Modulario by AMCEF

Diseñado para sectores regulados

ISO 27001, RGPD by design, conforme al AI Act, hosting de datos en la UE. Modulario cumple los requisitos más estrictos de bancos, aseguradoras, sanidad y administración pública.

Descargar DPA Reservar consulta

Seguridad en cada nivel

Certificación ISO 27001

Modulario está gestionado por AMCEF s.r.o., certificado según ISO/IEC 27001 (gestión de la seguridad de la información) e ISO 9001 (gestión de la calidad). Certificados disponibles bajo solicitud.

Hosting de datos en la UE

Sus datos se alojan en centros de datos certificados en la UE con residencia de datos garantizada. Ningún dato sale de la UE — relevante para sectores regulados, banca, sanidad y administración pública.

RGPD by design

Modulario está diseñado conforme al RGPD desde la base. Data Processing Agreement (DPA), derechos de los interesados (acceso, rectificación, supresión, portabilidad), registros de tratamiento, DPIA — todo automatizado en el sistema.

Conforme al AI Act

Modulario es AI Act compliant by design (UE 2024/1689). Transparencia de los sistemas de IA, supervisión humana, audit log de las decisiones de IA, prohibición de prácticas vetadas. Para casos de uso AI-heavy en sectores regulados.

Permisos granulares (OpenFGA)

Modulario utiliza el modelo ReBAC al estilo Google Zanzibar (OpenFGA) — el sistema de permisos más granular en la categoría low-code. Roles, grupos, políticas a nivel de módulo / registro / campo / acción.

SSO y SCIM

Single Sign-On vía SAML 2.0 y OIDC, aprovisionamiento automático de usuarios vía SCIM 2.0. Integración con Azure AD, Okta, Google Workspace, ADFS.

Audit log

Registro completo de quién, qué, cuándo y desde dónde se ha hecho cada acción en el sistema. No borrable, exportable para auditorías. Conforme con SOX, SOC 2 y los reguladores bancarios.

Copias de seguridad y Disaster Recovery

Copias incrementales diarias y full semanales. Almacenamiento georredundante en dos ubicaciones de la UE. RPO 24 h, RTO 4 h, garantía SLA.

Cifrado en tránsito y en reposo

TLS 1.3 para la comunicación, AES-256 para el almacenamiento. Customer-managed encryption keys (CMEK) bajo solicitud.

Bajo solicitud le proporcionamos

  • Certificado ISO 27001 de AMCEF
  • Certificado ISO 9001 de AMCEF
  • Data Processing Agreement (DPA) — SK/EN
  • Business Continuity Plan (BCP)
  • Disaster Recovery Plan (DRP)
  • Security Whitepaper
  • Resumen del test de penetración (bajo NDA)
  • Cuestionario de due diligence (CAIQ/SIG Lite)
Solicitar documentos

Preguntas frecuentes

¿Puedo obtener un Data Processing Agreement (DPA) para firmar?

Sí, el DPA estándar para descarga está disponible para todos los clientes. Para clientes Enterprise también ofrecemos la adaptación del DPA a sus requisitos internos. Contáctenos para obtener la versión actual.

¿Dónde se almacenan físicamente nuestros datos?

Los datos se almacenan en centros de datos certificados dentro de la UE (varias ubicaciones — p. ej. Alemania, Italia) con georredundancia. Los datos nunca salen de la UE. Para clientes de sectores regulados también está disponible el despliegue on-premise en las instalaciones del cliente.

¿Quién es propietario de los datos en Modulario?

Sus datos siguen siendo propiedad suya — AMCEF es solo processor, no controller. Puede exportar los datos en cualquier momento (formatos CSV, JSON, SQL dump). Al finalizar el contrato dispone de un plazo de 30 días para exportarlos; después se eliminan de forma irreversible conforme al art. 17 del RGPD.

¿Con qué frecuencia realizan tests de penetración?

Los tests de penetración externos se realizan al menos una vez al año por una empresa de seguridad independiente. Los code reviews internos y el escaneado SAST/DAST forman parte de cada release. Proporcionamos el resumen del pentest bajo NDA.

¿Podemos tener un cluster dedicado / self-host?

Sí. Los clientes Enterprise pueden disponer de un cluster dedicado (un único tenant por cluster) en nuestra infraestructura cloud, o de una solución on-premise self-hosted. Técnicamente también soportamos un escenario híbrido (parte en cloud, parte on-prem).

¿Cuál es su proceso de incident response?

Clasificamos los incidentes de seguridad según ISO 27035 (P1-P4). Para incidentes P1 (data breach) tenemos la obligación de notificar al cliente en un plazo de 24 horas y a la autoridad de protección de datos en 72 horas conforme al art. 33 del RGPD. Detalles en la documentación SLA.

¿Tienen la certificación SOC 2?

SOC 2 Type II está en proceso (obtención prevista en Q3 de 2026). Actualmente tenemos ISO 27001 e ISO 9001, que cubren la mayoría de las mismas áreas de control. Para clientes enterprise de EE. UU. ofrecemos un cuestionario con el mismo nivel de detalle.

¿Cómo se aborda el uso de IA frente al RGPD y al AI Act?

Modulario AI features: (1) la elección del proveedor de LLM corresponde al cliente (OpenAI, Anthropic, Azure, Llama/Mistral self-hosted), (2) los datos no se utilizan para entrenar modelos, (3) human-in-the-loop para decisiones críticas, (4) audit log de IA, (5) posibilidad de desactivar por completo las funciones de IA por tenant.

¿Preguntas sobre seguridad o compliance?

Nuestro equipo de Security & Compliance responde en 24 horas en días laborables.

Dávid Bělousov

Dávid Bělousov

Sales Director

+421 902 826 802 sales@amcef.com
Reservar consulta