Saltar al contenido
Seguridad y cumplimiento

El nivel de seguridad que esperas de un banco.

Manejamos órdenes de compra, IBAN de empresa, datos fiscales y firmas electrónicas. Tratamos la seguridad como un producto: arquitectura zero-trust, cifrado en tránsito y en reposo, auditoría externa y un programa de bug bounty público.

Marcos de referencia

Controles alineados con estándares internacionales reconocidos. La certificación externa de cada uno se va incorporando a medida que el sistema de gestión madura.

ISO/IEC 27001
SGSI · gestión de seguridad de la información
Marco de referencia
SOC 2
Controles operativos · confianza del servicio
Marco de referencia
eIDAS
Firma electrónica con valor probatorio
Reglamento UE 910/2014
RGPD
Tratamiento conforme RGPD y LOPDGDD
DPD designado
PCI DSS
Pagos con tarjeta gestionados por procesador certificado
Encargo del tratamiento
ENS
Esquema Nacional Seguridad
Marco para sector público
Nuestros 4 pilares

Cómo construimos confianza.

01 · Datos

Cifrado extremo

TLS 1.3 obligatorio en tránsito. AES-256 en reposo. Claves gestionadas por AWS KMS con rotación automática cada 90 días. Datos personales pseudonimizados en analítica.

  • Cifrado simétrico AES-256-GCM
  • Rotación KMS automática 90 días
  • Backups encriptados en 3 regiones EU
  • Borrado seguro DOD 5220.22-M
02 · Acceso

Identidad y permisos

Zero-trust en producción. SSO SAML / OIDC para clientes enterprise. 2FA obligatorio en panel admin. RBAC granular por rol comprador/vendedor/admin/auditor.

  • SSO SAML 2.0 / OIDC
  • 2FA TOTP obligatorio admin
  • Permisos por organización + tenant
  • Audit log completo 7 años
03 · Infraestructura

Aislamiento por capas

Infraestructura cloud en regiones UE con replicación multi-AZ. WAF y protección anti-DDoS en el borde. Bastión SSH + MFA. Sin shells en producción.

  • VPC privada multi-AZ
  • WAF + protección DDoS 24/7
  • Sin acceso humano a BD de producción
  • Secretos gestionados con cifrado en reposo
04 · Operaciones

Auditoría continua

Pentest externo 2 veces al año. Pipeline CI/CD con SAST + DAST. Monitoreo de dependencias con renovación semanal. Plan de respuesta ante incidentes documentado y probado.

  • Pentest externo periódico por consultora independiente
  • SAST + DAST en cada PR
  • Monitoreo de dependencias y CVE diario
  • Objetivos RTO 4 h · RPO 15 min
Arquitectura

Cinco capas independientes.

Cada capa puede caer sin tirar a las demás. Si pierdes una, el resto del sistema sigue operando aunque sea en modo degradado.

Informes y auditorías

Los papeles al día.

Bajo NDA estándar (24h de turnaround) entregamos los informes de auditoría completos. Para clientes activos, el acceso es directo desde el panel admin.

Pedir bajo NDA →

DPA
Data Processing Agreement
Bajo NDA
DOCX →
RAT
Registro de actividades de tratamiento
Mantenido
PDF →
SGSI
Statement of Applicability (ISO 27001)
Bajo NDA
PDF →
PEN
Informe de pentest externo
Bajo NDA
PDF →
BCP
Plan de continuidad de negocio
Bajo NDA
PDF →
Divulgación responsable

Si encuentras un fallo, queremos saberlo.

Aceptamos divulgación responsable de vulnerabilidades por parte de investigadores de seguridad. Las severidades críticas se priorizan en plazo de pocos días hábiles. Las recompensas y el alcance se definen contractualmente al confirmar el informe.

Crítico
RCE, auth bypass
Alto
Data leak, escalada
Medio
XSS, CSRF
Bajo
Info disclosure