Seguridad

Seguridad en la que puedes confiar

Disqua está construido con seguridad en cada capa — desde el almacenamiento de datos en la UE y el cifrado TLS 1.3 hasta el SSO empresarial y registros de auditoría completos.

🇪🇺

Alojado en la UE

Todos los datos en centros de datos de la UE

Conforme al RGPD

Alojado en la UE; DPA disponible para todos los planes

TLS 1.3

Todas las conexiones cifradas en tránsito

99.9% SLA

Garantía de disponibilidad para planes Business

Autenticación y acceso

Gestión de identidades y accesos de nivel empresarial

Desde la autenticación de dos factores TOTP hasta SAML SSO con los principales proveedores de identidad, Disqua da a tu equipo de TI los controles que necesita.

  • Autenticación de dos factores TOTP

    Funciona con Google Authenticator, Authy y cualquier app TOTP. Códigos de respaldo para recuperación de cuenta.

  • SAML SSO — Business y Enterprise

    Okta, Azure Active Directory, Google Workspace, OneLogin y cualquier proveedor de identidad SAML 2.0.

  • OAuth SSO

    Inicio de sesión con Google o GitHub en todos los planes. Restringe el espacio de trabajo a un dominio de correo específico.

  • Lista de IP permitidas — Business y Enterprise

    Restringe el acceso al espacio de trabajo a direcciones IP o rangos CIDR específicos. Bloquea el acceso desde fuera de tu red corporativa.

  • Gestión de sesiones

    Ve todas las sesiones activas con dispositivo, navegador y ubicación. Revoca cualquier sesión al instante. Los tokens de acceso JWT expiran en 15 minutos.

Estándares de seguridad

GDPR

EU Regulation 2016/679

TLS 1.3

Encryption in transit

AES-256

Encryption at rest

bcrypt

12 rounds, passwords

OWASP

Top 10 protection

HSTS

max-age 63072000

CSP

Content Security Policy

2FA

TOTP + backup codes

Protección de datos

Tus datos, protegidos desde el diseño

No vendemos tus datos. No los explotamos. Facilitamos exportarlos o eliminarlos en cualquier momento.

Cifrado en reposo

Todos los datos almacenados en nuestros servidores se cifran con AES-256. Las copias de seguridad de la base de datos se cifran antes de transferirse.

Residencia de datos en la UE

Todos los datos se almacenan y procesan dentro de la Unión Europea. Nunca transferimos tus datos fuera de la UE sin tu consentimiento explícito.

Exportación de datos RGPD

Exporta todos los datos de tu espacio de trabajo en cualquier momento en formato JSON. Derecho de supresión — elimina tu cuenta y todos los datos asociados permanentemente.

Acuerdo de procesamiento de datos

Un DPA conforme al RGPD está disponible para todos los clientes (incluido Free). Cubre subencargados, notificaciones de brechas y derechos de auditoría.

Notificación de brechas

Notificamos a los clientes afectados dentro de las 72 horas tras descubrir una brecha de datos, conforme al artículo 33 del RGPD.

Registro de auditoría — Business+

Rastro de auditoría completo de quién hizo qué, cuándo y desde dónde. Filtra por usuario, acción, rango de fechas. Exportable para informes de cumplimiento.

Infraestructura

Reforzado desde la base

Nuestra infraestructura está diseñada con defensa en profundidad — múltiples capas de seguridad desde el borde de la red hasta el código de la aplicación.

1

Apache2 + mod_security

Firewall de aplicaciones web en la capa de reverse proxy. OWASP Core Rule Set activado. Limitación de tasa por IP y por token.

2

Fail2ban + firewall ufw

Protección contra fuerza bruta en todos los endpoints de auth. Baneo automático de IP tras intentos fallidos repetidos. Reglas estrictas de firewall entrante.

3

Límites de tasa Redis sliding window

Limitación de tasa por usuario y por endpoint. Limitación de WebSocket por conexión. Protege contra abuso y credential stuffing.

4

Pruebas de seguridad continuas

Análisis automatizado de vulnerabilidades y dependencias, además de refuerzo OWASP Top 10 en toda la pila. Hay revisiones de seguridad independientes de terceros disponibles para clientes Enterprise bajo NDA a petición.

Divulgación responsable

¿Encontraste una vulnerabilidad? Dínoslo.

Nos tomamos en serio los informes de seguridad. Si has descubierto un posible problema de seguridad en Disqua, queremos saberlo.

Escríbenos

security@disqua.com

Tiempo de respuesta

Confirmamos todos los informes en 48 horas y proporcionamos un calendario de resolución.

Clave PGP

Disponible a petición para comunicación cifrada. Huella compartida en el primer contacto.

Salón de la fama

Los investigadores que divulgan de forma responsable vulnerabilidades válidas reciben crédito público (con permiso).

Ten en cuenta: No pruebes contra datos de clientes en producción. Usa tu propia cuenta de prueba. No autorizamos ninguna prueba que pueda afectar a otros usuarios.

EU & GDPR

Built for European teams

Disqua is operated from the EU, with GDPR-aligned processing and the paperwork European companies actually need.

🇪🇺

EU hosting

Production infrastructure runs in EU data centers. Your messages, files and helpdesk tickets are stored and processed in the European Union.

GDPR-aligned, DPA available

Data processing follows GDPR principles, and a Data Processing Agreement is available for your compliance records.

Read the DPA →

Processing transparency

Our privacy policy and DPA describe what data we process, why, and which sub-processors are involved — no guesswork for your DPO.

Ticket translation via DeepL

Helpdesk tickets can be translated per message or per thread via DeepL, so agents can support customers across European languages without leaving the ticket.

Invoices with EU VAT support

Billing supports EU VAT IDs and issues invoices with a proper VAT breakdown, so your finance team gets documents they can actually file.

¿Preguntas sobre seguridad?

Nuestro equipo de seguridad responderá con gusto a las preguntas de prospectos empresariales, completará cuestionarios de cumplimiento y proporcionará documentación.

Contactar al equipo de seguridad Descargar DPA →

Read more about how Disqua handles your data and where it's hosted:

GDPR & EU hosting Data Processing Agreement Privacy policy Helpdesk
Start free