrado a nivel de almacenamiento gestionado por nuestros proveedores de alojamiento (Supabase, Cloudflare R2).
- Aislamiento: políticas RLS definidas por organización, separación estricta de roles de aplicación.
- Secretos: gestionados en la caja fuerte de la plataforma, nunca en el código fuente.
4. Control de acceso
- Principio de mínimo privilegio para los accesos administrativos.
- MFA requerido para cuentas internas con acceso a producción.
- Registros de auditoría de accesos sensibles conservados durante 12 meses.
5. Subencargados
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Lovable / Cloudflare | Alojamiento web, CDN, protección DDoS | UE / edge global |
| Supabase | Base de datos de la aplicación, autenticación, almacenamiento | UE (Fráncfort) |
| Resend | Envío de correos electrónicos transaccionales | UE / EE. UU. |
| Infomaniak | Dominio y buzones de correo electrónico | Suiza |
| Google (GA4 / Ads) | Analítica y publicidad (basadas en el consentimiento) | EE. UU. |
6. Respuesta a incidentes y divulgación responsable
En caso de incidente de seguridad que afecte a datos de clientes, MIKUJY notifica a los clientes afectados en un plazo de 72 horas desde que tiene conocimiento, de conformidad con el RGPD (art. 33).
Notificar una vulnerabilidad: info@mikujy.com — consulte también security.txt. Acusamos recibo en un plazo de 3 días laborables y nos comprometemos a no emprender acciones contra investigadores que actúen de buena fe.
7. Certificaciones y responsabilidad compartida
MIKUJY no dispone actualmente de certificaciones propias ISO 27001, SOC 2 o HDS. Nos apoyamos en las certificaciones de nuestros subencargados (Cloudflare, Supabase, Google), documentadas en sus respectivas páginas Trust.
Responsabilidad compartida: MIKUJY es responsable de la seguridad de la plataforma y de los datos que nuestros clientes almacenan en ella. El cliente sigue siendo responsable de la gestión de sus cuentas, sus permisos de acceso y los datos que decide importar.