Esta Política de Seguridad describe las medidas técnicas y organizativas que Fuksia Labs aplica para proteger los datos procesados por la aplicación ClockIn for Jira ("la App"). Complementa nuestra Política de Privacidad, que detalla qué datos recogemos y por qué.
La App está construida íntegramente sobre Atlassian Forge y se ejecuta dentro de la infraestructura cloud gestionada por Atlassian. Fuksia Labs no opera servidores propios, bases de datos ni servicios cloud de terceros para almacenar o procesar datos de la App. Todo el almacenamiento se basa en Forge Storage, que hereda los controles de seguridad, disponibilidad y cumplimiento de Atlassian.
La App no implementa un sistema de autenticación propio ni almacena credenciales de usuario. Toda la verificación de identidad se delega en el contexto de invocación nativo de Forge de Atlassian. El acceso a las funcionalidades se aplica en el backend según el rol asignado a cada usuario (empleado, manager o administrador), de forma que cada usuario solo puede ver o modificar los datos para los que está autorizado.
Los datos en tránsito entre el frontend de la App, sus resolvers de backend y las APIs de Atlassian se cifran mediante TLS. Los datos en reposo en Forge Storage son cifrados por Atlassian como parte de la plataforma Forge subyacente. Ningún dato se transmite ni almacena en infraestructura fuera de Atlassian Cloud.
La App solo solicita los scopes de la API de Atlassian estrictamente necesarios para su funcionamiento, y únicamente procesa los datos descritos en nuestra Política de Privacidad: identificadores de cuenta, nombres, direcciones de email, eventos de fichaje y datos de configuración necesarios para el cumplimiento legal del registro horario.
Cada versión de la App enviada al Atlassian Marketplace pasa por el escaneo de seguridad automatizado de Atlassian como parte del proceso de aprobación. Cualquier vulnerabilidad detectada mediante este proceso es revisada y corregida por Fuksia Labs dentro de los plazos exigidos por la Marketplace Security Enforcement Policy de Atlassian.
Si crees haber encontrado una vulnerabilidad de seguridad en la App, repórtala a info@fuksia.com. Investigamos todos los reportes y respondemos lo antes posible. Fuksia Labs no participa actualmente en el programa Bug Bounty del Atlassian Marketplace.
En caso de un incidente de seguridad confirmado que afecte a datos de clientes, Fuksia Labs notificará al administrador de la organización afectada sin dilación indebida, conforme a nuestras obligaciones bajo el RGPD (artículos 33 y 34), y colaborará con los procedimientos de respuesta a incidentes de Atlassian cuando corresponda.
Atlassian es el único proveedor de infraestructura implicado en el procesamiento de datos de la App, a través de la plataforma Forge. Fuksia Labs no utiliza subencargados adicionales de terceros, servicios de analítica ni trackers dentro de la App.
El código fuente de la App se mantiene bajo control de versiones con acceso restringido. Los cambios se revisan antes de desplegarse a producción. La App solicita el conjunto mínimo de permisos de Forge y scopes de API necesarios para sus funcionalidades, siguiendo el principio de mínimo privilegio.
Para cualquier consulta sobre esta Política de Seguridad o para reportar un problema de seguridad, escríbenos a info@fuksia.com.