Seguridad y Tratamiento de Datos

SPHIOR Ops Console for Monday

Esta página describe cómo SPHIOR ("nosotros") protege SPHIOR Ops Console for Monday (la "App") y trata sus datos. Para conocer cómo tratamos los datos de forma más general, consulte nuestra Política de Privacidad en https://ops-console.sphior.com/privacy.

1. Arquitectura y tratamiento de datos

· Alojado en monday code. La App se ejecuta en la infraestructura gestionada de monday.com (monday code). No operamos una base de datos externa independiente, ni un servicio de reenvío de registros ni un pipeline de analítica. · Sin almacenamiento a largo plazo de los datos de negocio del cliente. El contenido de tableros y elementos se trata de forma transitoria —en memoria o en un área de preparación de corta duración— y se elimina inmediatamente una vez finalizada la operación o tras su entrega a la nube que usted elija. · Entrega a su propia nube. Las exportaciones se entregan a su propio Google Drive según sus instrucciones; no conservamos ninguna copia. · Cifrado en tránsito: TLS en cada llamada a la API, aplicado por las plataformas de monday.com y Google. · Cifrado en reposo: la configuración y los tokens se guardan en monday Storage / monday SecureStorage, cifrados por monday.com. Las instantáneas de Undo se almacenan cifradas.

2. Instantáneas de Undo y conservación

Antes de cualquier acción destructiva (fusión de duplicados, archivado en bloque o buscar y reemplazar), la App captura una instantánea de Undo para que pueda recuperar los datos. Las instantáneas están cifradas, tienen un tiempo de vida (TTL) de 30 días y se eliminan automáticamente cuando transcurre el TTL. Son el único contenido de cliente que la App conserva más allá de la duración de una operación.

3. Ámbitos de mínimo privilegio

La App solicita únicamente los ámbitos mínimos de monday.com necesarios para su funcionalidad: me:read, account:read, boards:read, boards:write y notifications:write. El acceso a Google Drive se limita al ámbito drive.file, que concede acceso solo a los archivos que la propia App crea o que usted selecciona explícitamente, nunca a la totalidad de su Drive. La App no solicita contraseñas de usuarios finales ni tokens de acceso personales; los tokens de plataforma los gestionan monday.com y Google.

4. Ubicaciones de almacenamiento

· Configuración, programaciones y ajustes de trabajos → monday Storage. · Tokens de OAuth (monday y, si está conectado, Google) → monday SecureStorage. · Cargas útiles de las instantáneas de Undo → almacenamiento de objetos cifrado (BLOB) con un TTL de 30 días. · Recuentos de uso anónimos → únicamente métricas agregadas, sin datos personales ni contenido de tableros. SPHIOR no opera ninguna base de datos externa con datos de clientes.

5. Gestión de vulnerabilidades y desarrollo seguro

· Escaneo de seguridad automatizado. Dado que la auditoría autenticada de seguridad web es el negocio principal de SPHIOR, ejecutamos análisis estático (SAST), escaneo de dependencias / código abierto (SCA) y pruebas dinámicas autenticadas (DAST) contra las superficies accesibles de la App de forma periódica y antes de cada lanzamiento significativo. · Las dependencias se fijan mediante archivos de bloqueo (lockfiles); se mantiene y se revisa en cada lanzamiento una lista de materiales de software (SBOM). · Los hallazgos se clasifican y se corrigen dentro de plazos definidos y alineados con los requisitos de seguridad del marketplace de monday.com. · El modo estricto de TypeScript, ESLint y la revisión por pares se ejecutan antes de la fusión a la rama principal. No se incorpora ningún secreto al control de versiones.

6. Respuesta ante incidentes de seguridad

En caso de un incidente de seguridad confirmado que afecte a la App: 1. La clasificación comienza en un plazo de 24 horas desde la confirmación. 2. La notificación al cliente se envía a las instalaciones afectadas en un plazo de 72 horas desde la confirmación de un impacto material, en línea con las expectativas del Article 33 del GDPR. 3. A continuación se realizan el análisis de causa raíz y un plan de corrección; las correcciones que afecten a los clientes se publican a través del pipeline de actualizaciones del marketplace de monday.com. 4. Se comparte un resumen posterior al incidente con los clientes afectados y, cuando proceda, se resume públicamente. Los posibles eventos de seguridad pueden notificarse a security@sphior.com en cualquier momento; los confirmamos en un plazo de 1 día hábil.

7. Controles de acceso (internos)

· Mínimo privilegio. El acceso a los repositorios de código fuente, a la consola de desarrollador de monday.com y al despliegue en producción se restringe a los mantenedores de la App según el principio de necesidad de conocer. No se utilizan cuentas compartidas ni credenciales de producción compartidas. · La rama principal está protegida con comprobaciones de estado obligatorias (la verificación de tipos, el linting y las pruebas deben pasar antes de la fusión). · Se exige autenticación multifactor (MFA) en todas las cuentas con acceso al código fuente, a la consola de desarrollador y a las herramientas de despliegue. · La lista de accesos se revisa al menos trimestralmente y se revoca con prontitud cuando ya no es necesaria.

8. Inteligencia artificial

La funcionalidad principal de la App —deduplicación, buscar y reemplazar, archivado en bloque, exportación y elementos recurrentes— es totalmente determinista. No se envía ningún dato de tableros del cliente a ningún servicio de AI o de aprendizaje automático, y no usamos sus datos para entrenar modelos.

9. Divulgación responsable

Damos la bienvenida a la investigación de seguridad sobre la App. Le rogamos que notifique los hallazgos de forma privada a security@sphior.com, con una descripción, los pasos de reproducción, una evaluación del impacto y cualquier mitigación sugerida. Nos comprometemos a confirmar la recepción de su informe en un plazo de 1 día hábil, a proporcionar una decisión de clasificación inicial en un plazo de 5 días hábiles y a no emprender acciones legales contra los investigadores de buena fe que sigan esta política.

10. Contacto

Eventos de seguridad: security@sphior.com Contacto general: support@sphior.com Consultas de privacidad: consulte la Política de Privacidad en https://ops-console.sphior.com/privacy

Última actualización: 2026-07-11