Enekui
ES · EN Habla con Kari
Transparencia operativa

Transparencia radical.

Auditorías públicas verificables. Sin oscurantismo. Sin marketing. Lo que decimos sobre nuestra infraestructura está, ahora mismo, expuesto a tests independientes que cualquiera puede repetir.

Resultados verificables

Seis auditorías técnicas externas, todas con identificador público y enlace directo. Si algún resultado cambia mañana, también lo verás cambiar aquí.

Internet.nl · Hall of Fame

16 / 16 dominios al 100/100

IPv6 · DNSSEC · TLS 1.3 · HSTS · DKIM · SPF · DMARC Ver Hall of Fame Mozilla Observatory

15 / 16 dominios A+

CSP · HSTS · X-Frame · Referrer · Subresource Integrity Re-escanear ahora Qualys SSL Labs

A+ en cipher posture

TLS 1.3 only · ECDSA P-256 · OCSP stapling · HSTS preloaded Reanalizar TLS HSTS Preload List

Submitido en Chromium

14 dominios del portfolio · max-age=63072000 · includeSubDomains · preload Comprobar estado DNSSEC · DNSViz

Cadena de confianza validada

8 zonas Route53 firmadas · KSK + ZSK rotación automática Ver árbol DNSSEC Status público

Uptime en directo

Histórico 90 días · incidentes públicos · post-mortems Abrir status page

Postura técnica

Las decisiones de seguridad que tomamos por defecto en cada dominio del portfolio. No son configurables porque no hay razón legítima para bajarlas.

  1. TLS 1.3 only. ECDSA P-256, ciphers AEAD modernos, sin fallback a versiones inseguras. Browsers anteriores a 2018 no entran — es un coste asumido.
  2. DNSSEC firmado en cada zona. Validación cliente-servidor obligatoria, KSK + ZSK con rotación automática gestionada por Route53.
  3. HSTS preload submitted. Chrome, Firefox y Safari aplican HTTPS desde el primer request, sin esperar al primer redirect. Sin opción de degradar.
  4. Datos cifrados en reposo y en tránsito. AWS KMS para reposo, TLS 1.3 para tránsito. Sin excepciones, ni siquiera para logs internos.
  5. AWS eu-west-1 Frankfurt e Ireland. Datos europeos, leyes europeas, soberanía digital. Sin réplicas fuera del EEE salvo CDN edge en hash anonimizado.

Sub-procesores RGPD

Listado exhaustivo de terceros que pueden tocar datos personales de clientes. Si alguno cambia, lo verás aquí antes que en cualquier email.

Proveedor Función Localización DPA
AWS Inc. Hosting infraestructura, cómputo, almacenamiento eu-west-1 Frankfurt GDPR Center
Cloudflare Inc. CDN edge + WAF + protección DDoS Edge global · EU data localization activada Customer DPA
SendGrid (Twilio) Email transaccional outbound EU pool Data Protection
Anthropic Modelo conversacional vía Amazon Bedrock eu-west-1 (Bedrock) · sin entrenamiento con datos cliente AWS DPA cubre
GitHub Inc. Repositorios de código fuente y CI/CD EEE compliant · datos source-only GitHub DPA

Última auditoría externa

Cada cambio infra dispara una re-auditoría completa. La fecha que ves es la última vez que un test independiente confirmó la postura.

Última auditoría · 2026-05-05

Postura cross-portfolio confirmada por tres auditores independientes

Internet.nl test #3947582
Mozilla Observatory scan 2026-05-05
SSL Labs reanalyze 2026-05-05
Próxima auditoría programada: continua, tras cada deploy infra

Ver evidencia

Política operativa

Compromisos públicos sobre cómo respondemos cuando algo se mueve.

¿Algo no encaja? Pregúntale a Kari directamente. Sin formulario, sin embudo.

Hablar con Kari