// RGPD Art.13 · Art.30

Política de Privacidad

Última actualización: mayo 2026 · Versión 1.0 · RGPD (UE) 2016/679

1. Responsable del tratamiento RGPD Art.13(1)

Campo	Datos
Denominación	Sentinel Box · Intech Networks
Correo electrónico	info@sentinel-box.com
Plataforma	https://sentinel-box.com
DPO / Contacto privacidad	info@sentinel-box.com

2. Datos que tratamos y finalidad RGPD Art.13(1)(c)

Categoría	Datos	Finalidad	Base jurídica	Retención
Usuarios administradores	Nombre de usuario, contraseña (hash bcrypt), dirección IP de acceso, user-agent	Autenticación y control de acceso a la plataforma	Contrato — Art.6(1)(b)	Duración del contrato + 90 días sesiones
Telemetría de dispositivos Cat. A	Estado de red, versión de software, métricas de tráfico (sin IPs de usuarios finales), eventos de seguridad anonimizados	Monitorización de seguridad perimetral y detección de incidentes	Interés legítimo — Art.6(1)(f)	30 días
Logs de incidentes de seguridad Cat. B	Logs de red con IPs pseudonimizadas (hash HMAC-SHA256), descripción del incidente, IOCs, referencia CSIRT	Gestión y notificación de incidentes de ciberseguridad (NIS2 Art.23)	Obligación legal — Art.6(1)(c) · NIS2 Art.21	12 meses desde cierre
Hashes de integridad	HMAC-SHA256 de batches de telemetría e incidentes (sin datos personales)	Trazabilidad e integridad de la cadena de evidencia (NIS2 Art.21)	Obligación legal — Art.6(1)(c)	365 días en BD · 5 años en soporte USB
Activos de red (CMDB)	IPs anonimizadas (últimos dos octetos a 0), hash de MAC, hostname	Inventario de activos para gestión de riesgos (NIS2 Art.21)	Interés legítimo — Art.6(1)(f)	Vigencia del dispositivo activo
Logs de auditoría admin	Acción realizada, actor (usuario o dispositivo), resultado, IP de origen	Trazabilidad de operaciones administrativas y detección de accesos no autorizados	Interés legítimo — Art.6(1)(f)	90 días

3. Medidas de privacidad por diseño RGPD Art.25

Sentinel Box aplica las siguientes medidas técnicas de minimización de datos desde el diseño:

Pseudonimización de IPs: todas las direcciones IP de usuarios finales se sustituyen por un seudónimo HMAC-SHA256 antes de ser almacenadas. El mapeo inverso solo es accesible al DPO con clave separada (DPO_KEY).
Anonimización en telemetría: las IPs en eventos de seguridad se truncan a /16 (últimos dos octetos a cero) antes de su almacenamiento.
Cifrado de credenciales: todos los secretos de dispositivos se almacenan cifrados con AES-256-GCM. Las contraseñas de usuarios se almacenan con bcrypt.
Minimización temporal: los datos se eliminan automáticamente al vencer su período de retención mediante purgas programadas.
Tránsito cifrado: todas las comunicaciones usan TLS 1.3. Las API requieren autenticación por HMAC-SHA256.

4. Destinatarios y transferencias internacionales RGPD Art.13(1)(e)

Los datos pueden ser comunicados a:

CSIRT nacionales (INCIBE-CERT, CCN-CERT): en caso de incidentes de seguridad significativos, conforme a NIS2 Art.23. Solo se comunican datos estrictamente necesarios para la gestión del incidente.
Proveedor de correo electrónico (SMTP para alertas): únicamente para el envío de notificaciones operativas. No almacena ni procesa datos más allá del envío.
Infraestructura de alojamiento (IONOS, UE): servidor de base de datos y alojamiento web ubicado en la Unión Europea.

Transferencias internacionales: no se realizan transferencias de datos personales fuera del Espacio Económico Europeo. Todos los proveedores operan en territorio UE o con garantías adecuadas conforme al RGPD Cap. V.

5. Sus derechos RGPD Art.15–22

Puede ejercer los siguientes derechos ante el responsable del tratamiento:

Canal de ejercicio de derechos ARCO+:

Correo electrónico: info@sentinel-box.com
Asunto: «Ejercicio de derechos RGPD — [Acceso / Rectificación / Supresión / Oposición / Portabilidad / Limitación]»

Responderemos en el plazo máximo de 30 días (RGPD Art.12(3)).

Derecho	Descripción
Acceso — Art.15	Obtener confirmación de si tratamos sus datos y, en su caso, una copia de los mismos.
Rectificación — Art.16	Solicitar la corrección de datos inexactos o incompletos.
Supresión — Art.17	Solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
Limitación del tratamiento — Art.18	Solicitar que restrinjamos el tratamiento en determinadas circunstancias.
Portabilidad — Art.20	Recibir sus datos en formato estructurado y legible por máquina.
Oposición — Art.21	Oponerse al tratamiento basado en interés legítimo, salvo que existan motivos imperiosos o el ejercicio de acciones legales.

Si considera que el tratamiento no es conforme al RGPD, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

6. Cookies y sesiones

Sentinel Platform utiliza exclusivamente una cookie de sesión técnica (sp_session) necesaria para la autenticación. Esta cookie:

No rastrea el comportamiento del usuario ni se comparte con terceros.
Caduca automáticamente al cerrar sesión o tras el período de inactividad configurado.
Se transmite únicamente bajo conexión TLS (flag Secure; HttpOnly; SameSite).

No se utilizan cookies analíticas, publicitarias ni de terceros.

7. Responsable vs. encargado del tratamiento

Sentinel Platform actúa con una doble condición según el tipo de dato:

Responsable del tratamiento para los datos de usuarios administradores de la plataforma (Art.4(7) RGPD).
Encargado del tratamiento para los datos de dispositivos de red y los eventos de seguridad procesados en nombre de las organizaciones cliente (Art.4(8) RGPD). En este caso, la organización cliente actúa como responsable y Sentinel Platform procesa los datos según sus instrucciones y el contrato de servicios.

8. Modificaciones de esta política

Esta política puede actualizarse para reflejar cambios legales o en las funcionalidades del servicio. La versión vigente siempre estará disponible en esta dirección. Los cambios materiales serán notificados a los usuarios registrados.