Preguntas antes de poner pantallas en las puertas.

Los datos se alojan en Supabase Postgres, una base de datos PostgreSQL gestionada en región europea Frankfurt eu-central-1.

La aplicación corre en AWS Lightsail, también en Frankfurt, con servicios contenerizados y acceso web mediante HTTPS.

Sí. La infraestructura principal se encuentra en la Unión Europea y el tratamiento de datos se realiza conforme al RGPD. Qspaces puede formalizar los acuerdos de tratamiento de datos necesarios.

AWS y Supabase participan en infraestructura y base de datos. Microsoft y Google solo participan cuando el cliente habilita integraciones de calendario.

La segregación se implementa a nivel de aplicación y modelo de datos mediante organización, roles y permisos. Los clientes no acceden directamente a la base de datos.

El acceso se valida mediante OAuth con Microsoft 365 o Google Workspace, y solo pueden entrar usuarios autorizados previamente en Qspaces.

No. Aunque tenga cuenta corporativa, debe estar registrado y autorizado dentro de Qspaces.

No. Qspaces es multi-tenant y todas las operaciones están asociadas a una organización concreta.

Existen roles diferenciados: administración global, administración de organización y usuarios operativos.

Sí. Las comunicaciones van cifradas mediante TLS y Supabase cifra los datos en reposo. Además, los tokens y credenciales sensibles se cifran a nivel de aplicación.

Las credenciales, tokens OAuth y secretos de integración se almacenan cifrados y no se exponen a usuarios finales ni se guardan en el código fuente.

No. El acceso se realiza mediante OAuth con Microsoft 365 o Google Workspace. Qspaces no almacena contraseñas de esos proveedores.

Sí. Cuando el acceso se realiza con Microsoft 365 o Google Workspace, Qspaces hereda las políticas de seguridad, MFA y acceso condicional de la organización.

Solo los datos necesarios para operar la señalización: sala, horarios, estado de reserva y, según configuración, título, organizador o asistentes.

Sí. Qspaces permite configurar privacidad completa, parcial o privada para limitar qué información se almacena y muestra.

Las reuniones se tratan como información genérica, por ejemplo "Reunión privada" o "Reservado", sin mostrar asistentes.

Las pantallas usan MQTT para recibir órdenes y HTTP para descargar el contenido técnico que deben mostrar.

No. Las pantallas no acceden nunca a la base de datos. Solo reciben instrucciones técnicas desde el bridge.

Sí. Las APIs internas y de integración usan tokens Bearer, secretos de sincronización y validación por organización.

Sí. Los usuarios, integraciones y tokens de API pueden desactivarse o eliminarse desde la administración.

No. Los secretos reales se gestionan mediante variables de entorno y gestor de secretos, nunca en el repositorio.

Sí. Qspaces registra trazabilidad operativa de dispositivos, sincronizaciones, trabajos de actualización, estados, errores y eventos técnicos relevantes.

Las operaciones principales quedan asociadas a estado, fecha, origen técnico y organización. Los logs de aplicación e infraestructura complementan esa trazabilidad.

La aplicación podría verse afectada temporalmente, pero los datos permanecen en Supabase. Las pantallas conservan el último contenido mostrado hasta recuperar servicio.

Las operaciones que requieren base de datos pueden verse afectadas temporalmente. El servicio se recupera al restablecer Supabase o mediante procedimientos de recuperación.

Sí. La plataforma cuenta con backups gestionados y procedimientos de recuperación para minimizar el impacto ante incidencias graves.

Sí. Supabase ofrece copias automáticas diarias en proyectos de pago. Si está activo, Point-in-Time Recovery permite restaurar a un momento concreto.

El cliente puede solicitar la exportación o eliminación de sus datos conforme a la normativa aplicable y a las condiciones del servicio.