Estrategia CISO - FarmaMatch 2026-2027
Analisis de Situacion de Seguridad
Estado Actual de la Seguridad
FarmaMatch se encuentra en fase pre-seed (greenfield). No existe infraestructura, código, datos ni equipo de seguridad. Esto supone una ventaja estratégica: podemos implementar seguridad por diseño (Security by Design) desde el día 1, evitando deuda técnica de seguridad.
Activos Criticos y Datos Sensibles
La plataforma manejará datos de alta sensibilidad. Clasificación por niveles:
| Nivel | Tipo de Dato | Ejemplos | Impacto por Brecha |
|---|---|---|---|
| Critico | Datos patrimoniales y financieros | Facturacion farmacia, EBITDA, margenes, rentabilidad, balances | Extremo: perdida de confianza, reclamaciones, sancion AEPD |
| Critico | Datos de due diligence | Contratos, licencias, escrituras, cuentas anuales, NDA | Extremo: exposicion de secretos comerciales, nulidad contractual |
| Alto | Datos personales identificativos | Nombre completo, DNI/NIF, domicilio, situacion patrimonial | Alto: sancion GDPR, dano reputacional |
| Alto | Datos bancarios (escrow) | IBAN para depositos, referencias de pago | Alto: riesgo de fraude, responsabilidad solidaria |
| Medio | Datos de plataforma | Preferencias de busqueda, historial de interacciones, alertas | Medio: perdida de ventaja competitiva |
| Medio | Algoritmo de valoracion | Modelo ML, pesos, datos de entrenamiento, features | Medio-alto: perdida de propiedad intelectual |
Marco Normativo Aplicable
- GDPR (UE) 2016/679 + LOPDGDD 3/2018: Datos economicos/patrimoniales y de salud indirecta
- LSSI (Ley 34/2002): Obligaciones de plataforma de intermediacion
- DSA (Reglamento UE 2022/2065): Transparencia y notificacion de contenidos ilicitos
- Ley 10/2010 (SEPBLAC): Retencion documental 10 anos, deber de confidencialidad
- PCI-DSS v4.0: SI se almacenan o procesan datos de tarjeta (Stripe Connect reduce alcance)
- EU AI Act 2024/1689: Si el algoritmo de valoracion/matchmaking se clasifica como alto riesgo
- ENS (Esquema Nacional de Seguridad): No obligatorio (no administracion publica), pero recomendable como referencial de buenas practicas
Gestion de Riesgos Actual
Sin activos desplegados, el riesgo actual se limita a: - Filtracion de documentacion legal/contractual previa al lanzamiento - Suplantacion de identidad de dominios no registrados (cybersquatting) - Riesgo de ingenieria social sobre el equipo fundacional
Capacidades del Equipo de Seguridad
- Actual: Sin equipo de seguridad dedicado
- Fase 1 (MVP): DevOps 50% asume tareas basicas de seguridad (infra hardening, secret management)
- Fase 2 (Growth): QA incluye pruebas de seguridad funcionales
- Fase 3 (Scale): Security Engineer part-time (50%) - presupuestado 2.500-3.000€/mes
- Soporte externo: DPD externo, consultoria GDPR, pentesting externalizado
Amenazas y Vulnerabilidades Identificadas
| Amenaza | Vector | Probabilidad | Impacto |
|---|---|---|---|
| Acceso no autorizado a sala de datos (due diligence) | Credenciales debiles, sesion no cerrada | Media | Extremo |
| Fuga de datos por empleado interno malintencionado | Acceso legitimo, exfiltracion | Baja | Extremo |
| Phishing a compradores/vendedores (suplantacion FarmaMatch) | Email, SMS, Web | Alta | Alto |
| Ataque DDoS a la plataforma | Botnet, capa de aplicacion | Media | Alto |
| Inyeccion SQL en busqueda/catalogo | API endpoints | Baja (con ORM) | Alto |
| Exposicion de API keys / secrets | Repositorio publico, logs | Baja | Alto |
| Ransomware en infraestructura cloud | Credenciales cloud expuestas | Baja | Critico |
| Fraude en pagos/escrow | Manipulacion de webhooks Stripe | Baja | Alto |
| Manipulacion del algoritmo de valoracion | Datos de entrada fraudulentos | Media | Medio |
Vision de Seguridad
Proyeccion a 3-5 anos
FarmaMatch debe ser la plataforma de intermediacion de farmacias mas confiable de Europa, donde la seguridad sea un habilitador comercial, no una barrera. La confidencialidad de las operaciones y la proteccion de datos sensibles seran un diferenciador competitivo frente a intermediarios tradicionales.
En 3 anos: Certificacion ISO 27001, programa de bug bounty, equipo de seguridad dedicado (2-3 FTE).
En 5 anos: Expansion a Portugal y LatAm con esquemas de seguridad adaptados a cada jurisdiccion, madurez SSI (Shared Signals) y roadmap hacia Zero Trust.
Objetivos de Seguridad
- Cero brechas de datos criticas en los primeros 3 anos de operacion
- Cumplimiento normativo total (GDPR, LOPDGDD, SEPBLAC, LSSI, DSA) desde el lanzamiento
- Confianza del mercado: ser percibidos como la plataforma mas segura del sector
- Resiliencia operativa: disponibilidad >99.5%, RTO <4h, RPO <15min
- Proteccion del secreto industrial: algoritmo de valoracion como activo irremplazable
Diferenciadores en Proteccion de Datos
| Diferenciador | Propuesta de Valor | Impacto Comercial |
|---|---|---|
| Sala de datos virtual con auditoria | El vendedor sabe exactamente quien vio sus datos financieros y cuando | Los vendedores confian mas en la plataforma |
| Cifrado extremo a extremo en documentos due diligence | Solo el comprador autorizado puede descifrar | Cumplimiento GDPR, tranquilidad para el vendedor |
| Autenticacion 2FA obligatoria | Sin excepciones para usuarios registrados | Previene accesos no autorizados |
| Consentimiento granular por documento | El usuario decide que comparte y con quien | Transparencia total, confianza del usuario |
| Trazabilidad completa del deal pipeline | Cada accion queda registrada en blockchain de auditoria | Resolucion de disputas, compliance SEPBLAC |
Marco Normativo
RGPD y Proteccion de Datos (LOPDGDD 3/2018)
FarmaMatch trata datos de alta sensibilidad: economicos, patrimoniales, y potencialmente de salud indirecta (si el comprador es farmaceutico). Requisitos:
| Requisito | Implementacion | Prioridad |
|---|---|---|
| Designacion DPD externo | Contratacion servicio externalizado (1.500-3.000€/ano) | Q3 2026 |
| Registro de Actividades de Tratamiento (RAT) | Documento interno + herramienta de gestion | Q4 2026 |
| Analisis de Riesgos (AR) | Metodologia AEPD / ISO 27005 | Q4 2026 |
| Evaluacion de Impacto (EIPD) | Para la plataforma completa (datos patrimoniales) | Q4 2026 |
| Consentimiento explicito segmentado | Por tipo de dato y finalidad (marketing, matchmaking, due diligence) | Q1 2027 |
| Derechos ARCO+ (acceso, rectificacion, supresion, portabilidad) | Portal de privacidad automatizado | Q1 2027 |
| Acuerdo de Encargo de Tratamiento (DPA) | Con AWS, Auth0, SendGrid, Stripe y resto de proveedores | Q4 2026 |
| Politica de privacidad multicapa | Capa basica + capa detallada + capa por servicio | Q1 2027 |
| Minimizacion de datos | Solo recoger datos necesarios para cada funcionalidad | Diseño |
| Retencion y borrado | Automatico tras 10 anos (SEPBLAC) o antes segun finalidad | Q1 2027 |
Consideracion Especial: Datos de Salud Indirecta
Los datos de farmaceuticos (colegiados, titulares) no son datos de salud per se, pero pueden revelar: - Condicion de farmaceutico (profesion sanitaria) - Localizacion de su farmacia (dato de establecimiento sanitario) - Volumen de facturacion (vinculado a prescripciones, que si son datos de salud)
Decision: Tratar TODOS los datos de la plataforma con el nivel de proteccion de datos de salud (maximo nivel), aunque legalmente no lo sean. Esto sobrecumple pero elimina riesgos interpretativos.
ENS (Esquema Nacional de Seguridad)
No es obligatorio para FarmaMatch (no es administracion publica ni proveedor de servicios digitales a la administracion). Sin embargo: - Recomendacion: Adoptar la categorizacion y medidas del ENS como referencial de buenas practicas - Categoria sugerida: ALTA (datos de caracter personal de alta sensibilidad + datos economicos) - Beneficio: Si en futuro se contrata con administraciones publicas (conciertos, subvenciones), el ENS seria requisito
NIS2 (Directiva UE 2022/2555)
No aplica directamente: FarmaMatch no opera infraestructuras criticas ni servicios esenciales. Sin embargo, si la plataforma escala a gestionar +50 operaciones/mes con volumen economico significativo, podria considerarse “servicio digital” sujeto a notificacion de incidentes.
No obstante, adoptaremos medidas NIS2-equivalentes: - Notificacion de incidentes significativos a autoridad competente en <24h - Plan de continuidad de negocio probado semestralmente - Auditoria de seguridad anual externa
Otras Regulaciones
| Norma | Aplica | Accion Requerida |
|---|---|---|
| LSSI (Ley 34/2002) | Si | Aviso legal, condiciones generales, politica cookies, deber de informacion |
| DSA (UE 2022/2065) | Si | Mecanismo de notificacion, punto de contacto unico, informe transparencia anual (si >50M usuarios/mes) |
| SEPBLAC (Ley 10/2010) | Si | Retencion documental 10 anos, confidencialidad, formacion empleados |
| EU AI Act | Posible (si algoritmo > alto riesgo) | Documentacion del modelo, transparencia, evaluacion de sesgos, supervisión humana |
| PCI-DSS v4.0 | Parcial (via Stripe) | SAQ A (si no tocamos datos de tarjeta), verificacion anual |
| eIDAS 2.0 | Si (firma electronica) | Uso de firma electronica cualificada en contratos de intermediacion |
Pilares Estrategicos
1. Proteccion de Datos y Privacidad (Privacy by Design)
La plataforma debe integrar proteccion de datos en cada capa: desde el modelo de datos hasta la interfaz de usuario.
Componentes clave: - Minimizacion: Solo recoger datos necesarios para la funcionalidad contratada - Segregacion: Datos de cada deal aislados del resto (sala de datos virtual) - Consentimiento granular: El usuario autoriza cada uso especifico de sus datos - Portal de privacidad: Dashboard donde el usuario gestiona sus datos, consentimientos y derechos ARCO+ - Cifrado extremo a extremo: Documentos de due diligence cifrados con clave por deal, solo accesible a partes autorizadas - Anonimizacion: Datos de mercado agregados anonimizados para alimentar el algoritmo de valoracion
2. Seguridad en la Plataforma (AppSec + Infra)
Seguridad integrada en el ciclo de vida del desarrollo y en la infraestructura cloud.
Componentes clave: - Autenticacion robusta: Auth0/Clerk con 2FA obligatorio, OAuth2/OIDC, sesiones con refresh tokens - Autorizacion granular: RBAC (comprador, vendedor, administrador, asesor) + ABAC para documentos (solo partes del deal) - Cifrado en reposo: AES-256 para datos en PostgreSQL (TDE o cifrado a nivel de columna), S3/R2 con SSE-S3 - Cifrado en transito: TLS 1.3 obligatorio en todas las comunicaciones, HSTS preload - WAF: AWS WAF o Cloudflare WAF para proteccion contra inyecciones, XSS, CSRF - API Security: Rate limiting, validacion de schemas (class-validator), API keys rotables, OAuth2 scopes - Hardening de infra: Escaneo de vulnerabilidades en contenedores (Trivy), CIS benchmarks, parcheado automatizado - Logging y monitorizacion: Centralizado (Grafana + Loki + Sentry), alertas en tiempo real, retention 12 meses (minimo)
3. Confidencialidad de Operaciones (Trust Layer)
El mercado de compraventa de farmacias es intrinsecamente discreto. Los vendedores no quieren que se sepa que su farmacia esta en venta. La plataforma debe garantizar confidencialidad absoluta hasta que el vendedor autorice la divulgacion.
Componentes clave: - Publicacion anonima: Las farmacias aparecen en busqueda sin datos identificativos (solo ubicacion aproximada y rango de facturacion) - Sala de datos virtual: Solo tras NDA firmado digitalmente se revela la identidad del vendedor y datos financieros detallados - Watermarking digital: Documentos de due diligence con marca de agua con identificador del usuario que los visualiza - Audit trail completo: Registro inmutable de cada acceso a documento: quien, cuando, desde donde, durante cuanto tiempo - Control de descargas: Documentos visualizables solo en plataforma (sin descarga), o descarga con DRM ligero
4. Resiliencia y Continuidad del Negocio
La plataforma es el core del negocio. Sin ella, no hay operaciones, no hay ingresos, no hay confianza.
Componentes clave: - Disponibilidad 99.5%: Arquitectura multi-AZ en AWS, auto-scaling, balanceo de carga - RPO <15min: Backup transaccional de PostgreSQL (Point-in-Time Recovery), backups diarios a S3 - RTO <4h: Runbooks de recuperacion documentados y probados trimestralmente - DRP (Disaster Recovery Plan): Estrategia activo-pasivo multi-region (Espana → Portugal/francfort) - Backup de datos: Diario + semanal + mensual, con cifrado y retention conforme SEPBLAC (10 anos)
5. Seguridad en Pagos y Transacciones Financieras
Los pagos (comisiones, depositos, escrow) son el flujo economico de la plataforma. Una brecha aqui es existencial.
Componentes clave: - Stripe Connect: Reduce drasticamente el alcance PCI-DSS (SAQ A, no tocamos PAN) - Zero data card: Ningun dato de tarjeta de credito pasa por servidores FarmaMatch (Stripe Elements o Stripe Checkout) - Webhook security: Verificacion de firmas HMAC en webhooks de Stripe, validacion de idempotencia - Segregacion de fondos: Cuentas separadas para comisiones, depositos de garantia, y operativa - Anti-fraud: Scoring de transacciones, deteccion de anomalias, limites por operacion - Auditoria financiera: Log de todas las transacciones, reconciliacion automatica, alertas de discrepancia
6. Seguridad en Terceros y Proveedores (Third-Party Risk)
FarmaMatch depende de multiples proveedores SaaS (Auth0, Stripe, AWS, SendGrid, etc.). Cada uno es un eslabon de la cadena de seguridad.
Componentes clave: - Inventario de proveedores: Catalogar todos los subprocesadores de datos - DPA con todos: Acuerdo de encargo de tratamiento con cada proveedor que acceda a datos personales - Evaluacion de seguridad: Revisar certificaciones (SOC 2, ISO 27001) de cada proveedor - Minimizacion de datos compartidos: Cada proveedor solo recibe los datos minimos necesarios - Plan de salida: Estrategia de migracion rapida si un proveedor sufre una brecha o cambia condiciones
Politicas y Procedimientos
Politica de Seguridad de la Informacion
Documento marco que establece los principios, responsabilidades y consecuencias. Incluye: - Alcance: toda la organizacion, empleados, contratistas, plataforma - Principios: confidencialidad, integridad, disponibilidad - Roles y responsabilidades: CEO (responsable ultimo), CISO (supervision), DPD (datos personales), cada empleado (responsable de sus acciones) - Consecuencias: incumplimiento como falta grave, posible despido
Politica de Proteccion de Datos Personales
- Principios: licitud, lealtad, transparencia, minimizacion, exactitud, limitacion de conservacion, integridad y confidencialidad
- Consentimiento: explicito, segmentado por finalidad, revocable
- Derechos ARCO+: procedimiento de atencion en <72h
- Transferencias internacionales: Solo a proveedores con garantias (EE.UU. Data Privacy Framework, Clauses Contractuales Tipo)
- Violaciones de datos: Procedimiento de notificacion a AEPD en <72h
Procedimiento de Gestion de Incidentes
Ver seccion “Plan de Respuesta a Incidentes” mas abajo.
Procedimiento de Respuesta ante Brechas de Datos
- Deteccion: Alertas automatizadas, notificacion de usuarios, monitorizacion de logs
- Contencion: Aislar sistemas afectados, revocar credenciales comprometidas, bloquear acceso
- Investigacion: Forensica digital, determinar alcance (que datos, cuantos registros, durante cuanto tiempo)
- Notificacion: A AEPD en <72h, a afectados sin dilacion indebida, a SEPBLAC si aplica
- Recuperacion: Restaurar desde backup, parchear vulnerabilidad, reforzar controles
- Post-mortem: Analisis de causa raiz, plan de mejora, actualizacion de procedimientos
Politica de Acceso y Control
- Principio de minimo privilegio: Cada usuario solo accede a lo necesario para su rol
- 2FA obligatorio: Sin excepcion para ningun usuario registrado en la plataforma
- Revision periodica de accesos: Trimestral para roles administrativos, anual para usuarios normales
- Offboarding automatico: Desactivacion inmediata al cese de relacion laboral/contractual
- Acceso a documentos: Solo las partes firmantes del NDA tienen acceso a la sala de datos del deal
Politica de Seguridad en Terceros
- Due diligence de proveedores: Evaluacion de seguridad antes de contratacion
- Clausulas contractuales: DPA, SLA de seguridad, derecho de auditoria, notificacion de brechas en <24h
- Revision periodica: Anual para proveedores criticos (Auth0, Stripe, AWS)
- Plan de continuidad: Alternativas identificadas para cada proveedor critico
Gestion de Riesgos
| Riesgo | Probabilidad | Impacto | Mitigacion | Residual |
|---|---|---|---|---|
| Brecha de datos personales (GDPR) | Media | Extremo | Cifrado E2E, minimizacion, DPD, EIPD, formacion, 2FA | Bajo |
| Acceso no autorizado a sala de datos | Media | Alto | RBAC+ABAC, NDA previo, watermarking, audit trail, 2FA obligatorio | Bajo |
| Fuga de secreto industrial (algoritmo) | Baja | Extremo | Secreto industrial documentado, NDA empleados, cifrado modelo, segmentation | Medio-bajo |
| Ataque DDoS a plataforma | Media | Alto | Cloudflare/WAF, auto-scaling, rate limiting, CDN | Medio |
| Fraude en pagos (Stripe webhooks) | Baja | Alto | Verificacion HMAC, idempotencia, limites por operacion, alertas | Bajo |
| Incumplimiento SEPBLAC (retencion 10 anos) | Baja | Alto | Backup automatizado con retention policy, auditoria trimestral | Bajo |
| Phishing a usuarios | Alta | Alto | Formacion usuarios, SPF/DKIM/DMARC, dominio seguro, avisos en plataforma | Medio |
| Dependencia de Auth0 como SSO | Baja | Medio | Estrategia multi-provider, backup de usuarios local, plan de salida | Bajo |
| Error en algoritmo de valoracion con dano a tercero | Media | Medio | Disclaimer legal, seguro RC, validacion humana, transparencia metodologica | Medio-bajo |
| Violacion de datos por empleado interno | Baja | Extremo | Minimo privilegio, monitorizacion de accesos, DLP basico, offboarding automatico | Bajo |
| Ransomware en infraestructura cloud | Baja | Critico | Backups inmutables, parcheado, IAM restrictivo, formacion | Bajo |
| Incumplimiento EU AI Act | Media | Medio | Documentacion del modelo, evaluacion de sesgos, supervision humana | Bajo |
Roadmap de Seguridad
Alineado con el roadmap del CTO. La seguridad se integra en cada fase del desarrollo.
Fase 0: Fundacion Legal-Regulatoria (Q3 2026 — Pre-desarrollo)
| Mes | Hito | Entregables |
|---|---|---|
| M0 | Contratacion DPD externo | Servicio externalizado activo, primeras directrices |
| M0 | Analisis de Riesgos (AR) + EIPD preliminar | Documentos base para diseno de plataforma |
| M0 | Evaluacion de proveedores de seguridad | Seleccion de herramientas SAST/DAST, WAF, secret scanning |
| M0 | Definicion de politicas de seguridad | Politica marco, politica de acceso, clasificacion de datos |
Fase 1: MVP Seguro (Meses 1-4) — “Security by Design”
| Mes | Hito | Entregables |
|---|---|---|
| M1 | Setup de seguridad en infraestructura | AWS WAF, VPC segmentation, security groups, IAM roles, KMS keys, CloudTrail |
| M1 | Autenticacion + 2FA | Auth0 con 2FA obligatorio, OAuth2/OIDC, refresh tokens, rate limiting login |
| M1 | Secret management | AWS Secrets Manager / Doppler, zero secrets en repositorio, pre-commit hook (truffleHog) |
| M2 | SAST en CI/CD | SonarQube/Snyk en pipeline GitHub Actions, gate de calidad que bloquea si criticas |
| M2 | Cifrado en reposo | AES-256 para PostgreSQL (column-level encryption para datos financieros), S3 SSE-S3 |
| M2 | Política de contraseñas + sesiones | Password policy (12+ chars, especiales), sesion expiry, refresh token rotation |
| M3 | Logging estructurado | Loki + promtail centralizado, eventos de seguridad estructurados (login, acceso docs, cambios roles) |
| M3 | CSRF + XSS protection | CSRF tokens, Content-Security-Policy, X-Frame-Options, SameSite cookies |
| M4 | Auditoria de seguridad pre-lanzamiento (interna) | Revisión OWASP Top 10, revisión manual de endpoints criticos, dependency scanning |
| M4 | DPA con proveedores core | AWS, Auth0, SendGrid, GitHub — Acuerdos de encargo de tratamiento firmados |
Fase 2: Growth Seguro (Meses 5-8) — “Defense in Depth”
| Mes | Hito | Entregables |
|---|---|---|
| M5 | Sala de datos virtual segura | Cifrado E2E por deal, watermarking, control de descargas, audit trail detallado |
| M5 | Watermarking en documentos | Marca de agua con identidad del visualizador en PDFs de due diligence |
| M6 | DAST + SCA en CI/CD | OWASP ZAP / Burp Suite (DAST), Snyk/GitHub Dependabot (SCA), actualizacion automatica de dependencias |
| M6 | Rate limiting avanzado | Por endpoint, por usuario, por IP. Redis-based. Limites: 100 req/min general, 10 req/min para login |
| M7 | Seguridad en API publica (preparacion) | API Gateway + API keys + OAuth2 scopes, rate limiting, throttling, validacion schemas |
| M7 | Formacion en seguridad para el equipo | OWASP Top 10, secure coding, manejo de datos sensibles, phishing awareness |
| M8 | Pentesting externo v1 | Empresa especializada, prueba completa de la plataforma, remediacion de hallazgos criticos |
| M8 | Programa de recompensa por vulnerabilidades (privado) | Bug bounty cerrado (invitacion) via plataforma tipo Intigriti/HackerOne |
Fase 3: Scale Seguro (Meses 9-12) — “Trust & Compliance”
| Mes | Hito | Entregables |
|---|---|---|
| M9 | Stripe Connect + seguridad de pagos | Verificacion webhooks HMAC, segregacion de cuentas, limites anti-fraude, SAQ PCI-DSS |
| M9 | Security Engineer onboard (50%) | Contratacion del perfil de seguridad dedicado |
| M10 | App movil segura | SSL pinning, almacenamiento seguro local (Keychain/Keystore), biometric auth, min API level |
| M10 | Monitorizacion de seguridad 24/7 | SIEM basico (Wazuh/Security Hub), alertas automaticas, dashboard de seguridad |
| M11 | Plan de continuidad de negocio (BCP) + DRP | Documentacion de BCP, runbooks de recuperacion, simulacro de desastre |
| M11 | Auditoria externa de compliance | GDPR + LSSI + SEPBLAC audit, plan de remediacion |
| M12 | Bug bounty publico (opcional) | Si presupuesto lo permite, apertura a investigadores externos |
| M12 | Roadmap ISO 27001 | Gap analysis, plan de certificacion para ano 2 |
Inversiones
| Area | Inversion Anual Estimada | Justificacion |
|---|---|---|
| Herramientas SAST/DAST/SCA (Snyk, SonarQube) | 3.000 - 5.000€ | Integracion en CI/CD, deteccion automatica de vulnerabilidades |
| WAF + CDN (Cloudflare Pro/Business) | 2.400 - 4.800€ (200-400€/mes) | Proteccion DDoS, rate limiting, bot management |
| Pentesting externo (1-2 anuales) | 5.000 - 10.000€ | Prueba de penetracion completa pre-lanzamiento y anual |
| DPD externo | 1.500 - 3.000€/ano | Obligacion GDPR, supervision continua |
| Auditoria GDPR + LSSI | 2.000 - 4.000€ | Pre-lanzamiento (incluida en presupuesto CLO) |
| Security Engineer (50% FTE, desde M9) | 15.000 - 18.000€ (mes 9-12) | Rol dedicado de seguridad (presupuestado en CTO plan) |
| Seguro RC Profesional (incluye ciber) | 3.000 - 6.000€/ano | Cobertura por brecha de datos, error en valoracion |
| SIEM / Monitoring (Wazuh, Grafana) | 1.200 - 2.400€ | Monitorizacion de seguridad, alertas, compliance |
| Bug bounty (privado, fase 2-3) | 3.000 - 6.000€/ano | Recompensas por vulnerabilidades reportadas por investigadores |
| Formacion en seguridad (equipo) | 1.000 - 2.000€/ano | Cursos OWASP, secure coding, phishing awareness |
| Gestion de secretos (Doppler/Vault) | 1.200 - 2.400€/ano | Secret management, rotacion automatica |
| Herramientas DLP basicas | 1.000 - 2.000€/ano | Prevencion de fuga de datos en endpoints y cloud |
| Total seguridad ano 1 | 39.300 - 65.600€ | ~10-13% del presupuesto total tech (CTO: 376-498K€) |
Nota: Parte de estos costes ya estan contemplados en el presupuesto del CTO (pentesting 5-10K€, security engineer 7.5-9K€ parcial). El adicional neto de seguridad dedicada es ~25-35K€/ano.
KPIs de Seguridad
| KPI | Target | Frecuencia | Medida |
|---|---|---|---|
| Vulnerabilidades criticas sin parche | 0 | Diario | Escaneo SAST/DAST + SCA |
| Incidentes de seguridad con exfiltracion de datos | 0 | Mensual | Contador de incidentes confirmados |
| Tiempo de deteccion de incidentes (MTTD) | <30min | Por incidente | Desde generacion alerta hasta confirmacion |
| Tiempo de respuesta a incidentes (MTTR) | <4h criticos, <24h altos | Por incidente | Desde confirmacion hasta contencion |
| Cobertura de tests de seguridad en CI/CD | 100% en PRs a main | Por PR | Gate de seguridad bloquea si falla |
| Usuarios con 2FA activado | 100% | Mensual | Reporte Auth0 |
| Cumplimiento de retention de datos (SEPBLAC) | 100% | Trimestral | Auditoria de backups y borrados |
| Formacion en seguridad completada | 100% del equipo tecnico | Trimestral | Registro de formaciones |
| Disponibilidad plataforma | >99.5% | Mensual | Uptime checks + APM |
| RTO (Recovery Time Objective) | <4h | Trimestral | Simulacro de desastre |
| RPO (Recovery Point Objective) | <15min | Diario | Diferencia temporal del backup |
| Accesos inusuales detectados y revisados | 100% | Semanal | Revision de alertas de SIEM |
| Proveedores criticos con DPA firmado | 100% | Mensual | Seguimiento contractual |
| Pentester recomendaciones cerradas | 100% en <30 dias | Trimestral | Tracking de hallazgos |
Equipo y Recursos
Equipo de Seguridad Necesario
| Rol | Dedicacion | Timeline | Coste Estimado |
|---|---|---|---|
| DPD externo | Part-time (servicio) | Desde Q3 2026 | 1.500-3.000€/ano |
| DevOps (seguridad infra) | 50% | Fase 1 (M1-M4), pasa a 100% Fase 2 | Incluido en equipo CTO |
| Security Engineer | 50% | Fase 3 (M9-M12) | 2.500-3.000€/mes |
| Auditor externo GDPR | Por proyecto | Pre-lanzamiento + anual | 2.000-4.000€/auditoria |
| Pentester externo | Por proyecto | M8 + M12 + anual | 5.000-10.000€/pentest |
| Abogado especialista datos | Por proyecto | Consultas puntuales | Incluido en retainer CLO |
Herramientas y Tecnologias de Seguridad
| Categoria | Herramienta | Coste | Fase |
|---|---|---|---|
| SAST | SonarQube (Community) + Snyk | Gratis/1.500€ | Fase 1 |
| DAST | OWASP ZAP (gratis) / Burp Suite Pro | Gratis/400€ | Fase 2 |
| SCA | GitHub Dependabot + Snyk | Gratis/1.500€ | Fase 1 |
| Secret scanning | TruffleHog + GitHub secret scanning | Gratis | Fase 1 |
| WAF | Cloudflare WAF / AWS WAF | 200-400€/mes | Fase 1 |
| SIEM | Wazuh (OSS) / AWS Security Hub | Gratis/1.200€/ano | Fase 3 |
| Auth | Auth0 (plan gratuito hasta 1.000 usuarios, luego ~200€/mes) | 0-2.400€/ano | Fase 1 |
| Secret management | Doppler / AWS Secrets Manager | 1.200-2.400€/ano | Fase 1 |
| Endpoint security | Bitdefender GravityZone / SentinelOne (cuando haya empleados) | 1.000-2.000€/ano | Fase 3 |
| Backup | AWS Backup + S3 Glacier | Incluido en infra | Fase 1 |
Servicios Externos
| Servicio | Proveedor | Coste | Proposito |
|---|---|---|---|
| DPD externalizado | Empresa especializada en GDPR | 1.500-3.000€/ano | Supervision proteccion datos |
| Pentesting | Empresa de ciberseguridad (Tarlogic, S2 Grupo, Deloitte) | 5.000-10.000€/ano | Pruebas de penetracion |
| Bug bounty | Intigriti / HackerOne | 3.000-6.000€/ano | Recompensa por vulnerabilidades |
| Seguro ciber | AIG, Hiscox, MAPFRE | 3.000-6.000€/ano | Cobertura de brechas y RC |
Plan de Respuesta a Incidentes
Estructura del Equipo de Respuesta (CSIRT Ligero)
| Rol | Responsable | Suplente |
|---|---|---|
| Incident Commander | CEO / CISO (cuando exista) | Tech Lead |
| Technical Lead | Tech Lead (CTO) | DevOps |
| Legal/Comms | CLO | DPD externo |
| Data Protection | DPD externo | CLO |
Fases de Respuesta
1. Preparacion
- Runbooks documentados para cada tipo de incidente (brecha datos, DDoS, ransomware, fraude pagos)
- Herramientas listas: Wazuh, CloudTrail, backups, comunicacion offline (Slack + email alternativo)
- Contactos de emergencia: AEPD (procedimiento notificacion), SEPBLAC, proveedores (AWS, Auth0, Stripe)
- Retencion de logs: minimo 12 meses (CloudTrail + Loki + RDS logs)
2. Deteccion y Analisis
| Fuente de Deteccion | Que Detecta | Tiempo Estimado |
|---|---|---|
| SIEM (Wazuh) | Accesos anomalos, multiples fallos login, escalada de privilegios | <5min |
| Sentry | Errores en aplicacion, excepciones no controladas | <1min |
| Uptime monitoring | DDoS, caida de servicio | <2min |
| Usuarios / soporte | Phishing, actividad sospechosa | <30min |
| Auth0 logs | Fuerza bruta, ataques de credenciales | <5min |
| Stripe webhooks | Patrones de pago anomalos | <10min |
3. Contencion, Erradicacion y Recuperacion
| Tipo Incidente | Contencion | Erradicacion | Recuperacion |
|---|---|---|---|
| Brecha de datos | Aislar deal afectado, revocar credenciales, bloquear IPs | Forensica, parchear vulnerabilidad, rotar claves cifrado | Restaurar desde backup pre-brecha, notificar afectados |
| DDoS | Activar WAF/Cloudflare under attack mode, rate limiting agresivo | Bloquear IPs origen, escalar recursos | Normalizar trafico, informar a usuarios |
| Ransomware | Aislar instancia afectada, desconectar de red | Restaurar desde backup inmutable, no pagar rescate | Reconstruir desde IaC (Terraform), cambiar todas las credenciales |
| Fraude en pagos | Congelar deal, revisar webhooks Stripe, contactar Stripe support | Revertir transacciones fraudulentas, parchear webhook | Reconciliacion financiera, refuerzo de validacion |
| Compromiso de cuenta admin | Bloquear usuario, revocar sesiones activas, rotar API keys | Forensica de acciones realizadas, parchear vector de entrada | Restaurar configuracion, notificar a usuarios afectados |
| Phishing a usuarios | Bloquear dominio malicioso, alertar a usuarios por email/SMS | Reportar a Google Safe Browsing, registrar denuncia | Formacion adicional, reforzar DMARC/SPF/DKIM |
4. Notificaciones Post-Incidente
| Entidad | Plazo | Contenido | Responsable |
|---|---|---|---|
| AEPD | <72h desde conocimiento | Naturaleza brecha, datos afectados, medidas, consecuencias | DPD externo |
| Afectados | Sin dilacion indebida | Que datos, riesgos, medidas tomadas, contacto DPD | CLO + DPD |
| SEPBLAC | Si afecta a operaciones de PBC (fraude, blanqueo) | Detalles de la operacion sospechosa | CLO |
| Proveedores (AWS, Auth0, Stripe) | <24h | Coordinacion de respuesta | Tech Lead |
| Seguro | Segun poliza (tipicamente <7 dias) | Reporte inicial del incidente | CEO / CFO |
| Prensa/Publico | Si impacto reputacional significativo | Comunicado oficial, medidas tomadas | CEO + CMO |
5. Post-Mortem
- Realizar en <7 dias tras la resolucion del incidente
- Documentar: timeline, causa raiz, efectividad de la respuesta, lecciones aprendidas
- Actualizar runbooks y politicas segun hallazgos
- Compartir resumen (anonimizado) con el equipo como aprendizaje
Seguridad de Pagos (Stripe Connect)
Arquitectura de Pagos Segura
FarmaMatch utiliza Stripe Connect como plataforma de pagos. La arquitectura sigue el modelo Destination Charges (el comprador paga a FarmaMatch, que luego distribuye al vendedor):
Comprador → Stripe Checkout → Stripe Connect → FarmaMatch (comision) + Vendedor (fondo)
↓
Stripe gestiona PAN/token
FarmaMatch NUNCA ve datos de tarjetaAlcance PCI-DSS
- SAQ A (autoevaluacion mas simple): Aplica si FarmaMatch no almacena, procesa ni transmite datos de tarjeta
- Requisito: Todo el procesamiento via Stripe Elements / Stripe Checkout (embedded UI de Stripe)
- Verificacion: Completar SAQ A anualmente, firmar AoC (Attestation of Compliance)
- Reduccion de alcance: Stripe es PCI-DSS Level 1 Service Provider (maximo nivel)
Controles Adicionales
| Control | Implementacion |
|---|---|
| Verificacion webhooks Stripe | Firmas HMAC con secreto del webhook, validacion de idempotencia |
| Segregacion de cuentas Stripe | Cuentas separadas para comisiones, depositos garantia, operativa |
| Limites por transaccion | Maximo por operacion, alertas automaticas si se supera |
| Anti-fraud scoring | Stripe Radar + reglas personalizadas (paises, IPs, patrones) |
| Reconciliacion diaria | Script automatico que cruza pagos vs deals activos |
| Logging de transacciones | Log inmutable de cada evento de pago (charge.succeeded, transfer.created, etc.) |
| Notificacion de anomalias | Alerta al equipo si hay multiples reembolsos, disputas, o patrones inusuales |
Datos Bancarios y Escrow
- FarmaMatch no almacena IBAN del vendedor directamente (Stripe lo gestiona)
- Si se implementa escrow: Stripe Connect con cuenta en custodia
- Alternativa: cuenta bancaria separada para depositos de garantia con control dual (FarmaMatch + notario)
Dependencias y Riesgos
Dependencias con Otros Departamentos
| Dependencia | Departamento | Criticidad | Descripcion |
|---|---|---|---|
| DPD externo contratado | CLO | Alta | Sin DPD, no hay supervision GDPR. CLO ya lo tiene presupuestado en Q3 2026 |
| DPA con proveedores | CLO | Alta | Sin acuerdos de encargo de tratamiento, incumplimos GDPR. CLO lo planifica en Q4 2026 |
| Arquitectura de seguridad en MVP | CTO | Alta | El CTO debe implementar WAF, cifrado, logging desde M1. Depende de decisiones de stack |
| Auth0 con 2FA obligatorio | CTO | Alta | Decision de configuracion del proveedor de autenticacion. El CTO ya selecciono Auth0 |
| Cifrado en reposo en PostgreSQL | CTO | Alta | Implementacion a nivel de base de datos. El CTO ya planifica PostgreSQL |
| Formacion en seguridad al equipo | CHRO (futuro) | Media | El equipo tecnico necesita formacion en OWASP Top 10 y secure coding |
| Contrato de confidencialidad empleados | CLO | Alta | Necesario para proteccion de secreto industrial. CLO lo planifica en Q3 2026 |
| Presupuesto de seguridad | CFO | Alta | Las inversiones en herramientas y servicios requieren aprobacion financiera |
Riesgos Principales y Mitigaciones
| Riesgo | Probabilidad | Impacto | Mitigacion |
|---|---|---|---|
| Retraso en la contratacion de DPD externo | Media | Alto (sin DPD no hay EIPD completo) | Busqueda paralela de 2-3 proveedores desde Q3 2026 |
| El CTO prioriza funcionalidad sobre seguridad en MVP | Alta | Alto (deuda tecnica de seguridad) | CISO debe definir “security gates” que bloqueen el pase a produccion si no se cumplen minimos |
| Costes de seguridad superan presupuesto | Media | Medio | Priorizar herramientas open source (Wazuh, ZAP, TruffleHog) frente a comerciales |
| Falsa sensacion de seguridad por usar Auth0/Stripe | Media | Medio | Recordar que Auth0 y Stripe aseguran su parte, pero el codigo y la infra de FarmaMatch siguen siendo responsabilidad propia |
| Resistencia del equipo a 2FA obligatorio | Baja | Bajo | Comunicar que es requisito legal y de confianza del cliente. Sin excepcion. |
| Proveedor cloud sufre brecha (AWS/Auth0) | Baja | Extremo | DPA firmado, cifrado propio adicional, plan de salida, backup local de datos |
| Cambio regulatorio (nueva ley de intermediacion farmaceutica) | Media | Alto | Monitorizacion legal continua por CLO, adaptacion de controles |
| Dificultad para encontrar security engineer part-time | Media | Medio | Iniciar busqueda en M6 (3 meses antes de necesitarlo). Alternativa: consultoria externa |
Fuentes de Datos
| Dato | Valor | Origen | Fecha | Confianza |
|---|---|---|---|---|
| Costes DPD externo (pequena empresa) | 1.500-3.000€/ano | Estimacion propia (mercado servicios GDPR) | 2026 | Medio |
| Coste pentesting externo | 5.000-10.000€/ano | Estimacion propia (tarifas mercado, Tarlogic, S2 Grupo) | 2026 | Medio |
| Coste Cloudflare Pro | 200€/mes | cloudflare.com/pricing | 2026 | Alto |
| Coste Auth0 (hasta 1.000 usuarios) | 0€ (plan gratuito) | auth0.com/pricing | 2026 | Alto |
| Coste Snyk Team | ~1.500€/ano | snyk.io/pricing | 2026 | Alto |
| Coste Wazuh (OSS) | 0€ (autogestionado) | wazuh.com | 2026 | Alto |
| Cobertura seguro ciber (empresa <10 empleados) | 3.000-6.000€/ano | Estimacion propia (comparativas Hiscox, AIG) | 2026 | Medio |
| Sanciones AEPD (GDPR) | Hasta 20M€ o 4% facturacion global | GDPR art. 83, EUR-Lex | 2016 | Alto |
| Sanciones SEPBLAC | Hasta 5M€ o 5% volumen negocio | Ley 10/2010, art. 57-61 | 2010 | Alto |
| PCI-DSS SAQ A aplicabilidad | No almacenar PAN | PCI Security Standards Council | 2024 | Alto |
| Coste Security Engineer (50% FTE) | 2.500-3.000€/mes | Estimacion propia (del CTO plan) | 2026 | Medio |
| Porcentaje presupuesto seguridad sobre total tech | 10-13% | Estimacion propia (estandar startups: 8-15%) | 2026 | Bajo |
| Stripe Connect tarifas | 0,25% + 0,25€/transaccion | stripe.com/es/connect/pricing | 2026 | Alto |
| Auth0 pricing (plan gratuito) | Hasta 7.000 usuarios activos | auth0.com/pricing (cambio 2025) | 2025 | Alto |
| SonarQube Community | Gratuito (self-hosted) | sonarsource.com | 2026 | Alto |
| OWASP ZAP | Gratuito (open source) | zaproxy.org | 2026 | Alto |
| Bug bounty (Intigriti, programa privado) | 3.000-6.000€/ano | Estimacion propia (tarifas plataformas) | 2026 | Bajo |
| AWS WAF coste estimado | ~100-200€/mes | aws.amazon.com/waf/pricing | 2026 | Medio |
| Retencion SEPBLAC documentos | 10 anos | Ley 10/2010, art. 25 | 2010 | Alto |