Seguridad — FactuPoints

Cómo protegemos tus datos

🔐

Cifrado en tránsito

Todas las conexiones usan TLS 1.2 o superior. HSTS forzado. Certificados Let's Encrypt rotados automáticamente.

🛡️

Cifrado en reposo

Contraseñas con bcrypt (cost 12). Credenciales de servicios externos, IBAN y certificados digitales cifrados con AES-256-GCM.

🔑

Autenticación robusta

Bloqueo automático tras intentos fallidos. Doble factor (TOTP) opcional. Soporte para passkeys WebAuthn (sin contraseña).

🏰

Aislamiento multi-tenant

Cada cliente tiene sus datos separados a nivel de aplicación y base de datos. Verificado con tests automáticos contra acceso cruzado (IDOR).

📜

Auditoría inmutable

Registro append-only de todas las operaciones críticas. Triggers de base de datos impiden modificación o borrado del log.

⛓️

Hash chain Verifactu

Cada factura se firma con SHA-256 encadenado a la anterior. Cualquier alteración rompe la cadena de forma detectable. Conforme RD 1007/2023.

🛑

Cabeceras de seguridad

CSP estricto, X-Frame-Options DENY, X-Content-Type-Options, Referrer-Policy, Permissions-Policy. Bloqueo de WebDAV y métodos HTTP no permitidos.

💾

Backups cifrados

Copias de seguridad diarias cifradas con GPG-AES256. Retención mínima 30 días. Restore probado periódicamente con test E2E.

🧪

Pruebas continuas

+700 tests automatizados antes de cada despliegue: OWASP Top 10, fuzzing SQLi/XSS/SSRF, IDOR, integridad criptográfica, performance, accesibilidad.

🇪🇸

Datos en España

Datacenter europeo conforme RGPD. Sin transferencias a terceros países sin garantías adecuadas. Sin venta de datos a terceros, nunca.

👁️

Detección de actividad anómala

Bloqueo automático de user-agents asociados a vulnerability scanners (sqlmap, Nikto, Burp, ZAP, etc.). Rate limiting en endpoints sensibles.

🚫

Sin tracking innecesario

Cookies estrictamente técnicas (sesión, CSRF). Sin analytics de terceros invasivos. Sin píxeles de Facebook/Google ni similares en zonas autenticadas.

Procedimiento de notificación de brechas

Si detectamos una brecha de seguridad que afecta a tus datos personales, actuamos siguiendo este protocolo:

0–2 horas · Detección y contención Activamos protocolo de respuesta. Aislamos el sistema afectado. Preservamos evidencias forenses.

2–24 horas · Análisis de impacto Evaluamos qué datos están afectados, número de usuarios, riesgo para sus derechos. Aplicamos medidas correctoras inmediatas.

≤ 72 horas · Notificación a la AEPD Comunicamos la brecha a la Agencia Española de Protección de Datos conforme al art. 33 RGPD, con toda la información requerida.

Sin dilación · Comunicación al afectado Si la brecha entraña alto riesgo para tus derechos, te lo comunicamos por email y aviso destacado en la app, con recomendaciones (cambio de contraseña, alerta phishing) y vías para ejercer derechos RGPD (art. 34).

Post-incidente · Mejora continua Documentamos el incidente, identificamos causa raíz, aplicamos medidas para prevenir recurrencia. Publicamos un post-mortem si procede.

Tu papel en la seguridad

Ningún sistema es 100% seguro. Tú eres parte esencial de la cadena de seguridad. Por favor:

Usa contraseñas fuertes y únicas: nunca reutilices la contraseña de FactuPoints en otros servicios. Considera un gestor de contraseñas (Bitwarden, 1Password).
Activa el doble factor (2FA): en Configuración → Seguridad puedes activar TOTP o pasar a passkeys.
Mantén tu equipo actualizado: el navegador, sistema operativo y antivirus protegen tu sesión.
Cuidado con el phishing: nunca te pediremos por email tu contraseña, código 2FA, ni que descargues archivos sospechosos. Las URLs de FactuPoints siempre son factupoints.com o app.factupoints.com.
Notifícanos sospechas: si crees que tu cuenta está comprometida, escríbenos a security@factupoints.com sin demora.

🔒 Seguridad en FactuPoints