1. Resumen de medidas técnicas y organizativas
FactuTPV aplica medidas técnicas y organizativas orientadas a proteger la confidencialidad, integridad y disponibilidad de los datos tratados a través del servicio. Estas medidas se revisan periódicamente y se ajustan a la evolución del servicio y del estado de la técnica. A continuación se describen las medidas efectivamente implementadas.
- Control de accesos y mínimo privilegio: el acceso a los sistemas se limita a las personas que lo necesitan para su función.
- Hash de contraseñas: las contraseñas se almacenan mediante funciones de hash, no en texto claro.
- Sesiones y tokens (JWT): la autenticación se gestiona mediante tokens de sesión.
- TLS en tránsito: las comunicaciones se cifran en tránsito.
- Segregación lógica por tenant: los datos de cada cliente se aíslan lógicamente.
- Logs de seguridad: se registran eventos relevantes para la trazabilidad y la detección.
- Copias de seguridad periódicas y procedimientos de restauración.
- Actualización de dependencias.
- Control de cambios.
- Gestión de incidentes.
- Confidencialidad.
- Exportación y supresión de datos a petición del Cliente.
- Monitorización razonable de disponibilidad y errores.
2. Enfoque multi-tenant
FactuTPV es un servicio multi-tenant: una misma plataforma da servicio a múltiples clientes. Los datos de cada cliente se mantienen segregados lógicamente por tenant, de modo que un cliente no puede acceder a los datos de otro. Esta segregación lógica es un control central del diseño del servicio.
3. Copias de seguridad
Se realizan copias de seguridad periódicas y se mantienen procedimientos de restauración para poder recuperar el servicio y los datos ante incidentes.
Las copias de seguridad se alojan en infraestructuras ubicadas dentro de la Unión Europea / Espacio Económico Europeo, salvo indicación distinta en la tabla de subencargados. FactuTPV no publica direcciones físicas, rutas internas, buckets, IPs, nodos ni detalles sensibles de arquitectura por razones de seguridad, continuidad del servicio y protección frente a accesos no autorizados.
4. Control de acceso y mínimo privilegio
El acceso a los sistemas y a los datos se rige por el principio de mínimo privilegio: cada persona dispone únicamente de los permisos necesarios para desempeñar su función. Las credenciales de usuario se protegen mediante hash de contraseñas y la autenticación se gestiona con sesiones y tokens (JWT).
5. Cifrado en tránsito (TLS)
Las comunicaciones entre el navegador del usuario y el servicio se cifran en tránsito mediante TLS, protegiendo los datos frente a interceptación durante su transmisión.
6. Logs de seguridad
El servicio registra logs de seguridad de eventos relevantes, que permiten la trazabilidad de la actividad y contribuyen a la detección y el análisis de incidentes.
7. Gestión de incidentes
FactuTPV cuenta con procedimientos de gestión de incidentes de seguridad. En caso de una violación de seguridad de los datos personales que afecte a datos tratados por cuenta del Cliente, se actuará conforme a las obligaciones de notificación previstas en el RGPD y en el DPA.
8. Seguridad de la infraestructura
La infraestructura del servicio se mantiene mediante actualización de dependencias y control de cambios, y se apoya en proveedores especializados de infraestructura y seguridad de red. La relación de proveedores que actúan como subencargados se detalla en la página de subencargados.
9. Limitación de divulgación de detalles sensibles
Por razones de seguridad, FactuTPV no divulga públicamente detalles sensibles de su arquitectura (direcciones físicas, rutas internas, buckets, IPs, nodos u otros elementos análogos). Esta limitación es una medida de protección frente a accesos no autorizados y no implica la ausencia de las medidas descritas en esta página.