Cumplimiento Y Seguridad

Certificación ISO 27001

Turbit está en proceso de certificación según ISO/IEC 27001, con finalización prevista en el primer trimestre de 2026. Las políticas internas, controles y auditorías ya están en vigor para alinearse con este estándar.

Infraestructura Crítica

Casi todos los clientes de Turbit están clasificados como operadores de infraestructura crítica. La verificación de estos clientes se ha completado mediante planes detallados de infraestructura y seguridad. Turbit no tiene acceso directo a los sistemas de control de parques eólicos o solares, lo que limita la exposición de seguridad y simplifica los procesos de verificación.

Documentación para Clientes

Descripción general de seguridad e planes de infraestructura están disponibles bajo solicitud.

Alcance de Datos

• Datos operacionales como SCADA, códigos de estado, señales de sensores, información de rendimiento y mantenimiento
• Datos de cliente: Solo se almacenan detalles de contacto comercial esenciales

Cifrado

• En tránsito: TLS para todas las interfaces.
• En reposo: almacenamiento cifrado en infraestructura alojada en la UE.

Residencia de datos

• Todo el almacenamiento y procesamiento están en la Unión Europea.

Proveedor y ubicación

Nuestros servidores están posicionados en servidores bare-metal europeos en centros de datos de la UE que cumplen con ISO 27001. Solo Turbit tiene acceso a ellos.

Arquitectura

Los servicios de producción y bases de datos se ejecutan de forma redundante, al menos tres servicios en centros de datos distintos. Redes privadas, segmentación y firewalls protegen todas las interfaces.

• SDLC estructurado con revisiones de seguridad en cambios.
• Cambios rastreados mediante RFCs y Architectural Decision Records.
• Actualizaciones automatizadas semanales de servicios y sistemas operativos.
• Solo se permiten paquetes vetados por el equipo de ciberseguridad.
• Monitoreo continuo de avisos de seguridad con parches rápidos.

Ciclo de vida de cuentas

• Creación manual de usuarios, revocación inmediata disponible.
• Revisiones de acceso periódicas semiautomatizadas.
• Controles previstos: desactivación automática de cuentas inactivas y rotación de contraseñas obligatoria para servicios críticos.

Autenticación e interfaces

• Autenticación multifactor compatible
• Acceso a API mediante claves API, OAuth 2.0 o certificados.
• Acceso remoto mediante 2FA, autenticación por clave SSH, OpenVPN y OAuth.

Principio de menor privilegio

• Control de acceso basado en roles para empleados, clientes y proveedores.

• Las conexiones a instalaciones externas se aprovisionan a través del sistema de tickets de soporte de Turbit.
• Solo el personal capacitado y autorizado puede acceder a estos entornos.
• Las contraseñas se intercambian mediante sistema de transferencia segura de una sola vez (Share a secret - One Time).

Prevención y detección

• Segmentación de red y firewalls implementados.
• Almacenamiento de registros WORM y monitoreo con análisis de detección de fraudes, SIEM e IDS.

Proceso de parches y vulnerabilidades

• Monitoreo continuo de alertas de ciberseguridad.
• Vulnerabilidades triadas en el sistema de tickets interno y remediadas según criticidad.

• Copias de seguridad en caliente al menos semanalmente.
• Copias de seguridad en frío sin conexión trimestrales, almacenadas fuera del sitio.
• Pruebas de restauración automatizadas mensuales y ejercicios manuales semestrales.

Se está implementando un registro de auditoría integral para alineación con ISO, capturando inicios de sesión, accesos, cambios de configuración y acciones de administrador en almacenamiento WORM.

La IA de Turbit para monitorización se clasifica como riesgo mínimo/limitado sin control de seguridad crítica autónomo. Implementamos transparencia, explicabilidad y supervisión humana en todos nuestros productos de IA de conformidad con el RGPD y la EU AI Act.