JOBO

La presente Política de Seguridad describe las medidas técnicas y organizativas que JOBO PEOPLE TECHNOLOGIES, S.L., con CIF B88736665 (en adelante, “JOBO”), aplica para garantizar la confidencialidad, integridad y disponibilidad de los datos tratados en la Plataforma joboapp.es, así como el procedimiento de notificación de brechas de seguridad conforme a los artículos 32, 33 y 34 del RGPD.

1. Marco normativo

Reglamento (UE) 2016/679 (RGPD), arts. 32 (seguridad), 33 (notificación a la autoridad) y 34 (notificación al interesado).
Ley Orgánica 3/2018 (LOPDGDD).
Esquema Nacional de Seguridad (Real Decreto 311/2022) — referencial, sin certificación a fecha de hoy.
Reglamento (UE) 2024/1689 (AI Act) en lo relativo a la robustez técnica de los sistemas de IA de alto riesgo.

2. Medidas técnicas

Cifrado en tránsito: TLS 1.3 obligatorio en todas las comunicaciones con la Plataforma (Firebase App Hosting + HSTS).
Cifrado en reposo: AES-256 a nivel de proveedor en Neon PostgreSQL (base de datos), Firebase Storage (CV y vídeos) y Google Secret Manager (credenciales).
Autenticación: Firebase Authentication con verificación de email, soporte de proveedores federados (Google) y session tokens firmados.
Control de acceso: autorización por rol (admin/empresa/candidato) verificada en cada Server Action y API route. Aislamiento de tenants por companyId/uid a nivel de consulta Prisma.
Aislamiento de entornos: tres ramas (main/development/pruebas) con bases de datos Neon independientes y credenciales Doppler separadas (prd/qa/prb). Datos de producción nunca se copian a entornos no productivos.
Telemetría y monitorización: Sentry (errores), Google Cloud Logging (acceso), alertas automáticas en errores críticos.
Gestión de secretos: Doppler como fuente única, sin secretos en código ni en repositorio Git.
Pagos: tokenización completa vía Stripe (PCI-DSS Level 1). JOBO no almacena datos de tarjeta.

3. Medidas organizativas

Acceso a sistemas productivos restringido al personal estrictamente necesario, con autenticación 2FA obligatoria.
Revisión de código por pares antes de cada despliegue a producción (PR review obligatorio en main).
Auditoría continua por bloques (ver docs/audit-architecture.md) sobre las 11 dimensiones de seguridad, privacidad, IA y cumplimiento.
Subprocesadores con DPA firmado (ver Acuerdo de Encargado del Tratamiento para el listado completo).
Plan de continuidad: backups automáticos diarios en Neon con punto de recuperación de hasta 7 días en entorno productivo.

4. Notificación de brechas de seguridad

En caso de detectarse una brecha de datos personales, JOBO actuará conforme al siguiente procedimiento:

A la AEPD (art. 33 RGPD): notificación en un plazo máximo de 72 horas desde el conocimiento efectivo de la brecha, salvo que sea improbable que constituya un riesgo para los derechos y libertades.
A los interesados afectados (art. 34 RGPD): comunicación sin dilación indebida cuando la brecha entrañe un alto riesgo para sus derechos, mediante email a la dirección registrada y aviso destacado en la Plataforma.
A las empresas clientes cuando JOBO actúe como encargado del tratamiento: notificación inmediata vía email para que la empresa pueda cumplir su propia obligación del art. 33.

5. Comunicación de incidentes y divulgación responsable

Si has identificado una vulnerabilidad de seguridad o una posible brecha en la Plataforma, te pedimos que nos lo comuniques de forma responsable a través del siguiente canal:

Email: dpo@joboapp.es con el asunto [BREACH] o [SECURITY].
Plazo de primera respuesta: 5 días hábiles.
Compromiso: JOBO no emprenderá acciones legales contra investigadores de seguridad que actúen de buena fe, no accedan a datos de terceros más allá de lo estrictamente necesario para demostrar la vulnerabilidad, y nos den un margen razonable para mitigar antes de divulgación pública.

6. Revisión