Medidas Técnicas y Organizativas (MTO) - TRACE.App

Las presentes Medidas Técnicas y Organizativas (MTO) describen las disposiciones de seguridad que TRACE Electricity GmbH implementa conforme al Art. 28(3)(c) RGPD y el Anexo II de las Cláusulas Contractuales Estándar de la UE (CCE, Decisión 2021/914) para el servicio TRACE.App. Las medidas se aplican a todos los datos personales tratados en el marco del servicio TRACE.App.

• La infraestructura de servidores se opera exclusivamente en centros de datos de AWS (certificados ISO 27001, SOC 2 Tipo II). AWS garantiza un control de acceso físico integral, incluyendo autenticación multifactor, videovigilancia y personal de seguridad.
• No existe acceso físico a los servidores por parte del personal de TRACE. TRACE Electricity GmbH administra la infraestructura exclusivamente a través de accesos remotos cifrados mediante API.
• Infraestructura CDN y de borde de Cloudflare con Puntos de Presencia (PoP) globales certificados con ISO; la seguridad física recae íntegramente en Cloudflare.
• El acceso a las instalaciones de TRACE en Hamburgo está protegido mediante un sistema de cierre electrónico con credenciales personalizadas y registro de acceso.

• La autenticación de doble factor (2FA/MFA) es obligatoria para todos los sistemas internos, consolas de nube (AWS Management Console) y plataformas de desarrollo (GitHub).
• Autenticación multifactor (MFA): Para todas las cuentas de administrador (administradores de empresas B2B) la MFA está activada de forma obligatoria. Para las cuentas de usuario final habituales, la MFA se recomienda encarecidamente y puede ser activada de forma obligatoria por el administrador.
• Gestor de contraseñas (1Password o Bitwarden) para todos los empleados; requisitos mínimos: 16 caracteres, regla de complejidad (mayúsculas/minúsculas, caracteres especiales, cifras). Prohibida la reutilización de contraseñas.
• Control de acceso basado en roles (RBAC) según el principio de mínimo privilegio (Least Privilege). Los derechos de acceso se revocan inmediatamente en caso de cambio de función o baja.
• Cierre de sesión automático tras 30 minutos de inactividad en todas las interfaces de administración internas.
• Todas las credenciales se almacenan exclusivamente cifradas; las contraseñas en texto claro no se persisten en ningún punto.

• Los accesos a la base de datos se realizan exclusivamente a través de endpoints API autenticados y autorizados. No existen conexiones directas a la base de datos desde el frontend.
• Todos los accesos del personal a los sistemas en producción y a los datos de los clientes quedan registrados y son auditables (pistas de auditoría).
• La base de datos de producción está configurada sin acceso directo por parte de los desarrolladores. Los accesos a bases de datos en entornos de producción requieren un proceso de autorización independiente y documentado.
• Los entornos de preproducción y producción están estrictamente separados. Los datos de producción no se utilizan en entornos de prueba.
• Las contraseñas de bases de datos y las claves API se almacenan exclusivamente en AWS Secrets Manager y se rotan automáticamente. Los derechos de acceso a bases de datos se aplican mediante AWS IAM Policies y políticas basadas en recursos según el principio de mínimo privilegio.

• Todas las transmisiones de datos entre el usuario final y TRACE.App se cifran exclusivamente mediante TLS 1.2 o TLS 1.3. Las versiones de protocolo más antiguas (SSL, TLS 1.0, TLS 1.1) están desactivadas.
• HTTPS se impone obligatoriamente (HTTP Strict Transport Security, HSTS con max-age prolongado). Las solicitudes HTTP se redirigen automáticamente a HTTPS.
• Todas las comunicaciones API internas (backend-a-backend, comunicación de microservicios) se realizan exclusivamente a través de conexiones HTTPS cifradas.
• Las notificaciones push a los dispositivos de los usuarios se entregan a través de conexiones cifradas (AWS SNS o servicio equivalente). Los correos electrónicos transaccionales se envían con protección DKIM, SPF y DMARC.
• Los datos de los clientes no se transmiten a través de canales de comunicación no cifrados (p. ej., correo electrónico sin cifrar, FTP).

• Todas las acciones relevantes para la seguridad — especialmente los cambios en datos de usuarios, configuraciones y permisos — quedan registradas en los registros de auditoría. Cada entrada de registro incluye la marca de tiempo, la persona que lo ejecuta (ID de usuario), el objeto afectado y el tipo de cambio.
• Los registros de auditoría se almacenan en AWS CloudWatch Logs (conservación: mínimo 12 meses). Los eventos de autenticación (inicio de sesión, cierre de sesión, renovación de token) son registrados por Auth0 (tenant de la UE) y conservados durante 30 días. Sin transferencia a terceros países.
• Conservación de los registros de auditoría: mínimo 12 meses de forma rotativa (base jurídica: Art. 6(1)(c) RGPD en relación con las obligaciones de acreditación fiscales conforme a los §§ 147 AO, 257 HGB alemanes; los registros del sistema sin obligación legal de conservación se eliminan tras 90 días).

• Clarificación de roles: TRACE Electricity GmbH actúa en el marco del Acuerdo de Procesamiento de Datos (APD) como Encargado del Tratamiento conforme al Art. 4(8) RGPD. El tratamiento de datos personales se realiza exclusivamente conforme a las instrucciones documentadas del responsable (Responsable del Tratamiento conforme al Art. 4(7) RGPD). Para los usuarios finales (B2C) de TRACE.App, TRACE Electricity GmbH actúa como Responsable del Tratamiento conforme al Art. 4(7) RGPD en base al Aviso de Privacidad de TRACE.App. Para las cuentas empresariales B2B (ámbito de aplicación del APD), la presente MTO se aplica como Anexo B al APD en el marco del encargo del tratamiento conforme al Art. 4(8) RGPD.
• Con todos los encargados del tratamiento utilizados se han celebrado Acuerdos de Procesamiento de Datos (APD) conforme al Art. 28 RGPD. Encargados actuales: Amazon Web Services EMEA SARL (infraestructura principal, backend, base de datos, alojamiento), Okta EMEA Limited / Auth0 (autenticación de usuarios, tenant de la UE), Cloudflare Germany GmbH (CDN, protección DDoS).
• Los encargados del tratamiento se seleccionan cuidadosamente y solo se utilizan cuando ofrecen garantías suficientes para el cumplimiento de los requisitos del RGPD (Art. 28(1) RGPD).
• Los empleados con acceso a datos personales están obligados a mantener la confidencialidad y han recibido formación sobre los requisitos en materia de protección de datos.

• Copias de seguridad automáticas diarias en AWS S3 (cifradas, con control de versiones activado). Período de conservación de las copias de seguridad: 35 días.
• La recuperación en un momento determinado (Point-in-Time Recovery, PITR) para la base de datos de producción está activada. Es posible restaurar a cualquier momento dentro del período de conservación.
• Los servicios de base de datos de AWS se operan como servicios completamente gestionados y de alta disponibilidad con replicación Multi-AZ automática. Los fallos de zonas individuales se compensan sin intervención manual.
• Cloudflare como protección DDoS (Capas 3/4/7) y CDN de alta disponibilidad. Los fallos de puntos de borde individuales se compensan automáticamente mediante la red global.
• Supervisión continua del estado del sistema mediante AWS CloudWatch con alarmas automáticas y notificaciones SNS. Las alertas críticas se escalan al servicio de guardia.
• Las copias de seguridad se almacenan cifradas y se comprueban regularmente para verificar su restaurabilidad.

• Despliegue Multi-AZ: TRACE.App está distribuida en múltiples zonas de disponibilidad de AWS. El fallo de una zona provoca una conmutación por error automática sin pérdida de datos.
• Conmutación por error automática: Los balanceadores de carga y las comprobaciones de estado detectan fallos y redirigen automáticamente las solicitudes a las instancias disponibles (Objetivo de Tiempo de Recuperación: < 5 minutos).
• Interruptor de circuito (Circuit Breaker): Los servicios downstream defectuosos se aíslan automáticamente para evitar fallos en cascada.
• Escalabilidad horizontal: Los grupos de Auto Scaling ajustan automáticamente la capacidad a los picos de carga para evitar sobrecargas.
• Objetivo de Punto de Recuperación (RPO): Gracias a la replicación continua de la base de datos, la pérdida máxima de datos tolerable es < 1 hora.
• Pruebas de resiliencia: Las pruebas periódicas de los procedimientos de recuperación (al menos anuales) garantizan la eficacia de las medidas.

• Los datos de los usuarios se aíslan lógicamente mediante ID específicos de usuario. El acceso a datos de otros usuarios está técnicamente excluido mediante AWS IAM Policies y reglas de acceso basadas en recursos a nivel de base de datos.
• Los datos de producción y de prueba están estrictamente separados. Los datos de producción no se utilizan para desarrollo o pruebas.
• Los datos de marketing (Google Analytics 4, LinkedIn Insight Tag) se recogen en el sitio web de marketing de TRACE y están completamente separados de los datos tratados en el marco del encargo. No existe ninguna vinculación.

• Los campos de base de datos con datos personales especialmente sensibles se cifran adicionalmente a nivel de aplicación con AES-256 (cifrado en reposo a nivel de campo).
• Los datos de la base de datos se cifran automáticamente en reposo (Encryption at Rest) con AES-256. La gestión de claves se realiza mediante AWS Key Management Service (AWS KMS).
• Las copias de seguridad de la base de datos en AWS S3 se almacenan cifradas (AES-256, AWS KMS).
• Las contraseñas de los usuarios se almacenan exclusivamente como hash bcrypt con un factor de trabajo adecuado. Las contraseñas en texto claro no se persisten ni aparecen en los registros en ningún momento.

• Existe un procedimiento interno documentado de respuesta a incidentes, conocido por todos los empleados implicados. Regula la detección, escalada, contención, resolución y revisión posterior de los incidentes de seguridad.
• En caso de violación de la seguridad de los datos personales, el responsable del tratamiento (cliente) es informado de inmediato, y a más tardar en el plazo de 24 horas tras el conocimiento del hecho (Art. 33(2) RGPD). La notificación a la autoridad de control competente corresponde al responsable.
• Contacto para brechas de datos e incidentes de seguridad relevantes para la protección de datos: privacy@trace-electricity.com (principal) y contact@trace-electricity.com (escalada técnica). Las notificaciones al responsable del tratamiento se realizan siempre a través de privacy@trace-electricity.com conforme al APD-App § 10.
• Los incidentes de seguridad se documentan y se analizan en cuanto a sus causas en la revisión posterior. Los resultados se incorporan al desarrollo continuo de las medidas de seguridad.

• Uso de Virtual Private Cloud (VPC) con configuración estricta de Security Groups en AWS
• Web Application Firewall (WAF) para protección frente a los ataques OWASP Top 10
• Protección DDoS mediante AWS Shield Standard
• Cifrado de todas las conexiones a bases de datos (TLS 1.2/1.3)
• Revisión periódica de las configuraciones de red (al menos trimestral)
• Segmentación de red: los entornos de producción, prueba y desarrollo están estrictamente separados

• Análisis de seguridad periódicos (automatizados, al menos semanalmente mediante AWS Inspector / escáner de dependencias)
• Aplicación de parches para vulnerabilidades críticas en 72 horas tras su publicación
• Aplicación de parches para vulnerabilidades importantes en 14 días
• Análisis de dependencias de todas las bibliotecas utilizadas (Software Composition Analysis, SCA)
• Pruebas de penetración al menos una vez al año realizadas por auditores externos

Pruebas de Penetración y Análisis de Vulnerabilidades

Alcance: Todos los sistemas en producción de la infraestructura TRACE.App (AWS eu-central-1), incluidas las API web, las capas de autenticación (Auth0, tenant de la UE), los accesos a bases de datos y las configuraciones de red.

Metodología: Basada en la Guía de Pruebas OWASP (v4.2) y el Compendio de Protección Básica del BSI. Las pruebas incluyen: OWASP Top 10, pruebas de seguridad de API (OWASP API Security Top 10), pruebas de autenticación y autorización.

Frecuencia: Al menos una vez al año y tras cambios sustanciales en la infraestructura (versiones principales, migración de infraestructura).

Ejecución: Proveedor de servicios de seguridad externo y cualificado (certificado OSCP o equivalente) o auditoría de seguridad interna con cualificación equivalente.

Corrección: Vulnerabilidades críticas (CVSS ≥ 7,0): corrección en 72 horas. Vulnerabilidades altas (CVSS 4,0–6,9): corrección en 30 días.

Documentación: Los informes de auditoría se conservan internamente durante 3 años y se ponen a disposición de las autoridades de control previa solicitud (Art. 5(2) RGPD, principio de responsabilidad proactiva).

• Formación obligatoria en protección de datos y seguridad de la información para todos los empleados (al menos anualmente)
• Concienciación frente al phishing y simulaciones periódicas de phishing (al menos semestralmente)
• Obligación de confidencialidad (por escrito) para todos los empleados con acceso a datos
• Instrucción en los procedimientos de respuesta a incidentes
• Documentación de todas las formaciones realizadas

• Objetivo de Tiempo de Recuperación (RTO): máx. 4 horas para los componentes críticos del sistema
• Objetivo de Punto de Recuperación (RPO): máx. 1 hora (pérdida máxima de datos tolerable)
• Copias de seguridad automatizadas diariamente en regiones AWS geográficamente separadas
• Prueba de recuperación ante desastres anual con resultado documentado
• Plan de respuesta a incidentes con niveles de escalada definidos

Uso de Datos y Entrenamiento de IA

TRACE.App no utiliza servicios de IA ni modelos de aprendizaje automático de terceros. Los datos de los usuarios no se utilizan para el entrenamiento de modelos de IA o de aprendizaje automático. Todos los tratamientos se basan en algoritmos deterministas y evaluaciones basadas en reglas.

Evaluación Umbral de la EIPD (Art. 35 RGPD)

TRACE Electricity GmbH ha realizado una evaluación umbral conforme al Art. 35(1) RGPD y la lista positiva de la Conferencia de Autoridades de Protección de Datos (DSK, octubre de 2019) para el tratamiento en el marco del servicio TRACE.App. El tratamiento de datos de consumo energético en contexto B2B (empresas como afectadas) no supera el umbral de obligación de la Evaluación de Impacto sobre la Protección de Datos según el conocimiento actual, ya que no se tratan categorías especiales de datos conforme al Art. 9 RGPD y los afectados son personas jurídicas. La evaluación se repetirá ante cambios sustanciales en la actividad de tratamiento.

Vigencia y Actualización

Las presentes MTO documentan las medidas técnicas y organizativas de TRACE Electricity GmbH conforme al Art. 32 RGPD para el servicio TRACE.App (como responsable del tratamiento para usuarios B2C y como encargado del tratamiento conforme al Art. 4(8) RGPD para cuentas empresariales B2B en el marco del APD-App). TRACE Electricity GmbH revisa y actualiza las MTO de forma regular y ante cambios sustanciales en la infraestructura o en el panorama de amenazas.

Las medidas descritas corresponden al estado de la técnica en el momento de su elaboración y se revisan continuamente y se adaptan cuando es necesario.

Vigente: junio 2026