YourBrandOnTime
YourBrandOnTime
FuncionesPreciosCompareBlog

Trust Center

Página única donde compradores y equipos IT/Legal pueden verificar nuestra postura de seguridad, privacidad y cumplimiento.

Última actualización: Mayo 2026

1. Hosting y Residencia de Datos

YourBrandOnTime opera exclusivamente sobre infraestructura Scaleway dentro de la Unión Europea: • Región principal: París (fr-par) • Región secundaria: Ámsterdam (nl-ams) • Cómputo: Scaleway Kubernetes (Kapsule) sobre bare-metal en UE • Almacenamiento de objetos: Scaleway Object Storage (buckets UE) Los datos del cliente nunca salen del perímetro Scaleway. Nuestra infraestructura no está sujeta al US CLOUD Act ni a FISA Section 702.

2. Subencargados

Estos son los únicos subencargados externos que pueden recibir datos relacionados con clientes: • Scaleway (Francia) — Infraestructura: Kubernetes, object storage, GPU • Stripe (Irlanda) — Procesamiento de pagos (no almacenamos tarjetas) • Google Analytics 4 (Irlanda) — Analítica web solo en yourbrandontime.com MongoDB, Elasticsearch y RabbitMQ se ejecutan self-hosted dentro de nuestro cluster Kubernetes en Scaleway. NO son servicios SaaS de terceros (no es Elastic Cloud, no es MongoDB Atlas). Los operamos nosotros dentro del mismo perímetro UE.

3. Cifrado

• En reposo: cifrado gestionado por Scaleway AES-256 sobre volúmenes persistentes y SSE en object storage. • En tránsito (público): TLS 1.2+ en todos los endpoints públicos. • En tránsito (interno): mTLS entre servicios del cluster cuando aplica; el tráfico interno no sale de la red privada de Scaleway. • Secretos: Kubernetes Secrets sobre etcd cifrado por Scaleway.

4. Autenticación y SSO

Los clientes se autentican vía proveedores federados: • Google OAuth 2.0 • Microsoft Entra ID (Azure AD) — admite SSO, acceso condicional y MFA del tenant del cliente Para organizaciones con Azure AD: las políticas de MFA, acceso condicional o cumplimiento de dispositivo que aplican en su IdP se aplican automáticamente a YourBrandOnTime. No mantenemos almacén de contraseñas propio para usuarios SSO.

5. Autorización (RBAC) y Workspaces

• Roles a nivel de organización: admin / member. • Onboarding por invitación (los admins controlan quién entra). • Aislamiento por workspace: perfiles de marca, dashboards e historial de búsqueda quedan dentro del workspace de cada organización. • Acciones solo-admin: facturación, gestión de miembros, configuración de subencargados. • API keys (cuando aplica) por organización y rotables a demanda.

6. Procedencia de los Datos

Nuestro pipeline solo consume contenido públicamente accesible de plataformas terceras: • Descubrimiento y metadatos vía APIs oficiales: YouTube Data API v3, proveedores RapidAPI. • Contenido público (subtítulos, metadatos de vídeo) vía yt-dlp y endpoints directos de YouTube. • Publicaciones públicas de TikTok e Instagram vía APIs oficiales y partners de datos autorizados. NO hacemos: • Scraping de HTML de páginas web de terceros. • Acceso a contenido detrás de login o cuentas privadas. • Recogida de datos que el creador no haya publicado como público. • Cruce con datasets privados de terceros (p.ej. data brokers). Todos los datos procesados son contenido que el creador publicó voluntariamente como público.

7. Profiling y Base Legal

YourBrandOnTime analiza creators e influencers que son figuras públicas con audiencia ≥10k seguidores y las marcas/personas que mencionan en su contenido publicado. La base legal es interés legítimo (GDPR Art. 6(1)(f)) para inteligencia de mercado B2B, aplicado a material que los propios creators publicitaron. NO procesamos: • Empleados ni consumidores de nuestros clientes. • Individuos privados sin audiencia pública. • Categorías especiales de datos (Art. 9 GDPR) deliberadamente. Las inferencias (sentimiento, demografía estimada, intención) operan únicamente sobre el contenido público publicado por figuras públicas. Los interesados (creators) pueden ejercer sus derechos GDPR en privacy@yourbrandontime.com.

8. Audit Logging

Mantenemos eventos de auditoría a nivel de aplicación para: • Eventos de autenticación (sign-in success/failure, sign-out, refresh) • Operaciones privilegiadas (cambios de facturación, miembros invitados / rol cambiado / eliminados, cambios de subencargado) • Solicitudes de exportación y borrado • Overrides de admin • Exportaciones del propio audit trail Los eventos se escriben al índice Elasticsearch `siv_audit_events` dentro de nuestro perímetro UE. La IP de origen se enmascara a /24 (IPv4) o /48 (IPv6) en el momento de escritura; los user-agents se truncan a 200 caracteres. Retención: 90 días hot, 13 meses warm. Exportación: los admins de la organización pueden descargar su propio audit trail vía `POST /api/audit-trail/export` (JSON o CSV, filtrable por rango de fechas y tipo de evento). El endpoint valida el rol del caller server-side y está scoped al `organization_id` del caller — no existe path de acceso cross-organización.

9. Respuesta a Incidentes y Notificación de Brechas

• On-call 24/7 para incidentes de producción. • Healthchecks sintéticos cada 60s con alertas automáticas (email + Discord). • Notificación de brecha en 72h conforme GDPR a controllers y autoridades. • Aviso a clientes por email + status page ante cualquier incidente con impacto material. • Post-mortem compartido con clientes afectados en 14 días.

10. Backups y Continuidad

• PostgreSQL: backup lógico diario → Scaleway Object Storage, retención 10 días. • MongoDB: mongodump diario → Scaleway Object Storage, retención 10 días. • Elasticsearch: snapshots disponibles; recuperación a nivel de índice probada trimestralmente. • Objetivos: RPO ≤ 24h, RTO ≤ 8h para recuperación de cluster completo.

11. Gestión de Vulnerabilidades

• Escaneo de dependencias en cada build (pip-audit y npm audit). • Escaneo de imágenes en Scaleway Container Registry. • SLAs de parche: CVEs Críticos ≤ 7 días, Altos ≤ 30 días. • Divulgación responsable: security@yourbrandontime.com — respondemos en 5 días hábiles.

12. Certificaciones y Roadmap

Estado actual: • Infraestructura subyacente: Scaleway tiene SOC 2 Type II e ISO 27001 — esto cubre la capa de hosting, no a YourBrandOnTime como entidad. • Certificaciones a nivel de aplicación: aún no las tenemos como entidad. Roadmap (transparente): • 2026 H2: pentest externo, resumen ejecutivo compartible bajo NDA. • 2027 H1: gap assessment ISO 27001. • 2027 H2: objetivo de certificación ISO 27001. Para prospects Enterprise que requieran evidencia antes, podemos acelerar un pentest de tercero en 6 semanas y compartir el resumen ejecutivo bajo MNDA.

13. Data Processing Addendum (DPA)

DPA conforme GDPR disponible para todos los clientes de pago. Cubre: • Roles controller / procesador • Lista de subencargados (sincronizada con esta página) • Medidas técnicas y organizativas (TOMs) • Cláusulas Contractuales Tipo cuando aplica • Derechos de auditoría y plazos de notificación de brecha Solicita la copia firmada en privacy@yourbrandontime.com.

14. Contacto

• Divulgación de seguridad: security@yourbrandontime.com • Privacidad / DPO: privacy@yourbrandontime.com • Procurement / cuestionarios de proveedor: info@yourbrandontime.com • Entidad legal: Your Brand On Time SL (NIF B26690933), Barcelona, España
YourBrandOnTimeYourBrandOnTime

Monitoriza menciones de marca en vídeo, descubre oportunidades de negocio y conecta con creadores de contenido.

Producto

  • Funciones
  • Precios
  • Compare
  • API

Empresa

  • Sobre nosotros
  • Blog
  • FAQ
  • Carreras
  • Contacto

Legal

  • Trust Center
  • Status
  • Security
  • DPA
  • GDPR
  • Privacidad
  • Términos
  • Cookies

© 2026 YourBrandOnTime. Todos los derechos reservados.

info@· generalsecurity@· disclosureprivacy@· GDPR / DPO