Política de Seguridad de la Información
Introducción
Esta Política de Seguridad describe las medidas con las que P2G Servicios Digitales de Gestión de Talento, S.L. (titular de Licitia, ver Aviso Legal) protege la confidencialidad, integridad y disponibilidad de la información tratada en la plataforma. Nuestras prácticas están alineadas con las buenas prácticas reconocidas en normas como ISO/IEC 27001 y con la normativa aplicable: el Reglamento General de Protección de Datos (RGPD) y la LOPDGDD.
Alcance
Licitia es una plataforma de inteligencia sobre licitaciones públicas en España. Esta política aplica a todos los sistemas, datos y procesos que soportan el servicio: la información de las cuentas de usuario, el contenido que los usuarios almacenan en la plataforma y la infraestructura que la sustenta.
Conviene destacar que la mayor parte de los datos que Licitia procesa (licitaciones, adjudicaciones, órganos de contratación) son información pública procedente de fuentes oficiales. Los datos personales que tratamos se limitan a los descritos en la Política de Privacidad.
Objetivos
- Proteger la confidencialidad de la información, evitando accesos y divulgaciones no autorizados.
- Garantizar la integridad de la información, previniendo modificaciones no autorizadas.
- Asegurar la disponibilidad del servicio para los usuarios autorizados.
- Cumplir las obligaciones legales, regulatorias y contractuales aplicables.
- Mejorar de forma continua nuestras medidas de seguridad.
Medidas de seguridad
- Cifrado en tránsito: todas las comunicaciones entre tu navegador y Licitia se cifran mediante TLS (HTTPS), con renovación automática de certificados.
- Protección de credenciales: las contraseñas se almacenan con algoritmos de hashing seguros y nunca en texto claro. Las sesiones se gestionan mediante tokens firmados con caducidad.
- Control de acceso: el acceso a los sistemas de producción está restringido al personal autorizado, bajo el principio de mínimo privilegio, con accesos administrativos protegidos.
- Pagos: los pagos se procesan a través de Stripe, proveedor certificado PCI-DSS de nivel 1. Licitia no almacena números de tarjeta.
- Copias de seguridad: realizamos copias de seguridad diarias y automatizadas de la base de datos, con retención rotativa, que nos permiten restaurar el servicio ante un incidente.
- Monitorización y registro: mantenemos registros de actividad de los sistemas y alertas automáticas que nos permiten detectar y responder con rapidez a comportamientos anómalos o degradaciones del servicio.
- Desarrollo seguro: los cambios en el software pasan por revisión de código, análisis estático y pruebas automatizadas antes de desplegarse en producción; los despliegues son controlados y reversibles.
- Gestión de dependencias: las dependencias de software se mantienen actualizadas y se revisan frente a vulnerabilidades conocidas.
- Gestión de proveedores: trabajamos con proveedores de infraestructura reconocidos (detallados en la Política de Privacidad) que mantienen sus propias certificaciones de seguridad, y firmamos con ellos los acuerdos de tratamiento de datos exigidos por el art. 28 RGPD.
- Secretos y configuración: las credenciales y claves de los sistemas se gestionan fuera del código fuente, mediante variables de entorno y almacenes de secretos, con controles automáticos que impiden su exposición accidental.
Gestión de incidentes
Mantenemos un proceso de gestión de incidentes para detectar, contener y resolver incidentes de seguridad, identificar su causa raíz y prevenir su repetición. Si un incidente constituye una violación de seguridad de datos personales que suponga un riesgo para tus derechos y libertades, lo notificaremos a la autoridad de control y, cuando proceda, a los afectados, conforme a los artículos 33 y 34 del RGPD.
Continuidad del servicio
La combinación de copias de seguridad diarias, infraestructura redundante en proveedores especializados y despliegues reversibles nos permite restaurar el servicio ante interrupciones. Además, monitorizamos de forma continua la frescura de los datos ingeridos desde las fuentes oficiales para detectar y corregir interrupciones en la ingesta.
Comunicación de vulnerabilidades
Si has detectado una vulnerabilidad o un problema de seguridad en Licitia, te agradecemos que nos lo comuniques de forma responsable escribiendo a seguridad@licitia.eu. Investigamos todos los informes recibidos y nos comprometemos a responder con la mayor rapidez posible. Te pedimos que no accedas, modifiques ni divulgues datos de terceros durante tus pruebas.
Mejora continua
Revisamos periódicamente nuestras medidas de seguridad, analizamos los incidentes y las lecciones aprendidas, y actualizamos esta política cuando introducimos cambios relevantes en nuestras prácticas o infraestructura.
Última actualización: julio 2026