Medidas Técnicas y Organizativas (MTO) - TRACE.Parser

Estas Medidas Técnicas y Organizativas (MTO) describen las salvaguardas de seguridad que TRACE Electricity GmbH, como encargado del tratamiento conforme al Art. 28 Ap. 3 lit. c RGPD y el Anexo II de las Cláusulas Contractuales Tipo de la UE (CCT, Decisión 2021/914), implementa para el servicio TRACE.Parser (parser.trace-electricity.com). Las medidas se aplican a todos los datos personales que se traten en el marco del encargo de tratamiento mediante TRACE.Parser.

Medidas de Seguridad en IA

Medida	Descripción
Minimización de Datos en Consultas de IA	Antes de la transmisión a las APIs de IA, los datos del perfil de producción se reducen al mínimo necesario para el análisis. Los atributos identificativos de empresa se eliminan o seudonomizan antes de la consulta a la IA (principio de datos mínimos necesarios, Art. 5 Ap. 1 lit. c RGPD).
Protección contra Inyección de Prompts	Todas las entradas del usuario que se procesen como parte de una consulta de IA pasan por una validación de entrada (escape de caracteres especiales, aislamiento del prompt del sistema). Los resultados de la IA se comprueban en busca de patrones de inyección antes de su presentación en la aplicación (sandboxing de salida). Los prompts del sistema se aíslan técnicamente de los prompts del usuario.
Gestión de Claves API	Las claves API para OpenAI, Anthropic y los servicios de IA de AWS se almacenan por separado en AWS Secrets Manager y se rotan periódicamente. Cada proveedor de IA recibe su propia clave API con alcance mínimo (principio de mínimo privilegio). Todos los accesos se registran en CloudWatch.
Registro de Consultas de IA	Las consultas de IA esenciales (sin valores brutos de datos personales) y sus metadatos asociados (timestamp, proveedor, longitud de la consulta) se registran durante 30 días y pueden ponerse a disposición del responsable del tratamiento para su revisión previa solicitud.
Anonimización para Mejora de IA	Los perfiles de producción utilizados para mejorar la calidad del análisis de TRACE.Parser se anonimizan de forma irreversible previamente: (1) Eliminación de todos los atributos identificativos de empresa (nombre, ID, ubicación, identificador de conexión), (2) Agregación a nivel de intervalo de tiempo, (3) k-anonimato (k≥5): cada punto de datos es indistinguible de al menos otros 4, (4) Privacidad diferencial: procedimientos de ruido estadístico. Los clientes pueden oponerse al uso de sus datos: privacy@trace-electricity.com.

Anexo B al Contrato de Encargo de Tratamiento TRACE.Parser: Este documento describe las medidas técnicas y organizativas (MTO) conforme al Art. 32 RGPD que TRACE Electricity GmbH, como encargado del tratamiento, implementa para el servicio TRACE.Parser. Forma parte del Contrato de Encargo de Tratamiento (AVV-Parser).

• La infraestructura de servidores opera exclusivamente en centros de datos de AWS (certificados ISO 27001, SOC 2 Tipo II). AWS garantiza un control de acceso físico integral, incluyendo autenticación múltiple, videovigilancia y personal de seguridad.
• Sin acceso físico al servidor por parte del personal de TRACE. TRACE Electricity GmbH gestiona la infraestructura exclusivamente a través de accesos remotos API cifrados.
• Infraestructura CDN y Edge de Cloudflare con puntos de presencia (PoPs) globales certificados ISO; la seguridad física recae completamente en Cloudflare.
• El acceso a las instalaciones de TRACE en Hamburgo está protegido por un sistema de cierre electrónico con credenciales de acceso personales y registro de accesos.

• La autenticación de dos factores (2FA/MFA) es obligatoria para todos los sistemas internos, consolas en la nube (AWS, Cloudflare) y plataformas de desarrollo (GitHub, Vercel).
• Gestor de contraseñas (1Password o Bitwarden) para todos los empleados; requisitos mínimos: 16 caracteres, regla de complejidad (mayúsculas/minúsculas, caracteres especiales, dígitos). Sin reutilización de contraseñas.
• Control de acceso basado en roles (RBAC) según el principio de mínimo privilegio. Los derechos de acceso se revocan inmediatamente en caso de cambio de función o cese.
• Cierre de sesión automático tras 30 minutos de inactividad en todas las interfaces de administración internas.
• Todas las credenciales se almacenan exclusivamente cifradas; las contraseñas en texto plano no se conservan en ningún momento.

• Los accesos a la base de datos se realizan exclusivamente a través de endpoints API autenticados y autorizados. Sin conexiones directas a la base de datos desde el frontend.
• Todos los accesos del personal a los sistemas de producción y datos de clientes se registran y son auditables (pistas de auditoría).
• La base de datos de producción está configurada sin acceso directo para desarrolladores. Los accesos a bases de datos en entornos de producción requieren un proceso de aprobación separado y documentado.
• Los entornos de staging y producción están estrictamente separados. Los datos de producción no se utilizan en entornos de prueba.
• Las contraseñas de base de datos y las claves API se almacenan exclusivamente en AWS Secrets Manager y se rotan automáticamente.
• Medidas concretas de control de acceso a datos: Autenticación multifactor (MFA) para todos los accesos de administrador a la infraestructura AWS; control de acceso basado en roles (RBAC) a través de AWS Identity and Access Management (IAM); principio de mínimo privilegio (permisos mínimos por rol); revisiones periódicas de políticas IAM (trimestrales); registro de todos los accesos de administrador a través de AWS CloudTrail.

• Todas las transferencias de datos entre el usuario final y TRACE.Parser se cifran exclusivamente mediante TLS 1.2 o TLS 1.3. Las versiones de protocolo anteriores (SSL, TLS 1.0, TLS 1.1) están desactivadas.
• Se fuerza HTTPS (HTTP Strict Transport Security, HSTS con max-age prolongado). Las solicitudes HTTP se redirigen automáticamente a HTTPS.
• Todas las comunicaciones internas de API (backend a backend, comunicación entre microservicios) se realizan exclusivamente a través de conexiones HTTPS cifradas.
• El envío de correos electrónicos de notificaciones del sistema y correos transaccionales se realiza a través de AWS SES con firmas DKIM, SPF y DMARC para garantizar la integridad y autenticidad.
• Los datos de clientes no se transmiten a través de canales de comunicación no cifrados (p. ej., correo electrónico no cifrado, FTP).

• Todas las acciones relevantes para la seguridad — en particular los cambios en datos de usuario, configuraciones y permisos — se registran en registros de auditoría. Cada entrada de registro contiene timestamp, persona ejecutora (ID de usuario), objeto afectado y tipo de modificación.
• Los datos de registro se almacenan en AWS CloudWatch. En caso de necesidad de protección elevada, los registros pueden asegurarse frente a manipulaciones posteriores mediante S3 Object Lock (modo COMPLIANCE).
• Retención de los registros de auditoría: mínimo 12 meses de forma rotativa (base legal: Art. 6(1)(c) RGPD en relación con las obligaciones de documentación fiscal; los registros del sistema sin obligación legal de conservación se eliminan tras 90 días).

• Con el responsable del tratamiento se ha suscrito un Contrato de Encargo de Tratamiento conforme al Art. 28 RGPD. El tratamiento de datos personales se realiza exclusivamente sobre la base y en el marco de dicho contrato.
• Los subcontratistas solo se emplean previa autorización escrita del responsable del tratamiento (conforme al § 8 del contrato de encargo — uso de subencargados). Subencargados actuales: Amazon Web Services EMEA SARL (hosting, base de datos, correo electrónico vía SES), Cloudflare Germany GmbH (CDN, protección DDoS), Okta EMEA Limited (Auth0) (1 Beckett Way, Dublín 12, Irlanda; autenticación de usuarios, tenant UE eu.auth0.com, AWS eu-west-1; sin transferencia a terceros países).
• Las instrucciones del responsable se documentan y se ejecutan íntegramente. TRACE Electricity GmbH informa al responsable de forma inmediata si, a su juicio, una instrucción infringe la normativa de protección de datos.
• Los empleados con acceso a datos personales están sujetos a obligación de confidencialidad y han sido formados sobre los requisitos de protección de datos.

• Copias de seguridad automatizadas diarias de la base de datos a través de AWS RDS Automated Backups. Período de retención de copias: 35 días.
• La recuperación a un punto en el tiempo (PITR) para la base de datos de producción está activada. Posibilidad de restauración a cualquier punto dentro del período de retención.
• Retención de archivos subidos y eliminación de datos: Archivos subidos temporales (perfiles de producción CSV): se eliminan automáticamente de los servidores de procesamiento tras la conclusión del análisis (máx. 24 horas tras la carga). Resultados de análisis persistentes: eliminados en un plazo de 30 días tras la finalización del contrato. Implementación técnica: rutinas de eliminación automatizadas a través de AWS Lambda con registro.
• Despliegue de base de datos Multi-AZ (AWS RDS Multi-AZ): conmutación por error automática a la instancia en espera en caso de fallo de la instancia primaria. Objetivo de tiempo de conmutación: menos de 60 segundos.
• Cloudflare como protección DDoS (Capas 3/4/7) y CDN de alta disponibilidad. Los fallos en ubicaciones edge individuales se compensan automáticamente mediante la red global.
• Monitorización continua del estado del sistema a través de AWS CloudWatch con alarmas automáticas. Las alertas críticas se escalan al servicio de guardia a través de PagerDuty.
• Las copias de seguridad se almacenan cifradas y se comprueban periódicamente en cuanto a su recuperabilidad.

• Despliegue Multi-AZ: TRACE.Parser se distribuye en varias zonas de disponibilidad de AWS. El fallo de una zona provoca una conmutación por error automática sin pérdida de datos.
• Conmutación por error automática: Los balanceadores de carga y las comprobaciones de estado detectan fallos y redirigen automáticamente las solicitudes a instancias disponibles (Recovery Time Objective: < 5 minutos).
• Circuit Breaker: Los servicios downstream defectuosos se aíslan automáticamente para prevenir fallos en cascada.
• Escalado horizontal: La cola de procesamiento de cargas (AWS SQS) desacopla las cargas CSV del procesamiento de análisis y previene la sobrecarga del sistema con altos volúmenes de carga.
• Recovery Point Objective (RPO): Gracias a la replicación continua de la base de datos, la pérdida máxima tolerable de datos es < 1 hora para los resultados de análisis.
• Pruebas de resiliencia: Las pruebas periódicas de los procedimientos de recuperación (al menos anuales) garantizan la eficacia de las medidas.

• Los datos de clientes de diferentes responsables se almacenan y tratan de forma lógicamente separada (aislamiento basado en ID de tenant a nivel de base de datos). El acceso cruzado a datos entre distintos responsables está técnicamente excluido.
• Los datos de producción y de prueba están estrictamente separados. Los datos de producción no se utilizan para fines de desarrollo o prueba.
• Los datos de marketing (Google Analytics 4, LinkedIn Insight Tag) se recogen en el sitio web de marketing de TRACE y están completamente separados de los datos tratados en el marco del encargo de tratamiento. No se lleva a cabo ninguna fusión.

• Los campos de base de datos con datos personales especialmente sensibles se cifran adicionalmente a nivel de aplicación con AES-256 (cifrado en reposo a nivel de campo).
• Los volúmenes AWS EBS (discos duros virtuales de los servidores de aplicaciones) están completamente cifrados con AES-256. Gestión de claves a través de AWS Key Management Service (KMS).
• Las copias de seguridad de la base de datos se almacenan cifradas (AES-256, AWS KMS).
• Cifrado de buckets S3: Los buckets de AWS S3 para los perfiles de producción almacenados están cifrados en el lado del servidor (SSE-KMS / AES-256 a través de AWS Key Management Service). Acceso solo a través de conexiones HTTPS cifradas. Las políticas de bucket impiden el acceso público (S3 Block Public Access activado para todos los buckets). S3 Object Lock está activado para los buckets de registros de auditoría en modo COMPLIANCE para prevenir manipulaciones posteriores.
• Las contraseñas de usuario se almacenan exclusivamente como hash bcrypt con un factor de trabajo adecuado. Las contraseñas en texto plano no se conservan ni se muestran en registros en ningún momento.

• Todos los accesos administrativos a la consola y recursos AWS se realizan a través de AWS VPN o AWS SSO con MFA (región eu-central-1, Fráncfort)
• Los AWS Security Groups y las Network ACLs restringen el acceso de red a los sistemas de producción según el principio de lista de permitidos (red de mínimo privilegio)
• Las instancias de base de datos RDS se encuentran en una subred privada sin acceso directo a Internet
• AWS WAF (Web Application Firewall) está activo delante de los endpoints de API (protección frente al OWASP Top 10)
• Protección DDoS a través de AWS Shield Standard
• Cifrado de todas las conexiones de base de datos (TLS 1.2/1.3)
• Revisión periódica de las configuraciones de red (al menos trimestralmente)
• Segmentación de red: los entornos de producción, prueba y desarrollo están estrictamente separados

• Análisis de seguridad periódicos (automatizados, al menos semanalmente a través de AWS Inspector / escáner de dependencias)
• Parcheo de vulnerabilidades críticas en un plazo de 72 horas tras su publicación
• Parcheo de vulnerabilidades importantes en un plazo de 14 días
• Análisis de dependencias de todas las bibliotecas utilizadas (Software Composition Analysis, SCA)
• Pruebas de penetración al menos una vez al año por auditores externos

Pruebas de Penetración y Análisis de Vulnerabilidades

Alcance: Todos los sistemas productivos de TRACE.Parser (AWS eu-central-1), incluyendo las Web-APIs del Parser, endpoints de carga, motor de análisis y accesos a base de datos.

Metodología: Basada en la Guía de Pruebas OWASP (v4.2). Las pruebas incluyen: OWASP Top 10, pruebas de seguridad de API (OWASP API Security Top 10), validación de entrada (seguridad de carga CSV), pruebas de autenticación.

Intervalo: Al menos una vez al año y tras cambios significativos en la infraestructura (Art. 32(1)(d) RGPD: revisión periódica).

Corrección: Vulnerabilidades críticas (CVSS ≥ 7.0): corrección en 72 horas. Vulnerabilidades altas (CVSS 4.0–6.9): corrección en 30 días.

Documentación: Los informes de auditoría se conservan internamente durante 3 años (Art. 5(2) RGPD responsabilidad proactiva).

• Formación obligatoria en protección de datos y seguridad de la información para todos los empleados (al menos anualmente)
• Sensibilización ante phishing y simulaciones periódicas de phishing (al menos semestralmente)
• Obligación de confidencialidad (por escrito) para todos los empleados con acceso a datos
• Introducción a los procedimientos de respuesta a incidentes
• Documentación de todas las formaciones realizadas

• Recovery Time Objective (RTO): máx. 4 horas para componentes críticos del sistema
• Recovery Point Objective (RPO): máx. 1 hora (pérdida máxima de datos)
• Copias de seguridad automatizadas diarias en regiones AWS geográficamente separadas (eu-central-1 Fráncfort, replicación en otra región de la UE)
• Despliegue AWS RDS Multi-AZ para conmutación por error automática (< 60 segundos)
• Prueba de recuperación ante desastres anual con resultado documentado
• Plan de respuesta a incidentes con niveles de escalada definidos

• Se dispone de un procedimiento interno de respuesta a incidentes documentado y conocido por todos los empleados afectados. Regula la detección, escalada, contención, resolución y seguimiento de los incidentes de seguridad.
• En caso de violación de la seguridad de los datos personales, el responsable del tratamiento (cliente) será informado de forma inmediata, a más tardar en 24 horas tras su conocimiento (Art. 33 Ap. 2 RGPD). La notificación a la autoridad de control competente corresponde al responsable del tratamiento.
• Contacto para brechas de datos e incidentes de seguridad relevantes para la protección de datos: privacy@trace-electricity.com (primario) y contact@trace-electricity.com (escalada técnica). Las notificaciones al responsable del tratamiento (cliente) se realizan siempre a través de privacy@trace-electricity.com conforme al § 12 del AVV-Parser.
• Los incidentes de seguridad se documentan y se analizan en cuanto a sus causas durante el seguimiento. Los hallazgos se incorporan al desarrollo continuo de las medidas de seguridad.

Análisis Asistido por IA y Entrenamiento de Modelos

TRACE Electricity GmbH trata los datos de producción cargados (archivos CSV) en el marco del servicio TRACE.Parser exclusivamente para el análisis acordado contractualmente. Para el análisis asistido por IA se emplean los siguientes proveedores como subencargados: OpenAI, LLC (San Francisco, EE. UU.), Anthropic PBC (San Francisco, EE. UU.) y servicios de IA de AWS a través de Amazon Web Services EMEA SARL (Luxemburgo). El uso de estos datos para el entrenamiento de modelos de IA o aprendizaje automático solo tiene lugar sobre la base de un consentimiento separado y revocable en cualquier momento del responsable, conforme al Art. 6 Ap. 1 lit. a RGPD. Este consentimiento es voluntario y no tiene ningún efecto sobre la prestación del servicio de análisis. El responsable puede revocar su consentimiento en cualquier momento por correo electrónico a privacy@trace-electricity.com.

Vigencia y Actualización

Estas MTO son válidas como Anexo vinculante al Contrato de Encargo de Tratamiento (AVV) entre TRACE Electricity GmbH y el correspondiente responsable del tratamiento para el servicio TRACE.Parser. TRACE Electricity GmbH está facultada para adaptar las MTO siempre que no se reduzca el nivel de seguridad. Los cambios sustanciales se comunicarán al responsable con antelación.

Las medidas aquí descritas corresponden al estado de la técnica en el momento de su elaboración y se revisan de forma continua y se adaptan cuando es necesario.

Stand: Juni 2026  |  Versión 1.0  |  Válido como Anexo al Contrato de Encargo de Tratamiento AVV - TRACE.Parser