Seguridad
sin alarmismo.
Tercer sector, instituciones eclesiales y empresas con propósito gestionan datos especialmente sensibles —donantes, beneficiarios, voluntariado, en muchos casos menores— con presupuestos modestos y sin equipo TI dedicado. Startidea ofrece protección digital proporcional al riesgo real, en el idioma del sector, sin venderle miedo a nadie.
Cómo se trabaja la seguridad.
- 01
Sin alarmismo, sin venta de miedo
La industria de la ciberseguridad vive del FUD. Aquí se evalúa qué hace falta de verdad para una entidad concreta y se prioriza. Si lo que toca es resolver contraseñas y formación, eso es lo que se dice.
- 02
Lenguaje del sector, no jerga técnica
Tercer sector e instituciones eclesiales tienen sus propias dinámicas —juntas, asambleas, donantes, financiadores públicos—. Las recomendaciones se entregan en su idioma y respetando sus restricciones reales.
- 03
Proporcionalidad antes que perfección
No tiene sentido un SOC 24/7 en una asociación de 12 personas. Tampoco tiene sentido ignorar el RGPD en una fundación que trata datos de menores. La medida correcta depende del riesgo real, y se ajusta.
Diagnóstico de exposición digital
Revisión externa sin tocar nada. Mira qué se ve desde fuera de la organización: dominios, certificados, configuración de email, apariciones en brechas públicas, exposición inadvertida de paneles o documentos. Informe ejecutivo de 8-12 páginas con semáforo y prioridades. Punto de entrada lógico para casi cualquier entidad.
- Auditoría de dominios y subdominios expuestos
- Configuración de email: SPF · DKIM · DMARC
- Revisión de certificados SSL y caducidades
- Apariciones del dominio en bases de brechas (HIBP)
- Exposición de documentos, paneles o repositorios públicos
- Cumplimiento RGPD básico verificable desde fuera
- Duración
- 1-2 días
- Inversión orientativa
- €800 – €1.500
- Entregable
- Informe ejecutivo + llamada de 60 min para priorizar
Auditoría de seguridad web
Pentest manual sobre los activos digitales propios de la entidad: portal de socios, intranet, plataforma de gestión, app, sistema de donaciones a medida. Busca vulnerabilidades reales —no falsos positivos automatizados— con pasos reproducibles y recomendación de corrección. Incluye retest tras los parches. Solo necesario si la entidad tiene plataformas propias.
- Pentest manual con metodología PTES + OWASP WSTG v4.2
- Cobertura OWASP Top 10:2025 + lógica de negocio
- Informe técnico con CVSS 4.0, CWE y pasos reproducibles
- Resumen ejecutivo en lenguaje no técnico para juntas
- Retest tras la corrección incluido en el alcance
- Entrega cifrada con qpdf por canal seguro
- Duración
- 5-10 días
- Inversión orientativa
- €3.000 – €8.000
- Entregable
- Informe técnico + retest + sesión con desarrollo
Acompañamiento continuo
Iguala mensual para entidades que prefieren tener la seguridad cubierta sin sobresaltos. Monitorización de brechas que afecten al dominio o a proveedores, alerta de vulnerabilidades críticas que requieran parche urgente, retest semestral, formación al equipo y asesoría puntual ante incidentes. Sin permanencia.
- Monitorización mensual de brechas y exposición
- Alerta inmediata de CVEs críticas que afecten al stack
- Revisión semestral de configuración y permisos
- Formación anual al equipo con casos del propio sector
- Asesoría rápida ante incidentes (SLA 24h laborables)
- Actualización de procedimientos y plantillas RGPD
- Duración
- Iguala mensual
- Inversión orientativa
- €200 – €500 / mes
- Entregable
- Sin permanencia · cancelable con 30 días de aviso
Trabajos puntuales complementarios.
Encajes específicos que se contratan por separado o se incluyen en una iguala según el caso.
-
Cumplimiento RGPD operativo
Levantamiento del Registro de Actividades de Tratamiento, política de privacidad y cláusulas adaptadas, contratos de encargado con proveedores, procedimiento escrito de gestión de brechas. Lo mínimo razonable para cumplir el Art. 32 RGPD sin sobre-ingeniería.
-
Análisis de Impacto en Protección de Datos (EIPD)
Para tratamientos de alto riesgo: atención a menores, datos de salud, perfiles de personas en situación de vulnerabilidad, tratamientos a gran escala de categorías especiales. Documento que cumple Art. 35 RGPD y sirve de defensa real ante incidentes.
-
Formación a equipos
Sesiones de 2-3 horas con casos reales del tercer sector y del sector eclesial. Phishing dirigido, gestión de contraseñas, qué hacer ante un incidente, responsabilidades del personal y voluntariado. Sin presentaciones genéricas.
-
Revisión de contratos con proveedores cloud
Análisis cláusula a cláusula de los contratos de encargado del tratamiento de Google Workspace, Microsoft 365, Mailchimp, plataformas de donaciones. Identifica transferencias internacionales, cláusulas problemáticas y obligaciones de la entidad como responsable.
Lo que suele preguntarse.
¿Esto es solo para entidades grandes?
No. El diagnóstico de exposición digital está pensado para asociaciones pequeñas y fundaciones medianas que no tienen departamento TI. Se entrega en 1-2 días y el coste empieza en €800.
¿Hace falta firmar antes algún NDA?
Sí. Antes de cualquier trabajo se firma un acuerdo de confidencialidad mutua. La entrega final se hace siempre cifrada por canal seguro, con la contraseña por canal separado.
¿Subcontratáis a alguien para los pentests?
La ejecución técnica de pentest la realiza Startidea con apoyo puntual de un pentester certificado (OSCP/CEH) cuando el alcance lo requiere. La relación con el cliente, el diagnóstico de necesidades, la traducción al lenguaje del sector y el cierre del informe siempre los lleva Startidea directamente.
¿Qué pasa si encontráis algo grave durante el diagnóstico?
Se comunica de forma inmediata al punto de contacto técnico de la entidad, antes incluso de entregar el informe. Si se detecta una brecha activa, se prioriza la contención antes que la documentación.
Otros servicios.
Las disciplinas se contratan juntas o por separado. Si no tienes claro cuál encaja con tu reto, lo aclaramos en la llamada de diagnóstico.