Transparencia operativa para auditores, DPOs y clientes que firman cumplimiento. Documentamos qué hacemos cuando algo va mal, cuándo y a quién avisamos.
Sentry, monitores de uptime y reportes responsables a security@anoply.eu disparan la alerta inicial. Cualquier persona del equipo confirma la incidencia en menos de 15 minutos durante horario laboral, 2 horas fuera de él.
Se aísla el servicio afectado, se desactivan claves comprometidas si las hay y se documenta el alcance preliminar. Anoply NO recibe contenido de los documentos del usuario, por lo que el alcance nunca incluye material confidencial procesado por el cliente.
Si la incidencia afecta a datos personales con alto riesgo para los derechos de los interesados, notificamos a la AEPD y al usuario afectado por email en menos de 72 h desde la detección. La notificación incluye naturaleza, datos afectados, medidas tomadas y recomendaciones.
Publicamos en /changelog un resumen del incidente: causa raíz, ventana de impacto, datos afectados y acciones correctivas. Los detalles técnicos se comparten con los clientes Despacho/Enterprise bajo NDA cuando procede.
Respuesta al reporte responsable de seguridad en menos de 48 h hábiles.
Notificación a AEPD y usuarios en menos de 72 h cuando hay alto riesgo.
Postmortem público en /changelog con causa raíz y mitigaciones aplicadas.
No ocultamos incidentes que afecten al servicio aunque no afecten a datos.
Los clientes Despacho y Enterprise tienen canal directo con el fundador.
Estas tres propiedades se mantienen incluso en el peor escenario, porque están construidas en cómo funciona Anoply, no en cómo respondemos.
Una brecha en Anoply NUNCA puede exponer el contenido de los documentos de los usuarios, porque ese contenido no llega a nuestra infraestructura. Las cápsulas se procesan en el navegador del usuario.
Una brecha NUNCA puede revelar la passphrase de un usuario porque no la almacenamos. Cifrado y descifrado del mapa de reversión ocurren en el cliente.
Si el servicio queda inoperativo, los archivos .anpx siguen siendo reversibles con el script Python de referencia publicado en /spec.
Escribe a security@anoply.eu con el asunto «Reporte responsable» y la descripción técnica. Confirmamos recepción en menos de 24 h hábiles y damos seguimiento hasta cierre. Si descubres un fallo criptográfico o de protocolo en el formato .anpx, premiamos los reportes responsables.