Controles principales
Roles, permisos por modulo, separacion por tenant y principio de necesidad.
Cookies de sesion HttpOnly, SameSite, proteccion CSRF, expiracion de sesion y controles contra acceso no autorizado.
Registro de actividad relevante, eventos de consentimiento, accesos y operaciones criticas segun modulo.
Uso de HTTPS/TLS en la plataforma y cabeceras de seguridad en produccion.
Copias de seguridad y procedimientos de recuperacion segun plan operativo vigente.
Acceso tecnico limitado a lo necesario para soporte, diagnostico, seguridad y mantenimiento.
Gestion operativa
Las incidencias de seguridad se investigan, documentan y, cuando afecten a datos personales, se comunican a los clientes o interesados segun rol, gravedad, obligaciones contractuales y normativa aplicable.
El acceso administrativo se revisa con criterios de necesidad. Cuando el soporte requiere revisar datos de un tenant, se limita el alcance al caso concreto y se conserva trazabilidad razonable de la actuacion.
Medidas por modulo
AquaMail, finanzas, RRHH, LIMS/ELN, CRM y portal pueden contener informacion sensible para el negocio del cliente. Por eso se combinan permisos por rol, segregacion de datos, registros de actividad y controles de interfaz para reducir accesos accidentales o no autorizados.
Limites
Ninguna medida elimina todo riesgo. El cliente debe gestionar sus usuarios, permisos, dispositivos, claves, conectores de correo y politicas internas de uso. AquaVerify puede ayudar a revisar configuraciones cuando se solicite soporte o una auditoria operativa.