Plan público de respuesta a brechas

Si pasa, esto es lo que hacemos.

Publicar el plan de respuesta es una opción nuestra; lo hacemos porque queremos que un partner-counsel pueda evaluar cómo manejaríamos una brecha antes de confiarnos información sensible de sus clientes. El plan está alineado con los artículos 33 y 34 del RGPD y con los plazos NIS2.

Fase 1 · Detección y triage (T+0 a T+4h)

  1. Cualquier persona del equipo o cualquier usuario puede reportar incidente a soporte@aim-aegis.eu o a dpo@aim-aegis.eu.
  2. El equipo confirma o descarta la materialidad en máximo 4 horas. Si se confirma, se abre el procedimiento documentado y se notifica al DPO.
  3. Se determina el perímetro (qué datos, qué tenants afectados, qué tipo de datos, número estimado de interesados).

Fase 2 · Contención (T+0 a T+24h)

  • Rotación inmediata de credenciales comprometidas (DB, API keys, cuentas administrador).
  • Bloqueo o invalidación de sesiones activas si aplica.
  • Snapshot forense de la base de datos antes de cualquier remediación destructiva.
  • Si la brecha afecta al servicio del agente, se evalúa pausar temporalmente las inferencias.

Fase 3 · Notificación AEPD · Art. 33 RGPD (T+72h máx.)

Si la brecha entraña riesgo para los derechos y libertades de las personas físicas, el DPO notifica a la AEPD a través de la sede electrónica en máximo 72 horas desde el conocimiento. Si la notificación se produce después de 72 horas, va acompañada de motivación del retraso (Art. 33.1 in fine).

Contenido mínimo de la notificación (Art. 33.3):

  • Naturaleza de la brecha · categorías y número aproximado de interesados afectados · categorías y número aproximado de registros.
  • Nombre y contacto del DPO.
  • Consecuencias probables.
  • Medidas adoptadas o propuestas para corregirla y mitigar efectos.

Fase 4 · Notificación al interesado · Art. 34 RGPD

Si la brecha implica alto riesgo para los derechos y libertades de las personas físicas, se comunica directamente al interesado en plazo razonable, en lenguaje claro y sencillo, con el contenido del Art. 34.2. Excepciones del Art. 34.3 (medidas de cifrado adecuadas, medidas posteriores que hagan improbable el alto riesgo, esfuerzo desproporcionado y comunicación pública sustitutiva).

Fase 5 · Notificación a tenants partners · cláusula DPA

Para los tenants Partner y Enterprise (sobre los que actuamos como encargado de tratamiento), notificación sin dilación indebida (SLA contractual de 24h desde la detección) con todo el contenido necesario para que el tenant pueda cumplir sus propias obligaciones del Art. 33 frente a sus clientes.

Fase 6 · NIS2 · plazos paralelos cuando aplique

Si por sector, tamaño o tipo de incidente ÆGIS quedase incluido como entidad bajo NIS2 (en transposición a derecho español: RDL 7/2025 y Anteproyecto): alerta temprana en 24h, notificación de incidente en 72h, informe final en 1 mes. Conforme al Art. 23 de la Directiva (UE) 2022/2555.

Fase 7 · Registro y postmortem (T+30d)

  • Registro interno completo del incidente (Art. 33.5 RGPD): hechos, efectos, medidas correctoras, calendario.
  • Postmortem técnico publicado a los tenants afectados con causas raíz y plan de prevención.
  • Revisión de la DPIA (esta DPIA en /aegis/dpia) si el incidente revela una vulnerabilidad estructural no contemplada.

Última actualización: 1.140.1 · Contacto incidentes: dpo@aim-aegis.eu · soporte@aim-aegis.eu