Opsio - Cloud and AI Solutions
Confianza y cumplimiento

Experiencia en cumplimiento para empresas reguladas

Opsio opera infraestructura cloud para sectores regulados en Europa y Asia. Esta página documenta cómo tratamos sus datos, qué marcos normativos cubre nuestro equipo y dónde conseguir los documentos contractuales que necesita compras.

Solicitar DPA y pack de seguridadNuestra experiencia
ISMS India
ISO 27001:2022
Encargado del tratamiento
RGPD Art. 28
SLA de disponibilidad
99,9 %
Residencia de datos principal
UE/EEE

Experiencia en cumplimiento

El servicio principal de Opsio es ayudar a empresas reguladas a alcanzar y mantener su postura de cumplimiento. Para cada marco normativo debajo mostramos lo que Opsio mantiene internamente y lo que entregamos a clientes. Documentación disponible bajo NDA para revisión de compras.

  • ISO 27001:2022

    Opsio: alcance India · Programas de cliente

    Opsio: certificados ISO 27001 en nuestro centro de entrega de Bangalore (el alcance cubre personal de operaciones y actividades de desarrollo allí). Para clientes: dirigimos programas completos de implementación de ISO 27001 — análisis de brechas, diseño del SGSI, redacción de políticas, auditoría interna y acompañamiento en las auditorías Etapa 1/Etapa 2. Varios clientes han obtenido la certificación con este enfoque.

  • SOC 2 Type II

    Programas de readiness para clientes

    Opsio: actualmente no atestado SOC 2 como firma. Para clientes: ejecutamos programas de readiness SOC 2 — mapeo de controles, automatización de evidencias, configuración de monitorización y coordinación con auditor durante el periodo de observación. Nuestros arquitectos conocen los criterios de Security, Availability, Confidentiality y Processing Integrity.

  • RGPD (UE 2016/679)

    Encargado según Art. 28

    Opsio: encargado del tratamiento según Art. 28 RGPD para los datos personales del cliente que manejamos durante operaciones gestionadas. Cláusulas Contractuales Tipo establecidas para cualquier transferencia a nuestro equipo en India. Para clientes: soporte en EIPD, redacción de acuerdos responsable–encargado e implementación técnica de herramientas para derechos de los interesados.

  • Directiva NIS2

    Programas de cumplimiento de cliente

    Opsio: prácticas operativas alineadas con las expectativas NIS2 para entidades esenciales e importantes. Para clientes: programas completos de cumplimiento NIS2 — evaluación de aplicabilidad, análisis de riesgos, mapeo de controles del artículo 21, integración de notificación de incidentes al INCIBE-CERT y gestión de riesgo de terceros.

  • HIPAA (clientes EE. UU.)

    BAA disponible · Arquitecturas de cliente

    Opsio: Business Associate Agreement disponible para clientes sanitarios estadounidenses. Para clientes: arquitectura lista para HIPAA en AWS, Azure o GCP con controles de auditoría, cifrado y gestión de cadena BAA. Entregado a varias cargas de trabajo sanitarias de tamaño medio en EE. UU.

  • DORA (UE 2022/2554)

    Programas de cumplimiento de cliente

    Para clientes de servicios financieros: programa de gestión de riesgo TIC según DORA, registro de riesgo de terceros, clasificación de incidentes, programa de pruebas (TLPT) y plantillas de reporte al consejo. Los arquitectos de Opsio han entregado esto para bancos y aseguradoras en España, Suecia y los países nórdicos.

  • DPDPA (India)

    Operaciones India · Programas de cliente

    Opsio: las operaciones del centro de entrega de Bangalore están alineadas con la Digital Personal Data Protection Act de India. Para clientes: evaluaciones de readiness DPDPA, arquitectura de consentimiento, controles de retención y pipelines de notificación de incidentes a CERT-In.

Acuerdo de Encargado de Tratamiento

Opsio actúa como encargado del tratamiento según Art. 28 RGPD para los datos personales del cliente que procesamos en su nombre durante operaciones gestionadas, migración y consultoría.

  • Plantilla estándar de DPA proporcionada en la firma del contrato o bajo solicitud previa para revisión por compras.
  • Soporta Cláusulas Contractuales Tipo de la UE (2021/914) para cualquier transferencia a jurisdicciones no adecuadas, incluido nuestro centro de entrega en Bangalore.
  • El cliente conserva el estatus de responsable del tratamiento y los derechos de decisión sobre clasificación, conservación y eliminación de datos.
  • Los cambios de subencargado se comunican con al menos 30 días de antelación mediante el canal de contacto que indique.
  • Notificación de quiebra de seguridad dentro de 72 horas desde la confirmación, según Art. 33.
Solicitar DPA

Normalmente devolvemos una plantilla DPA firmada en 2 días laborables. Para revisión precontractual podemos firmar un NDA mutuo primero — solicítelo por el mismo correo.

Subencargados

Opsio contrata los siguientes subencargados para prestar los servicios. La lista autoritativa actual se mantiene internamente y se proporciona como anexo al DPA bajo solicitud. La selección de región hiperscaler es configurable por contrato de cliente.

SubencargadoFinalidadRegión de tratamiento
Amazon Web Services (AWS)Hosting, cómputo, almacenamiento y servicios gestionados donde el cliente ha elegido AWSRegión AWS seleccionada por el cliente (eu-north-1, eu-west-1, us-east-1, ap-south-1, etc.)
Microsoft AzureHosting y servicios gestionados donde el cliente ha elegido AzureRegión Azure seleccionada por el cliente
Google Cloud PlatformHosting y servicios gestionados donde el cliente ha elegido GCPRegión GCP seleccionada por el cliente
Google WorkspaceComunicación interna de negocio y gestión compartida de documentosUE
Microsoft 365 (Teams)Reuniones internas y con cliente, chat y colaboración durante los proyectosUE
GitHub / GitLabAlojamiento de código fuente para artefactos de proyectos (Infrastructure-as-Code, scripts)Seleccionada por el cliente por proyecto
OdooERP interno, CRM, seguimiento de proyectos y facturaciónUE
Opsio IndiaOperaciones del centro de entrega para clientes con soporte follow-the-sun contratado; acceso del personal regulado por CCTIndia (Bangalore)

Los clientes pueden oponerse a nuevos subencargados dentro del periodo de aviso de 30 días. Los subencargados específicos de proyecto (agentes de monitorización, plataformas SIEM, etc.) se declaran en el Statement of Work.

Acuerdo de Nivel de Servicio

Los compromisos SLA se documentan en el Master Service Agreement de cada proyecto. El resumen siguiente representa nuestros términos estándar; SLA personalizados de 99,95 % o 99,99 % para cargas críticas están disponibles.

  • Disponibilidad de infraestructura99,9 %

    Medido mensualmente. Créditos de servicio aplicables ante incumplimientos.

  • Respuesta Severidad 115 minutos

    24/7. Impacto en producción, crítico para el negocio.

  • Respuesta Severidad 21 hora

    24/7. Rendimiento degradado, posible workaround.

  • Respuesta Severidad 34 horas laborables

    Horario laboral España o India.

  • Monitorización24/7/365

    Follow-the-sun entre Madrid y Bangalore.

  • Gestión de parchesBase mensual

    Parches de emergencia fuera de ciclo en 48 horas desde la publicación de CVE de gravedad crítica.

Solicitar términos SLA completos

Residencia de datos

Los datos de producción del cliente se procesan en la región cloud que usted elija. Para clientes europeos utilizamos por defecto regiones UE/EEE (AWS eu-north-1 Estocolmo, Azure Sweden Central, GCP europe-north1 Finlandia), salvo que se acuerde otra cosa por contrato.

El personal de Opsio accede a los entornos del cliente mediante cuentas nominadas con MFA y elevación just-in-time. Las operaciones de soporte se llevan a cabo desde Suecia (principal) e India (centro de entrega). El acceso del personal fuera del EEE se regula mediante Cláusulas Contractuales Tipo cuando aplica.

Las copias de seguridad y los registros heredan por defecto la región seleccionada por el cliente. La replicación cross-region para disaster recovery es configurable por el cliente.

Prácticas de seguridad

Cómo protegemos los entornos del cliente de extremo a extremo.

  • Pentesting

    Prueba de penetración anual por tercero contra los sistemas de producción de Opsio. Pentesting específico de proyecto disponible como servicio gestionado a través de nuestro equipo certificado OSCP.

  • Gestión de vulnerabilidades

    Monitorización continua de CVE con SLA basado en gravedad para parchar. Los CVE críticos se parchean en 48 horas desde la divulgación responsable.

  • Identidad y control de acceso

    Cuentas nominadas con SSO obligatorio y MFA obligatoria. El acceso al entorno del cliente está acotado en el tiempo y registrado centralmente. Las credenciales compartidas están prohibidas.

  • Cifrado

    Datos en tránsito: TLS 1.2+ obligatorio. Datos en reposo: cifrado nativo del hiperscaler (AWS KMS, Azure Key Vault, GCP KMS) con claves gestionadas por el cliente disponibles bajo solicitud.

  • Registro y monitorización

    Todo acceso privilegiado se registra, a prueba de manipulación, y se retiene según los requisitos contractuales del cliente. Integración SIEM disponible para clientes con servicios MDR de Opsio.

  • Respuesta a incidentes

    Respuesta a incidentes de seguridad 24/7 con playbooks documentados. Notificación de quiebra de datos personales en 72 horas tras la confirmación, según Art. 33 RGPD.

Divulgación responsable

Los investigadores de seguridad que identifiquen una vulnerabilidad en sistemas operados por Opsio pueden reportarla por correo electrónico cifrado. Nos comprometemos a acusar recibo en un día laborable y a proporcionar un plazo de remediación en cinco días laborables. No emprendemos acciones legales contra investigaciones de buena fe que sigan estas pautas.

Reportar a: security@opsio.se

Contacto de compras y cumplimiento

Para solicitudes de DPA, cuestionarios de seguridad, negociaciones de SLA o cualquier otra cosa que compras necesite para cerrar un acuerdo:

compliance@opsio.se