Risk, Security & Privacy

Ciberseguridad y privacidad para empresas que crecen — cumplimiento + ingeniería + evidencias

Externaliza tu DPO y tu Security Lead. Combinamos experiencia legal en privacidad con ingeniería de seguridad para reducir riesgos, acelerar auditorías de clientes y proteger tu negocio ante brechas, regulación (RGPD, NIS2) y los nuevos retos de la IA.

Solicitar diagnóstico gratuito

Solicita un Diagnóstico Gratuito

Un experto en seguridad y privacidad te contactará sin compromiso.

Cristina Contero · Responsable de Privacidad

LLM MSc · Nominada Mujer Europea Legal Tech 2020

Adrián Becerra · Director de Seguridad

Forbes 30 Under 30 Nominee · Experto InfoSecurity

Raúl Moraleda · CEO

Economista · Gestor Adm. Colegiado nº111

Nuestro equipo combina perfiles legales y técnicos de primer nivel: abogados especializados en privacidad con experiencia en multinacionales y consultoras de Londres y Silicon Valley, junto a ingenieros de seguridad con trayectoria en desarrollo SaaS, InfoSecurity y plataformas B2B. Esta combinación es lo que nos permite ofrecer un servicio de gobernanza real, no solo documentos.

No vendemos pentesting suelto ni auditorías de una sola vez. Ofrecemos programas continuos de Risk, Security & Privacy que generan evidencias, preparan a tu empresa para auditorías de clientes, inversores y reguladores, y reducen el riesgo real de incidentes.

Cada vez más, los clientes enterprise, las licitaciones y los inversores exigen pruebas de madurez en seguridad y privacidad. Nuestro servicio construye esa madurez paso a paso, con métricas, controles y documentación verificable.

Los riesgos son reales y el reloj corre

El incumplimiento normativo y la falta de controles de seguridad pueden paralizar tu negocio

RGPD: 72 horas para notificar

Ante una brecha de datos personales, tienes un máximo de 72 horas para notificar a la AEPD. Sin protocolo ni equipo preparado, el reloj corre en tu contra. Las sanciones alcanzan los 20M€ o el 4% de la facturación global.

NIS2: nuevas obligaciones de ciberseguridad

La directiva NIS2 (transpuesta en España) impone a empresas en sectores críticos y cadena de suministro obligaciones de early warning en 24h, notificación en 72h y reporte final en 1 mes. El incumplimiento conlleva sanciones y responsabilidad directiva.

IA sin gobernanza: riesgo exponencial

El AI Act europeo entra en aplicación plena en agosto de 2026. Cada herramienta de IA que usas sin inventario, evaluación de riesgos ni política interna es una vulnerabilidad legal y técnica. Los incidentes por código y dependencias de IA comprometidas ya son una realidad diaria.

Tratamos la **privacidad y la seguridad como requisitos esenciales**, no como un checklist. Desde la forma en la que trabajamos internamente hasta cómo diseñamos y operamos nuestros productos. Todas nuestras soluciones cuentan con **estricto cumplimiento normativo** en materia de privacidad y seguridad.

Cristina Contero

Head of Privacy

LLM MSc · Nominada Mujer Europea Legal Tech 2020

Tres pilares para una protección integral

Combinamos legal, técnico y gobernanza de IA en un único servicio recurrente

DPOaaS+ — Privacidad operacional

Delegado de Protección de Datos externo y programa completo de cumplimiento RGPD/LOPDGDD, desde el gap analysis hasta el soporte continuo.

DPO externo certificado
Gap analysis y mapa real de datos (RAT)
Contratos con encargados (DPA) y transferencias internacionales
Gestión de brechas con protocolo 72h
Evaluaciones de impacto (EIPD/DPIA)
Cookies, consentimiento y entorno digital
Formación y concienciación del equipo

vCISO — Security Lead externo

Un responsable de seguridad virtual que diseña, implementa y supervisa tus controles de seguridad con enfoque práctico y proporcionado.

Inventario de activos y crown jewels
Control de accesos, MFA y mínimo privilegio
Copias de seguridad y pruebas de restauración
Gestión de vulnerabilidades y hardening
Plan de respuesta a incidentes
Logging, trazabilidad y auditoría
Reporting ejecutivo con KPIs de riesgo

Gobernanza de IA

Inventario, evaluación de riesgos y política interna para el uso de inteligencia artificial en tu organización, alineado con el AI Act europeo.

Inventario de herramientas y usos de IA
Clasificación de riesgos según AI Act
Política interna de uso de IA
Evaluación de proveedores de IA
Formación en riesgos de IA para equipos
Evidencias para auditorías y clientes enterprise

Planes adaptados a tu etapa de madurez

Sin compromiso de permanencia. Empieza donde necesites y escala cuando crezcas.

Essentials

Pymes y startups que necesitan orden y cumplimiento básico

DPO ligero (soporte trimestral)
Cookies, cláusulas y contratos base
MFA, backups y pruebas de restauración
Política de uso de IA
Formación básica del equipo
Plan de respuesta a incidentes

Solicitar diagnóstico →

Recomendado

Growth

Empresas en crecimiento que necesitan cerrar clientes enterprise o preparar due diligence

Todo lo incluido en Essentials
DPO externo completo (soporte continuo)
vCISO con reporting trimestral
Vendor risk y revisión de proveedores
Gap analysis con plan de remediación
Preparación para auditorías de clientes
Gobernanza de IA (inventario + política)

Solicitar propuesta →

Enterprise

Empresas en sectores regulados, con obligaciones NIS2 o clientes multinacionales

Todo lo incluido en Growth
Programa anual con revisión continua
Incident reporting readiness (24h/72h/1 mes)
Catálogo de controles y evidencias ISO 27001
Gobernanza IA completa (AI Act readiness)
Auditorías formales y certificación
Seguro de ciberriesgo (vía correduría interna)

Contactar equipo →

Nuestro método: diagnóstico, plan, acción, evidencias

Un ciclo continuo que construye madurez real, no solo documentos

Diagnóstico y gap analysis

Inventario de activos, datos y procesos. Identificación de riesgos reales. Quick wins y plan priorizado por impacto.

Plan de acción y controles

Definimos roles, políticas y controles. Documentación de gobierno (quién aprueba, quién ejecuta, quién valida).

Implementación por fases

Ejecutamos el plan de forma escalonada: primero controles críticos, después mejora continua. Sin impacto en tu operativa.

Revisión continua y evidencias

Reporting trimestral, KPIs de riesgo, backlog de mejoras. Evidencias listas para auditorías, clientes e inversores.

Preguntas frecuentes

Estamos aquí para responder.

NIS2 aplica a entidades esenciales e importantes en sectores como energía, transporte, salud, infraestructuras digitales, servicios TIC y cadena de suministro. Si tu empresa provee servicios a estos sectores, también puedes estar afectado. Te ayudamos a determinar si aplica y qué obligaciones concretas tienes.

El DPO (Delegado de Protección de Datos) se centra en el cumplimiento de la normativa de privacidad (RGPD, LOPDGDD): datos personales, derechos, brechas, cookies, contratos. El vCISO (Virtual Chief Information Security Officer) cubre la seguridad técnica: controles de acceso, vulnerabilidades, backups, respuesta a incidentes, hardening. Ambos roles se complementan y en nuestro servicio trabajan coordinados.

Tienes un máximo de 72 horas para notificar a la AEPD si afecta a datos personales. Si estás bajo NIS2, el early warning es de 24 horas. Nuestro equipo gestiona todo el proceso: análisis del incidente, contención, notificación a autoridades y afectados, plan de remediación y generación de evidencias.

El AI Act europeo entró en vigor el 1 de agosto de 2024 con aplicación plena el 2 de agosto de 2026. Las obligaciones de prácticas prohibidas y alfabetización comenzaron en febrero 2025, y las de IA de propósito general en agosto 2025. Si usas herramientas de IA en tu empresa, necesitas un inventario y una política interna antes de agosto 2026.

Nuestro plan Essentials está diseñado específicamente para pymes y startups que necesitan orden y cumplimiento básico a un coste asequible. El plan Growth es para empresas en crecimiento que ya necesitan cerrar clientes Enterprise o preparar due diligence. Y Enterprise es para compañías en sectores regulados.

Un pentest es una foto puntual de tus vulnerabilidades técnicas. Nosotros ofrecemos un programa continuo de gobernanza: diagnóstico, controles, políticas, formación, respuesta a incidentes, evidencias y revisión trimestral. El pentest puede ser uno de los controles dentro de nuestro programa, pero el valor real está en el ciclo completo y la mejora continua.

¿Quieres saber más o necesitas ayuda?

Contacta con nosotros