Política de Seguridad de la Plataforma

1. Modelo de responsabilidad

La seguridad de la Plataforma combina controles propios de SINPLEITOS, servicios prestados por proveedores tecnológicos y obligaciones razonables de las personas usuarias. SINPLEITOS es responsable de diseñar, operar y revisar los controles aplicables al servicio bajo su control; los proveedores actúan conforme a sus propios compromisos contractuales y técnicos; y las personas usuarias deben custodiar sus credenciales, dispositivos y comunicaciones.

Cuando SINPLEITOS utiliza proveedores que tratan datos personales por cuenta del Responsable, dicho tratamiento se articula conforme al artículo 28 del RGPD y a la Política de Privacidad. La lista de categorías de proveedores y tratamientos relevantes se mantiene en la documentación de privacidad y cookies, evitando duplicidades o contradicciones en esta Política.

2. Acceso, identidad y sesiones

Las áreas privadas de SINPLEITOS requieren autenticación y validaciones de servidor. El acceso a información sensible se limita mediante controles de rol, permisos y verificación del recurso concreto, de forma que no baste con estar autenticado para consultar expedientes, documentos o datos ajenos.

Para perfiles internos o privilegiados, SINPLEITOS aplica controles reforzados de acceso, incluida autenticación multifactor cuando corresponda conforme a su política interna de seguridad. La configuración exacta de estos controles no se detalla públicamente por razones de seguridad.

Las sesiones, cierres de sesión y cambios de estado se gestionan con criterios de seguridad, minimización y trazabilidad. Cuando sea necesario, la Plataforma puede invalidar sesiones, exigir reautenticación o limitar operaciones para proteger la cuenta, el expediente o la integridad del servicio.

3. Separación de expedientes y permisos

SINPLEITOS aplica controles para separar expedientes, documentos, mensajes y notificaciones entre personas usuarias. Las operaciones sobre recursos sensibles deben verificarse en servidor y vincularse al usuario, rol o expediente autorizado.

Los roles de cliente, gestor, soporte y administración tienen alcances distintos. El acceso interno a datos sensibles se limita a fines operativos, jurídicos, de soporte, cumplimiento o seguridad, conforme a la función asignada y a la necesidad de conocer.

Los estados visibles de un caso, las notificaciones y los indicadores de avance son elementos operativos de la Plataforma. No sustituyen por sí solos las validaciones de permisos ni la documentación contractual o legal aplicable.

4. Protección de documentos y datos sensibles

Los documentos, comunicaciones y datos sensibles se protegen mediante controles de acceso, medidas de cifrado aplicables, limitación de exposición, trazabilidad operativa y revisión de permisos. Las descargas y visualizaciones de documentos privados deben pasar por comprobaciones de autorización antes de facilitar acceso.

SINPLEITOS evita publicar enlaces permanentes a documentación privada y aplica medidas para reducir la exposición accidental de archivos, metadatos o evidencias. Los detalles concretos de almacenamiento, firma, caducidad o control interno no se publican para no debilitar el perímetro de protección.

Los datos personales se tratan con criterios de minimización, limitación de finalidad y conservación proporcionada. La información completa sobre categorías de datos, finalidades, bases jurídicas, conservación y derechos figura en la Política de Privacidad y en la capa explicativa Cómo tratamos tus datos.

5. Prevención de abuso y continuidad

La Plataforma incorpora medidas proporcionadas para reducir accesos automatizados abusivos, cargas anómalas, intentos repetidos, uso indebido de formularios, generación excesiva de eventos, descargas no razonables o consumo injustificado de recursos.

Estas medidas pueden incluir controles de tasa, validaciones de entrada, límites de tamaño, comprobaciones de coherencia, análisis de señales de uso anómalo y mecanismos de degradación segura. SINPLEITOS no publica umbrales, reglas internas ni señales exactas para evitar que puedan ser sorteadas.

La disponibilidad del servicio puede depender de terceros, mantenimiento, incidencias, medidas antiabuso o circunstancias técnicas fuera del control razonable de SINPLEITOS. En esos casos se procurará mantener la continuidad operativa de forma proporcionada y segura, sin prometer disponibilidad absoluta.

6. Evidencias, auditoría y documentos legales

Determinadas actuaciones relevantes pueden quedar asociadas a evidencias técnicas proporcionadas, como fecha, hora, versión documental, trazas mínimas y contexto necesario para acreditar cumplimiento, seguridad o defensa frente a reclamaciones.

La aceptación de documentos legales activos se gestiona como documento jurídico versionado cuando la Plataforma así lo requiere. El inicio de sesión no registra por sí solo una aceptación legal nueva: la aceptación o reaceptación exige el flujo que corresponda en cada caso.

La publicación o actualización de esta Política no condiciona por sí sola el acceso a áreas privadas ni sustituye los flujos de aceptación expresa reservados a documentos contractuales o de privacidad cuando sean necesarios.

7. Monitorización, errores y privacidad

SINPLEITOS puede utilizar herramientas de monitorización técnica, eventos operativos y registros de seguridad para detectar errores, prevenir abuso, analizar incidencias y mejorar la fiabilidad del servicio. Estos tratamientos deben realizarse con criterios de minimización y evitando incorporar datos personales innecesarios.

La analítica, las cookies y otras tecnologías del navegador se rigen por la Política de Cookies y por el panel de preferencias cuando resulte aplicable. Esta Política de Seguridad no sustituye ni anticipa el consentimiento específico que pueda exigirse para tecnologías no necesarias.

8. Incidentes y comunicaciones

Si se detecta una incidencia de seguridad, SINPLEITOS la analizará atendiendo a su alcance, impacto, evidencias disponibles, datos afectados y medidas de contención razonables. Cuando legalmente proceda, se realizarán las comunicaciones oportunas a autoridades o personas afectadas conforme al RGPD y la normativa aplicable.

Las comunicaciones ordinarias de soporte, privacidad, desistimiento o reclamaciones deben dirigirse a los canales indicados en Atención y reclamaciones. Los reportes técnicos de posibles vulnerabilidades tienen un canal específico y no deben mezclarse con soporte general.

9. Reporte responsable de vulnerabilidades

Si identificas una posible vulnerabilidad técnica, utiliza la política específica de Responsible Disclosure / Reporte de vulnerabilidades. Ese documento explica el canal preferente, el alcance, las reglas de buena fe, los límites de prueba y la forma adecuada de preservar evidencias sin poner en riesgo datos de terceros ni la continuidad del servicio.

Esta Política de Seguridad no autoriza pruebas intrusivas, acceso a cuentas ajenas, extracción de datos, denegaciones de servicio, ingeniería social ni actuaciones que excedan la verificación mínima y no destructiva descrita en la política de reporte responsable.

10. Revisión y límites de esta política

SINPLEITOS podrá actualizar esta Política cuando cambien el servicio, los riesgos, la normativa o los controles internos. La versión publicada en esta página será la referencia pública vigente desde su fecha de actualización.

La seguridad es un proceso continuo. SINPLEITOS revisa y mejora sus controles de forma proporcional al riesgo, pero ninguna medida puede eliminar completamente la posibilidad de error humano, fallo técnico, incidente de proveedor o actuación maliciosa.