Traducción automática · pendiente de revisión nativa Esta página fue traducida automáticamente desde el original en inglés. Un revisor nativo la revisará antes de que consideremos esta versión como definitiva. La versión en inglés es la canónica.

Seguridad

Seguridad en términos claros.

Lo que hacemos hoy, hacia dónde nos dirigimos y lo que no haremos. Intentamos ser honestos en ambos sentidos: los restaurantes y los socios se lo merecen, y la seguridad por oscuridad no es seguridad.

Estado actual

Infraestructura alojada en la UE

Toda la infraestructura de producción está alojada en el Espacio Económico Europeo. Las copias de seguridad se almacenan en el EEE. No transferimos datos personales a terceros países salvo mediante Cláusulas Contractuales Estándar firmadas para fines específicos de proveedor (p. ej., Anthropic para el widget AI Ask).

Cifrado en tránsito y en reposo

TLS 1.2+ en todos los endpoints públicos con HSTS. El almacenamiento en base de datos y las copias de seguridad están cifrados en reposo. Las llamadas entre servicios se realizan a través de canales autenticados.

Aislamiento de datos de tarjeta

Fooodo nunca accede a los datos en bruto de la tarjeta. Los pagos son gestionados por Mollie bajo su propio ámbito PCI. La aplicación de menú recibe una URL de pago y un callback — la tarjeta nunca llega a nuestra infraestructura.

Autenticación y acceso

El acceso de operadores y administradores está protegido mediante cuentas individuales con asignaciones de roles auditables. Los tokens de sesión, la IP, la huella del dispositivo y las marcas de tiempo de inicio de sesión quedan registrados para revisión de seguridad.

Aislamiento de inquilinos

Cada registro está vinculado a un inquilino de empresa. Las políticas de roles imponen los límites del inquilino en la capa de acceso a datos; los administradores de restaurante solo pueden gestionar su propio restaurante.

Conformidad con el GDPR

Minimización de datos por defecto. Cada recomendación de Fooodo Insights que afecte a empleados requiere aprobación humana (GDPR Article 22). Los interesados pueden ejercer sus derechos a través de dpo@fooodo.com.

Subencargados del tratamiento

Utilizamos un número reducido de subencargados verificados. La lista actual:

VendorRoleRegion
MollieProcesamiento de pagosEU
VercelAlojamiento del sitio de marketingRegiones EU para este sitio
AnthropicModelos que alimentan el widget de consultaInternacional (SCCs vigentes)

La lista completa de subencargados, incluidos los proveedores de infraestructura de la plataforma Fooodo, está disponible bajo petición para los operadores en el marco del Acuerdo de Tratamiento de Datos.

Hoja de ruta de seguridad

SOC 2 Tipo II formal

Previsto

Actualmente no contamos con la certificación SOC 2. La auditoría está en el roadmap; el calendario depende de la demanda de los clientes. Podemos compartir nuestro marco de control interno bajo petición.

ISO/IEC 27001

En estudio

Realizamos un seguimiento interno conforme a la norma; la certificación es un proceso de más de 12 meses y se decide en función de la demanda de los clientes.

Pruebas de penetración

Anual

Contratamos auditores externos de penetración con una cadencia anual y tras cambios arquitectónicos significativos. Los informes se resumen para los equipos de seguridad de los clientes bajo petición.

Divulgación de vulnerabilidades

Live

Los informes se envían a security@fooodo.com (PGP disponible bajo petición). Acusamos recibo en un plazo de dos días hábiles. Actualmente no gestionamos un programa de recompensas remunerado.

Respuesta ante incidentes

Si se produce un incidente de seguridad que afecte a un cliente, notificamos al contacto designado por dicho cliente en un plazo de 72 horas desde que tengamos conocimiento del mismo (el plazo de notificación de brechas establecido por el GDPR) y remitimos un informe escrito en un plazo de 30 días. Coordinamos con los canales de incidentes de los proveedores de pago para cualquier evento relacionado con pagos.

Lo que no haremos

  • No venderemos sus datos, los datos de sus clientes ni los de su personal — a nadie, nunca.
  • No utilizaremos sus datos operativos para entrenar modelos de AI sin su consentimiento explícito y voluntario.
  • No retendremos sus datos como rehén — las exportaciones están disponibles en formatos estándar mientras sea cliente y al finalizar su contrato.
  • No implementaremos automáticamente recomendaciones de AI que afecten a los empleados. Article 22 es un límite infranqueable.

Contacto con el equipo de seguridad

Informes de vulnerabilidades, diligencia debida de proveedores, cuestionarios de seguridad de clientes: escríbanos a security@fooodo.com. Las solicitudes de los interesados deben dirigirse a dpo@fooodo.com. Respondemos a ambas en un plazo de dos días hábiles.

security@fooodo.com · dpo@fooodo.com

Páginas relacionadas: Aviso de privacidad · Condiciones del servicio · Acuerdo de tratamiento de datos · Contacto