Seguridad en iTutor

Cifrado de datos

Todo el tráfico entre tu navegador, la aplicación iTutor y nuestros servidores se cifra en tránsito mediante TLS 1.3. Los datos en reposo —incluidos los materiales de estudio cargados, los perfiles de cuenta y los registros de progreso— se cifran con algoritmos de cifrado simétrico estándar en la capa de almacenamiento.

Las credenciales de autenticación nunca se almacenan en texto plano; las contraseñas se procesan con un algoritmo moderno de memoria intensiva con sales individuales por usuario.

Control de acceso

El acceso a la aplicación se gestiona mediante control de acceso basado en roles. En las cuentas individuales, solo el titular de la cuenta puede consultar sus propios datos. En las cuentas institucionales, los administradores definen los roles de docente y estudiante, y la visibilidad queda limitada a la clase, el curso o el grupo asignado. El acceso cruzado entre inquilinos se previene a nivel de consulta: ninguna ruta de consulta puede devolver datos de un inquilino al que no pertenezca el solicitante.

El acceso del personal de iTutor a los datos de producción está restringido, se registra y se concede únicamente cuando es necesario para investigar una incidencia de soporte o diagnosticar un problema. Las acciones del personal sobre los datos de usuarios son auditables.

Opciones de autenticación

Las cuentas individuales utilizan autenticación por correo electrónico y contraseña, con la opción de iniciar sesión con Google o Apple ID. Las cuentas institucionales pueden exigir inicio de sesión único (SSO con SAML 2.0, OIDC o LTI 1.3) para que la institución siga siendo la fuente de verdad en materia de identidad. La autenticación de dos factores está disponible en todos los niveles de cuenta.

Copias de seguridad y recuperación

Las bases de datos de producción cuentan con copias de seguridad diarias y recuperación a un punto en el tiempo durante una ventana de retención definida. Las copias de seguridad están cifradas en reposo y se almacenan en una ubicación geográfica distinta a la del sistema principal. Los procedimientos de recuperación se prueban de forma periódica.

Monitorización y respuesta a incidentes

Los registros de la aplicación y la infraestructura se agregan para la monitorización de seguridad. Contamos con un proceso interno de respuesta a incidentes que abarca detección, contención, erradicación, recuperación y revisión posterior al incidente. Los incidentes relevantes que afecten a datos de clientes se comunican a los afectados sin demora indebida, en consonancia con los requisitos regulatorios.

Pruebas de penetración

iTutor realiza pruebas de penetración anuales con terceros independientes que cubren la aplicación web, la superficie de la API y el sistema de autenticación. Los hallazgos se rastrean hasta su resolución. Los informes de resumen están disponibles para clientes institucionales bajo acuerdo de confidencialidad, previa solicitud.

Postura de cumplimiento normativo

iTutor se desarrolla conforme a principios de privacidad desde el diseño, alineados con el Reglamento General de Protección de Datos de la UE (GDPR). Para los clientes institucionales ofrecemos Acuerdos de Tratamiento de Datos que detallan la relación responsable/encargado del tratamiento, las listas de subencargados, las opciones de residencia de datos cuando aplican y los flujos de trabajo para solicitudes de los interesados.

En los despliegues en centros educativos seguimos las expectativas de privacidad del sector: minimización de datos, ausencia de perfilado publicitario conductual de estudiantes y estricta limitación de cualquier análisis al uso educativo.

Divulgación responsable de vulnerabilidades

Si has descubierto un problema de seguridad en iTutor, queremos saberlo. Escríbenos al correo indicado a continuación con los pasos para reproducirlo, el impacto y cualquier material de prueba de concepto. Nos comprometemos a acusar recibo de tu informe en 5 días hábiles, a proporcionar una actualización de estado en 14 días y a coordinar contigo los plazos de divulgación responsable.