Resumen
El trabajo de traducción implica que los archivos salen de tus sistemas y viven, brevemente, en los nuestros. Nos lo tomamos en serio. Esta página es el complemento técnico de nuestra política de privacidad y DPA: lo que realmente hacemos a nivel de bytes y edificios para mantener tu contenido a salvo.
Si falta algo aquí o lo necesitas bajo NDA (informes de pentest, carta de certificación SOC 2, diagramas de red), escribe a legal@rush-studio.com.
Infraestructura y alojamiento
Rush Studio se aloja exclusivamente en Amazon Web Services (AWS). La producción se ejecuta en Frankfurt (eu-central-1) con replicación y standby en caliente en Dublin (eu-west-1). No operamos infraestructura de producción en los Estados Unidos.
La aplicación se ejecuta sobre cargas de trabajo en contenedores detrás de una VPC con subredes privadas para todos los servicios con estado. La entrada pública está restringida a nuestro edge (Cloudflare) y al AWS ALB, ambos con reglas WAF y limitación de velocidad.
AWS es contractualmente un subencargado del tratamiento y está certificado bajo SOC 1/2/3, ISO 27001/27017/27018, PCI DSS y el Marco de Privacidad de Datos UE-EE. UU. Consulta la lista completa de subencargados.
Cifrado
En tránsito. Cada conexión con Rush Studio (web, API, integraciones, servicio a servicio interno) usa TLS 1.3 con cifrados modernos. TLS 1.0 / 1.1 están deshabilitados en el edge. HSTS está precargado con max-age=63072000; includeSubDomains; preload.
En reposo. Cada byte que almacenamos se cifra con AES-256-GCM mediante AWS KMS. Esto incluye la base de datos de la aplicación, el almacenamiento de objetos S3, los índices de búsqueda, las copias de seguridad, los archivos de registro y las exportaciones de memoria de traducción. El contenido de cada inquilino se separa lógicamente y se asocia a una clave maestra de cliente por entorno.
Gestión de claves. Las claves maestras residen en AWS KMS con rotación anual automática. Los secretos de nivel de aplicación (tokens de API, secretos de cliente OAuth, credenciales de integración) se almacenan en AWS Secrets Manager, se rotan trimestralmente y nunca se escriben en registros ni en el control de versiones.
Contraseñas. Nunca se almacenan. Aplicamos hash con bcrypt con un factor de coste de 12; lo que se compara es el hash y el texto plano se descarta en cuanto finaliza la autenticación.
Autenticación y 2FA
Exigimos autenticación multifactor. En todas las cuentas. Sin excepciones para usuarios gratuitos, de pago o de prueba. La primera vez que inicies sesión, te guiaremos para registrar un segundo factor antes de que puedas acceder a cualquier espacio de trabajo.
Claves de acceso
RecomendadoLas claves de acceso respaldadas por WebAuthn se sincronizan entre dispositivos a través de iCloud Keychain, Google Password Manager o 1Password. Resistentes al phishing por diseño.
Llaves de hardware
FIDO2YubiKey, Titan o cualquier autenticador compatible con FIDO2 / U2F. Obligatorio en las cuentas de administrador del plan Scale.
Aplicaciones de autenticación
TOTPCódigos TOTP de 30 segundos mediante 1Password, Authy, Google Authenticator o cualquier cliente RFC 6238.
SMS
Solo de respaldoDisponible como método de respaldo. No lo recomendamos como método principal: el SMS es vulnerable a ataques de intercambio de SIM.
Recuperación. Cuando registras un método de 2FA, emitimos diez códigos de recuperación de un solo uso. Guárdalos en un lugar seguro: son la única forma de volver a entrar en la cuenta si pierdes tu autenticador. Los códigos usados se invalidan de inmediato; el conjunto puede regenerarse en cualquier momento, lo que invalida el lote anterior.
Inicio de sesión único. En el plan Scale, el SSO con SAML 2.0 y OIDC está disponible frente a cualquier proveedor de identidad (Okta, Azure AD / Entra ID, Google Workspace, OneLogin, JumpCloud, Auth0). Se incluye el aprovisionamiento y desaprovisionamiento de usuarios con SCIM 2.0.
Política de sesiones. Las sesiones caducan tras 30 días de inactividad (configurable hasta 8 horas en Scale). Los administradores pueden forzar el cierre de sesión en todos los dispositivos en cualquier momento.
Controles de acceso
En el producto. Los espacios de trabajo usan control de acceso basado en roles con cinco roles integrados (Propietario, Administrador, Gerente, Lingüista, Revisor) y anulaciones granulares por proyecto. Cada acción que toca contenido del cliente se registra en un registro de auditoría, exportable en JSON.
Dentro de Rush Studio. El acceso a producción se limita a los ingenieros de guardia que lo necesitan (actualmente seis personas). El acceso requiere:
- Una sesión SSO activa con MFA mediante llave de hardware.
- Una aprobación justo a tiempo de un segundo ingeniero para cualquier lectura de la base de datos.
- Una justificación registrada en nuestro canal de registro de accesos, pública para todos los empleados.
No disponemos de una «cuenta de administrador» genérica que pueda leer el contenido del cliente. Todo acceso a producción es identificable, está limitado en el tiempo y se revisa trimestralmente.
Gestión de vulnerabilidades
Seguimos un programa de cuatro vías:
- Análisis de dependencias — Snyk y GitHub Dependabot se ejecutan en cada pull request y cada noche en todos los repositorios. Las CVE críticas se parchean en 24 horas.
- Análisis estático — Reglas de Semgrep ajustadas a nuestra pila se ejecutan en CI; los hallazgos de alta gravedad bloquean la fusión.
- Análisis dinámico — DAST autenticado se ejecuta semanalmente contra un espejo de staging de producción.
- Prueba de penetración por terceros — Anualmente, por una firma externa acreditada por CREST. El informe más reciente está disponible bajo NDA a través de legal@rush-studio.com.
Los hallazgos se clasifican en un día hábil, se mapean por gravedad a CVSS y se rastrean en un backlog público para los empleados con SLA (Crítico: 24 h, Alto: 7 d, Medio: 30 d, Bajo: 90 d).
Respuesta a incidentes
Una rotación de guardia está cubierta 24/7 con un SLA de respuesta de 15 minutos para las alertas de seguridad. En caso de incidentes confirmados que afecten a datos de clientes, notificamos a los clientes afectados en un plazo de 72 horas desde que tenemos conocimiento, normalmente mucho antes, según los compromisos de nuestro DPA.
La notificación incluye la naturaleza del incidente, las categorías de datos afectadas, las consecuencias probables y las medidas de mitigación adoptadas o previstas. Se publica una revisión posterior al incidente con una cronología escrita y acciones correctivas para los clientes afectados en un plazo de 14 días.
Los eventos operativos en vivo (degradaciones, caídas, incidentes sospechosos) se publican en tiempo real en status.rush.studio.
Copias de seguridad y recuperación ante desastres
Copias de seguridad. La base de datos de la aplicación se respalda de forma continua en S3 mediante recuperación a un momento dado, retenida durante 30 días. El almacenamiento de objetos usa versionado más instantáneas semanales retenidas durante 90 días. Todas las copias de seguridad se cifran con claves KMS independientes y se almacenan entre regiones.
Objetivos. RPO (objetivo de punto de recuperación): 5 minutos. RTO (objetivo de tiempo de recuperación): 4 horas. Los probamos trimestralmente con simulacros de restauración completa en un entorno aislado.
Cadencia de simulacros de recuperación ante desastres. Trimestral. El último simulacro (Q1 2026) restauró la base de datos de producción completa en una cuenta limpia en 1 h 47 m, muy dentro del RTO.
Personas y operaciones
Cada empleado:
- Supera una verificación de antecedentes antes de la fecha de inicio (cuando la jurisdicción lo permite).
- Firma un acuerdo de confidencialidad que cubre los datos del cliente el primer día.
- Completa formación de seguridad obligatoria al contratarse y anualmente a partir de entonces.
- Usa un portátil gestionado por la empresa con cifrado de disco completo, MDM y un agente EDR (CrowdStrike).
- Tiene su acceso revisado trimestralmente. El acceso se revoca en un plazo de una hora tras la finalización del contrato.
Tratamiento de datos
Minimización de datos. Solo recopilamos lo necesario para prestar el servicio; consulta la política de privacidad para ver el desglose.
Enrutamiento de traducción con IA. Cuando un segmento se envía a un subencargado de IA, transmitimos únicamente el texto del segmento más los términos de glosario configurados. Los metadatos de la cuenta, los nombres de archivo y el contexto del proyecto nunca salen de nuestra infraestructura. Todos los subencargados de IA se comprometen contractualmente a no entrenar con tus datos y a eliminar el contenido una vez devuelta la traducción.
Aislamiento de inquilinos. Los datos del cliente se separan lógicamente por ID de inquilino, aplicado en cada capa (base de datos, búsqueda, almacenamiento de objetos). La exportación masiva, la eliminación y el acceso al registro de auditoría operan dentro del límite del inquilino.
Eliminación. Cuando eliminas un proyecto o cierras tu cuenta, el contenido se purga del almacenamiento principal en un plazo de 24 horas y de todas las copias de seguridad en un plazo de 30 días. Enviamos confirmación por escrito cuando se completa la eliminación.
Cumplimiento y certificaciones
Actuales y en curso:
- SOC 2 Type II — en regla, auditada anualmente por una firma Big Four. Informe disponible bajo NDA.
- ISO 27001 — certificación en curso; prevista para Q3 2026.
- RGPD y RGPD del Reino Unido — cumplimiento total; consulta la página de RGPD y DPA.
- CCPA / CPRA — cubierto por el mismo flujo de derechos del interesado que el RGPD.
- HIPAA — hay un Acuerdo de Asociado Comercial (BAA) disponible para clientes del sector sanitario en el plan Scale. Escribe a legal@rush-studio.com.
- PCI DSS — nunca vemos los números de tarjeta; los pagos se tokenizan a través de Stripe. PCI queda fuera de alcance por diseño.
Para los equipos de compras que realizan una evaluación de seguridad de proveedores: mantenemos respuestas precompletadas para SIG Lite, CAIQ v4 y el EU Cloud CoC. Solicita la copia más reciente.
Divulgación responsable
No tenemos un programa público de recompensas por errores (todavía), pero agradecemos los informes de investigadores de seguridad y recompensamos los hallazgos significativos.
Envía los informes a: legal@rush-studio.com, opcionalmente cifrados con PGP a 0x4F7C 2A8B 3D1E 9F00.
Nuestra promesa. Si informas de buena fe y no intentas acceder a los datos de otros clientes, exfiltrar datos, ejecutar ataques de DoS o usar ingeniería social: no emprenderemos acciones legales, acusaremos recibo en un día hábil y te mantendremos informado hasta que el problema se resuelva. Los hallazgos novedosos confirmados reciben una recompensa de $250–$10,000 según la gravedad y el impacto.
Contacto
Incidencias de seguridad: legal@rush-studio.com — supervisado 24/7, objetivo de acuse de recibo en 4 horas hábiles, máximo un día hábil.
Privacidad / DPO: Pedro Almeida, privacy@rush-studio.com.
Compras y evaluaciones de proveedores: legal@rush-studio.com.
Correo postal: Rush Studio Ltd., 12 Hatton Garden, London EC1N 8AT, Reino Unido.
Si algo aquí no está claro, díganoslo — lo reescribiremos en la próxima revisión.
