FAQ — Seguridad y alojamiento
Esta página resume las cuestiones más frecuentes sobre seguridad y alojamiento. Para una descripción exhaustiva, Omniscol facilita, previa solicitud (o bajo NDA según el caso), los documentos oficiales:
SECURITY_OVERVIEW.md— visión de conjunto pública,SECURITY_ONE_PAGER.md— síntesis para CISO / responsables de seguridad,SECURITY_FULL.md— documentación completa (gobernanza, infraestructura, controles, cumplimiento, respuesta a incidentes),ISO27001_MAPPING.md— correspondencia con los controles ISO 27001,SSI_QUESTIONNAIRE_STANDARD.md— respuestas al cuestionario de seguridad de la información estándar.
Para cualquier consulta de seguridad: security@omniscol.com.
¿Dónde se alojan mis datos?
El aviso legal indica un alojamiento en la Unión Europea, en AWS París y Scaleway. Los compromisos concretos de redundancia, copia de seguridad, retención y disponibilidad dependen del marco contractual aplicable a su cuenta.
¿Cumple Omniscol el RGPD?
Omniscol está diseñado para un uso conforme al RGPD. Consecuencias prácticas:
- Alojamiento exclusivo en la UE (Francia).
- Aislamiento lógico por cliente: ningún acceso cruzado posible entre cuentas.
- Sin elaboración de perfiles, sin reventa de datos, sin uso secundario de los contenidos de su centro.
- Reversibilidad: exportación completa en JSON desde Descargar.
- Tratamiento de las solicitudes de las personas interesadas según el marco contractual y reglamentario aplicable.
¿Está Omniscol certificado según ISO 27001?
No está certificado a día de hoy, pero las prácticas están alineadas con los principios del referencial y siguen un enfoque basado en los riesgos y revisado de forma continua. El detalle de los controles puede facilitarse en el marco contractual o de seguridad adecuado.
¿Cómo se protegen las contraseñas?
Omniscol protege las contraseñas de la siguiente manera:
- Prehash en el lado del cliente con scrypt: su contraseña en texto claro nunca llega a los servidores.
- Almacenamiento en el servidor en forma de hash con sal.
- Ninguna contraseña en texto claro se transmite ni se almacena jamás.
- Ningún administrador de Omniscol puede leer, encontrar ni recuperar la contraseña de un usuario.
En caso de duda sobre la vulneración de una cuenta, el cambio de la contraseña invalida los accesos derivados que dependen de ese secreto, en particular los enlaces de uso compartido asociados a la contraseña de su creador.
¿Están cifradas las comunicaciones?
Los accesos aplicativos públicos utilizan HTTPS. La configuración de exposición de red depende del despliegue elegido y debe verificarse en el marco de seguridad o contractual de la cuenta correspondiente.
¿Cómo funciona la autenticación?
Las sesiones de Omniscol utilizan tokens firmados con una duración de vida limitada; el acceso se renueva mientras el usuario trabaja en la interfaz.
Los enlaces de uso compartido y los tokens de API siguen reglas independientes:
- un enlace de uso compartido puede tener una fecha de caducidad y depende también de la cuenta que lo creó; cambiar la contraseña de esa cuenta o desactivarla invalida los accesos afectados;
- un token de API depende de una clave creada en la interfaz; eliminar esa clave o alcanzar su fecha de caducidad invalida los tokens asociados.
Véase también Enlace de compartición y API de Omniscol.
API: claves y tokens
El acceso a la API se gestiona desde la interfaz con dos objetos visibles:
- Clave — creada con una etiqueta y, si es necesario, una fecha de caducidad. Esta caducidad puede modificarse más adelante.
- Token — generado a partir de una clave, con una lista de puntos de acceso de la API autorizados y su propia caducidad. Esta caducidad no se modifica una vez generado el token; hay que crear un token nuevo.
Buena práctica: una clave por integración, con una etiqueta explícita y una caducidad adaptada a la necesidad. En caso de duda, elimine la clave y cree una nueva.
Véase API de Omniscol.
¿Pueden mis usuarios utilizar su cuenta corporativa (SSO)?
Sí, mediante OIDC / SSO, cuando la configuración está activada en la cuenta. Omniscol admite Google Workspace, Microsoft Entra ID y los proveedores OIDC genéricos.
Cada usuario se conecta entonces con su identidad corporativa y conserva los permisos configurados en Omniscol.
¿Qué protecciones existen frente a intentos de conexión abusivos?
- Las respuestas de autenticación fallida se ralentizan de forma deliberada.
- Las pantallas de administración cuentan con protecciones reforzadas.
- Omniscol no indica si el identificador existe o no: el mensaje sigue siendo genérico.
Ciclo de vida de las cuentas de usuario
- Desactivación sin eliminación — una cuenta desactivada ya no puede conectarse, pero sus datos asociados se conservan.
- Cambio obligatorio en el primer acceso — cuando una contraseña se define manualmente, el usuario debe cambiarla en la primera conexión.
- Restablecimiento — un administrador puede iniciar una puesta a cero sin conocer la contraseña existente.
Seguridad de red y explotación
Los documentos de seguridad facilitados previa solicitud detallan el alojamiento, la separación de red, las reglas de acceso a los datos y los procedimientos operativos aplicables a la cuenta correspondiente.
¿Existe un registro de auditoría?
Sí, cuando la opción de registros y la retención correspondiente están activadas para la cuenta. El perímetro visible depende de las operaciones registradas y de la profundidad configurada por Omniscol. Véase Registro de actividad (logs).
OWASP Top 10
Omniscol aplica controles alineados con los riesgos del OWASP Top 10: control de acceso, cifrado, validación de las entradas, configuración segura, seguimiento de las dependencias, protección de las sesiones y registro. El perímetro exacto puede detallarse en los documentos de seguridad facilitados previa solicitud.
Pruebas de seguridad automatizadas
Se integran controles automatizados en el proceso de desarrollo y despliegue de Omniscol. Su perímetro evoluciona con el producto; los elementos detallados pueden facilitarse en el marco de seguridad adecuado.
¿Cómo realizar una copia de seguridad manual?
El botón Descargar descarga una exportación completa de la cuenta en formato JSON. El archivo debe conservarse con cuidado: contiene los hashes de las contraseñas y el conjunto de los datos personales.
En caso de incidente grave, este archivo puede reenviarse al equipo de Omniscol para su reinyección.
Si la opción Snapshots está activada en la cuenta, también puede automatizar la creación de puntos de copia de seguridad restaurables. Véase Puntos de copia de seguridad.
Historial de incidentes
En el último recuento (febrero de 2026):
- 0 violaciones de datos de clientes (historial acumulado).
- 0 incidentes de seguridad en 2025.
Estas cifras se publican en SECURITY_ONE_PAGER.md, un documento revisado
trimestralmente.