Certificado de forma independiente. Auditado de forma continua. Responsabilidad operativa.
Dos certificaciones formales — ISO/IEC 27001:2023 y el Esquema Nacional de Seguridad en nivel MEDIO. Auditorías externas de infraestructura trimestrales por un centro de operaciones de seguridad español independiente. Los datos de los clientes alojados en instalaciones de la UE con nombre. La evidencia detrás de cada afirmación está en archivo y disponible bajo NDA.
ISO/IEC 27001:2023
Sistema de Gestión de Seguridad de la Información. Emitido por ADOK Certificación. Certificado 044807, válido hasta el 15 de julio de 2028. El alcance cubre el alojamiento On-Premise, SaaS y Cloud de los servicios Axional.
ENS — Esquema Nacional de Seguridad, nivel MEDIO
Real Decreto 311/2022. Las cinco dimensiones — confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad — valoradas en nivel Medio. 63 controles distintos. Certificado 624807, válido hasta el 12 de enero de 2027.
Auditorías externas trimestrales
Auditoría de infraestructura externa independiente por mdtel / SECUNIT, un centro de operaciones de seguridad español. Exposición de red, postura TLS, superficie web e higiene operacional revisadas cada trimestre.
Residencia de datos en la UE
Alojamiento en producción en instalaciones Atlas Edge con nombre en Barcelona y Madrid. Residencia de datos exclusivamente en España disponible para cargas de trabajo del sector público y sanidad regulada.
Cumplimiento
Los marcos formales bajo los que opera el alcance certificado. Las dos normas certificadas enlazan al certificado firmado; los dos regímenes legales describen la postura de deister software como encargado del tratamiento de datos.
ISO/IEC 27001:2023
Certificado. ADOK Certificación, certificado 044807, válido hasta el 15 de julio de 2028.
ENS Medio
Certificado. Real Decreto 311/2022, certificado 624807, válido hasta el 12 de enero de 2027.
RGPD
Cumplimiento. Reglamento (UE) 2016/679. Los datos personales de clientes se tratan como encargado bajo contrato. DPA disponible a petición en dpo@deister.es.
LOPDGDD española
Cumplimiento. Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales. Supervisada por la Agencia Española de Protección de Datos (AEPD).
ISO/IEC 27001:2023 — Gestión de Seguridad de la Información
deister software opera un Sistema de Gestión de Seguridad de la Información certificado conforme a la edición actual de la norma internacional, UNE-ISO/IEC 27001:2023. La certificación fue otorgada por ADOK Certificación, S.L., un organismo de certificación español acreditado bajo ISO 17065.
Alcance, tal como figura en el certificado (textual, en español): "Los sistemas de información que dan soporte a los servicios Axional de deister software en sus modalidades On Premise y Saas, así como la gestión del alojamiento Cloud según la declaración de aplicabilidad 2025_V6."
Cobertura. Grupo deister software — seis entidades jurídicas que operan en España y Perú: deister software Consulting, deister software Tech Services, deister software S.A., deister software Cloud, deister software S.A. Sucursal Perú y deister software Software Perú. Centros operativos bajo el certificado: Barcelona (Sant Pere Claver), Madrid (Edificio Baluarte), Girona (Bernat Boades) y Lima (Javier Prado Este).
Datos de referencia. Número de certificado 044807 · otorgado el 16 de julio de 2025 · válido hasta el 15 de julio de 2028 · Declaración de Aplicabilidad 2025_V6. El certificado firmado y el anexo con cada entidad cubierta están disponibles bajo NDA previa solicitud.
ENS Medio — Esquema Nacional de Seguridad
Los mismos sistemas de información están certificados conforme al Esquema Nacional de Seguridad establecido por el Real Decreto 311/2022. La certificación es en nivel MEDIO, otorgada por ADOK Certificación bajo acreditación ENAC ISO 17065 nº 242 / C-PR473.
Dimensiones de seguridad. Las cinco dimensiones ENS están valoradas en nivel Medio: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. Se implementan y verifican sesenta y tres controles de seguridad distintos.
Alcance. La misma superficie de servicio Axional que el certificado ISO 27001 — on-premise, SaaS y alojamiento cloud gestionado — bajo la Declaración de Aplicabilidad vigente.
Por qué es relevante. ENS Medio es el umbral habilitante para la contratación pública española y para la mayoría de compradores de sanidad y educación de comunidades autónomas. Los proveedores que carecen de esta certificación no superan el proceso de admisión.
Datos de referencia. Número de certificado 624807 · otorgado el 13 de enero de 2025 · válido hasta el 12 de enero de 2027 · emitido en Bilbao el 5 de marzo de 2025. El certificado firmado está disponible bajo NDA previa solicitud.
Auditorías externas de infraestructura
Las auditorías externas de infraestructura trimestrales las realiza mdtel / SECUNIT, un centro de operaciones de seguridad español independiente. Cada ciclo cubre: mapeo de exposición externa de red, identificación de servicios y versiones, configuración TLS e higiene de certificados, revisión de cabeceras de seguridad HTTP, análisis de superficie de aplicación web, cobertura del firewall de aplicación web e inventario de indicadores de divulgación de información.
Cada hallazgo se valora por severidad según una rúbrica publicada. Se produce un plan de remediación que se sigue y valida en el siguiente ciclo trimestral. El auditor y el ciclo son públicos; los propios hallazgos son confidenciales en el marco de la relación de auditoría y están disponibles bajo NDA para equipos de compras y seguridad cualificados que realicen auditorías de diligencia debida.
Residencia de datos
Los datos de los clientes para los servicios Axional alojados en la nube residen en la Unión Europea. El alojamiento en producción opera desde dos centros de datos Atlas Edge con nombre en suelo español: Atlas Edge Barcelona (Carrer de l'Acer 9, Sants-Montjuïc, 08038) y Atlas Edge Madrid (Av. de Manoteras 42B, Hortaleza, 28050). Ambas instalaciones están referenciadas explícitamente en el certificado ENS.
La residencia de datos exclusivamente en España está disponible para clientes del sector público y para cargas de trabajo sanitarias sujetas a la normativa de protección de datos de las comunidades autónomas. Los despliegues on-premise ubican los datos del cliente en la localización designada por éste, sin acceso operativo por parte de deister software más allá de los canales de soporte definidos contractualmente.
Subencargados y partners de infraestructura
Cada proveedor externo que trata datos de clientes, o que opera infraestructura bajo el alcance certificado, se nombra aquí. Los equipos de compras se suscriben a los cambios a través del buzón de seguridad indicado a continuación; los clientes bajo contrato reciben treinta días de preaviso ante cualquier incorporación material.
Alojamiento en producción
Atlas Edge. Dos instalaciones de la UE con nombre: Barcelona (Carrer de l'Acer 9, 08038 Sants-Montjuïc) y Madrid (Av. de Manoteras 42B, 28050 Hortaleza). Ambas instalaciones figuran en el certificado ENS. Atlas Edge cuenta con ISO 27001 e ISO 50001 en toda su cartera ibérica.
Auditoría de seguridad externa
mdtel / SECUNIT — centro de operaciones de seguridad español. Auditoría trimestral externa de infraestructura del entorno de producción. La declaración del auditor forma parte del paquete de evidencias.
Organismo de certificación
ADOK Certificación, S.L. Número de acreditación ENAC ISO 17065 242 / C-PR473. Otorga y mantiene las certificaciones ISO 27001 y ENS Medio. Actúa sobre el sistema de gestión, no sobre los datos de los clientes.
Correo electrónico y transporte de identidad
Los proveedores de correo operativo y transporte SSO se nombran en el registro consolidado de subencargados, disponible bajo NDA con el paquete de evidencias. El resumen público se incorporará a esta página cuando la revisión del departamento legal esté completada.
Observabilidad y monitorización
Los proveedores de ingesta de logs, métricas y trazas procesan únicamente telemetría operativa. Los registros de negocio de los clientes nunca abandonan el límite de alojamiento certificado. Los nombres de proveedores específicos forman parte del registro consolidado de subencargados.
Herramientas de soporte al cliente
Las herramientas de helpdesk y ticketing contienen los metadatos de los compromisos de soporte (asuntos, adjuntos a discreción del cliente), no datos de negocio en producción. Los nombres de proveedores se divulgan bajo NDA.
Privacidad y protección de datos
deister software trata los datos personales de los clientes como encargado bajo contrato, de conformidad con el Reglamento (UE) 2016/679 (el Reglamento General de Protección de Datos) y la Ley Orgánica española 3/2018 de protección de datos personales y garantía de los derechos digitales.
El Acuerdo de Tratamiento de Datos que refleja las obligaciones del artículo 28 del RGPD está incorporado en el contrato marco de servicios firmado con cada cliente en la nube y SaaS. Una plantilla independiente, adecuada para revisión por parte del departamento de compras antes del contrato, se incluye en el paquete de evidencias disponible bajo NDA.
La función de Delegado de Protección de Datos puede contactarse en dpo@deister.es. Las solicitudes de acceso, rectificación, supresión y portabilidad de datos enviadas a este buzón se acusan de recibo en setenta y dos horas y se resuelven en un plazo de treinta días naturales, de conformidad con el artículo 12 del RGPD.
Los responsables del tratamiento del Grupo deister software son las seis entidades jurídicas nombradas en el certificado ISO 27001 (España y Perú). Los datos de registro de cada entidad se publican en el correspondiente registro mercantil nacional y se referencian en el contrato marco de servicios en el momento de la firma.
Divulgación de vulnerabilidades
Las divulgaciones coordinadas de seguridad son bienvenidas por parte de investigadores, clientes y partners. El contacto de seguridad publicado es security@deister.es. Una clave PGP firmada se publica en la ubicación canónica security.txt, /.well-known/security.txt, de conformidad con el RFC 9116.
Compromisos de nivel de servicio. Los nuevos informes se acusan de recibo en un día hábil. El triaje y la asignación de severidad se completan en cinco días hábiles. Los hallazgos de severidad crítica bajo explotación activa se derivan a respuesta a incidentes de inmediato y la base de clientes es notificada en un plazo de setenta y dos horas desde la confirmación, de conformidad con el artículo 33 del RGPD.
Puerto seguro. La investigación de buena fe realizada bajo la política de divulgación publicada — pruebas proporcionadas, sin exfiltración de datos, sin interrupción del servicio, sin impacto en terceros — no será perseguida. Los investigadores que actúen de buena fe serán mencionados en el registro de divulgación si así lo solicitan.
Documentos públicos
Los certificados firmados y las versiones públicas de las políticas están disponibles para descarga directa. No se requiere NDA.
Certificado ISO/IEC 27001:2023 (PDF)
Certificado firmado 044807 emitido por ADOK Certificación. Válido hasta el 15 de julio de 2028. Cubre los servicios Axional en sus modalidades On-Premise, SaaS y alojamiento Cloud.
Certificado ENS Medio (PDF)
Certificado firmado 624807 emitido por ADOK Certificación. Válido hasta el 12 de enero de 2027. Sesenta y tres controles en las cinco dimensiones ENS en nivel Medio.
Política de privacidad
Aviso de privacidad público que cubre los datos personales tratados en el curso de consultas precontractuales, soporte al cliente y la operación de las superficies deister.es y airtool.io. PDF disponible a petición en dpo@deister.es mientras se finaliza la versión pública.
Acuerdo de Tratamiento de Datos — plantilla
Plantilla independiente del artículo 28 del RGPD para revisión por compras antes del contrato. Disponible a petición en dpo@deister.es; la versión firmada con cada cliente incorpora el alcance específico del cliente y la lista de subencargados.
Evidencia confidencial — disponible bajo NDA
Un único acuerdo de confidencialidad ejecutado mutuamente desbloquea el paquete confidencial completo. Respuesta en un plazo de cuarenta y ocho horas tras la recepción del NDA.
Resumen de la Declaración de Aplicabilidad
Mapeo de los controles del Anexo A de ISO 27001:2022 implementados bajo el alcance certificado, con las exclusiones justificadas conforme a la Declaración de Aplicabilidad 2025_V6.
Resumen de auditoría externa — ciclo actual
Informe de auditoría trimestral de mdtel / SECUNIT. Alcance, metodología, rúbrica de severidad, resumen de hallazgos, estado de remediación.
Registro de subencargados — completo
Registro consolidado con el nombre de cada proveedor que trata datos de clientes: nombre, finalidad, categorías de datos, región de tratamiento, postura de certificación, referencia del contrato.
Descripción de arquitectura y seguridad
Descripción técnica detallada del modelo de seguridad: cifrado en tránsito y en reposo, gestión de claves, segregación de red, gestión de identidades y accesos, registro de auditoría, configuraciones controlables por el cliente.
Estado de la página
Esta página se revisa trimestralmente y tras cualquier cambio material en el alcance certificado, el registro de subencargados o el programa de divulgación. Última revisión de la página: 14 de mayo de 2026. Próxima revisión programada: 14 de agosto de 2026.
Contacto de seguridad legible por máquina: /.well-known/security.txt (RFC 9116). Buzón de seguridad: security@deister.es. Buzón de protección de datos: dpo@deister.es.