Política de Seguridad de la Información
Basada en ISO/IEC 27001 - Última actualización: 28 de noviembre de 2025
1. Compromiso de la dirección
La dirección de Verifacturing reconoce la importancia de la seguridad de la información para la continuidad del negocio y la confianza de nuestros clientes. Nos comprometemos a:
- Proteger la confidencialidad, integridad y disponibilidad de la información
- Cumplir con las obligaciones legales y contractuales en materia de seguridad
- Mejorar continuamente nuestro Sistema de Gestión de Seguridad de la Información (SGSI)
- Proporcionar los recursos necesarios para alcanzar los objetivos de seguridad
- Fomentar una cultura de seguridad entre todos los colaboradores
2. Alcance
Esta política aplica a:
- Todos los sistemas, aplicaciones e infraestructura que soportan los servicios de Verifacturing
- Todos los datos personales y empresariales procesados a través de la plataforma
- Todo el personal, colaboradores y proveedores con acceso a los sistemas
- Todos los procesos relacionados con el desarrollo, operación y mantenimiento del servicio
3. Objetivos de seguridad
Confidencialidad
Garantizar que la información solo sea accesible para personas autorizadas
Integridad
Asegurar la exactitud y completitud de la información y los métodos de procesamiento
Disponibilidad
Garantizar que los usuarios autorizados tengan acceso cuando lo necesiten
Objetivos específicos 2025-2026
- Mantener disponibilidad del servicio > 99.5%
- Tiempo de respuesta ante incidentes críticos < 4 horas
- Cero brechas de datos personales
- 100% del personal formado en seguridad
- Auditoría de seguridad anual
4. Principios de seguridad
4.1 Defensa en profundidad
Implementamos múltiples capas de controles de seguridad para proteger los activos de información:
- Perímetro: Firewall, WAF, protección DDoS
- Red: Segmentación, cifrado en tránsito (TLS 1.3)
- Aplicación: Autenticación, autorización, validación de entradas
- Datos: Cifrado en reposo (AES-256), enmascaramiento
- Endpoint: Gestión de dispositivos, antimalware
4.2 Mínimo privilegio
Los usuarios y sistemas solo tienen los permisos estrictamente necesarios para realizar sus funciones.
4.3 Segregación de funciones
Las funciones críticas están separadas para prevenir fraudes y errores:
- Desarrollo separado de producción
- Aprobación de cambios por personas diferentes a quien los implementa
- Revisión de código obligatoria
4.4 Seguridad por diseño
La seguridad se considera desde las fases iniciales de diseño de cualquier sistema o funcionalidad.
5. Controles de seguridad implementados
5.1 Control de acceso
| Control | Implementación |
|---|---|
| Autenticación | Email + contraseña, OAuth2 (Google), MFA disponible |
| Autorización | RBAC (Control de Acceso Basado en Roles) |
| Sesiones | Tokens JWT, expiración configurable, revocación |
| Contraseñas | Mínimo 8 caracteres, hash bcrypt, sin almacenamiento en texto plano |
| Multi-tenant | Row Level Security (RLS) en base de datos |
5.2 Cifrado
| Ámbito | Algoritmo | Detalles |
|---|---|---|
| Tránsito (HTTPS) | TLS 1.3 | Certificados Let's Encrypt, HSTS habilitado |
| Reposo (BD) | AES-256 | Cifrado a nivel de disco en Supabase |
| Certificados digitales | AES-256 | Cifrado adicional a nivel de aplicación |
| Backups | AES-256 | Cifrados antes de almacenar |
5.3 Seguridad en el desarrollo
- Código fuente: Repositorio privado con control de acceso
- Revisión de código: Obligatoria antes de merge a main
- Análisis estático: ESLint, TypeScript strict mode
- Dependencias: Auditoría automática con npm audit, Dependabot
- Secrets: Variables de entorno, nunca en código
- Testing: Tests unitarios, integración y E2E
5.4 Seguridad operacional
- Monitorización: Logs centralizados, alertas automatizadas
- Backups: Diarios (30 días), mensuales (12 meses)
- Actualizaciones: Parches de seguridad aplicados en < 72h (críticos)
- Gestión de incidentes: Procedimiento documentado (ver procedimiento)
6. Protección contra amenazas
6.1 Amenazas web (OWASP Top 10)
| Amenaza | Mitigación |
|---|---|
| Inyección SQL | Queries parametrizadas, ORM (Supabase client) |
| XSS | Escape automático (React), CSP headers |
| CSRF | Tokens CSRF, SameSite cookies |
| Broken Authentication | Supabase Auth, rate limiting, MFA |
| Sensitive Data Exposure | Cifrado, enmascaramiento, HTTPS obligatorio |
| Security Misconfiguration | Headers de seguridad, configuración revisada |
6.2 Headers de seguridad HTTP
Strict-Transport-Security: max-age=31536000; includeSubDomains X-Content-Type-Options: nosniff X-Frame-Options: DENY X-XSS-Protection: 1; mode=block Referrer-Policy: strict-origin-when-cross-origin Content-Security-Policy: default-src 'self'; ...
7. Gestión de riesgos
Verifacturing realiza evaluaciones de riesgos de seguridad periódicas:
- Identificación: Inventario de activos y amenazas potenciales
- Análisis: Evaluación de probabilidad e impacto
- Tratamiento: Mitigación, transferencia, aceptación o evitación
- Monitorización: Seguimiento continuo de riesgos residuales
- Revisión: Anual o tras cambios significativos
8. Continuidad de negocio
Disponemos de medidas para garantizar la continuidad del servicio:
- Redundancia: Infraestructura distribuida en múltiples zonas de disponibilidad
- Backups: Copias de seguridad diarias con recuperación probada
- RTO: Tiempo de recuperación objetivo < 4 horas
- RPO: Punto de recuperación objetivo < 1 hora
- Pruebas: Simulacros de recuperación anuales
Consulte también nuestro Acuerdo de Nivel de Servicio (SLA).
9. Gestión de proveedores
Los proveedores que procesan información son evaluados según criterios de seguridad:
- Certificaciones de seguridad (SOC 2, ISO 27001)
- Cumplimiento RGPD
- Garantías de transferencia internacional (DPF, SCCs)
- Acuerdos de confidencialidad y procesamiento de datos
Consulte nuestra lista de subencargados para ver los proveedores actuales.
10. Responsabilidades
10.1 Dirección
- Aprobar la política y asignar recursos
- Revisar el desempeño del SGSI
- Promover la cultura de seguridad
10.2 Responsable de Seguridad
- Implementar y mantener los controles de seguridad
- Gestionar incidentes de seguridad
- Realizar evaluaciones de riesgos
- Coordinar auditorías y pruebas
10.3 Personal
- Cumplir las políticas y procedimientos de seguridad
- Reportar incidentes y vulnerabilidades
- Proteger las credenciales de acceso
- Completar la formación de seguridad requerida
10.4 Usuarios del servicio
- Proteger sus credenciales de acceso
- Utilizar el servicio de forma responsable
- Reportar comportamientos sospechosos
- Cumplir la Política de Uso Aceptable
11. Formación y concienciación
- Incorporación: Formación obligatoria en seguridad para nuevos empleados
- Actualización anual: Reciclaje sobre amenazas actuales y políticas
- Simulaciones: Ejercicios de phishing y respuesta a incidentes
- Comunicación: Alertas sobre nuevas amenazas relevantes
12. Auditoría y cumplimiento
- Auditorías internas: Revisión trimestral de controles críticos
- Auditorías externas: Evaluación anual por tercero independiente
- Pentesting: Pruebas de penetración anuales
- Cumplimiento normativo: RGPD, LSSI-CE, VeriFactu
13. Revisión de la política
Esta política se revisa:
- Anualmente de forma programada
- Tras incidentes de seguridad significativos
- Ante cambios normativos relevantes
- Cuando se identifiquen nuevos riesgos significativos
14. Contacto
Para comunicar incidentes de seguridad o vulnerabilidades:
Divulgación responsable
Si descubre una vulnerabilidad de seguridad, le animamos a comunicárnosla de forma responsable. Investigaremos todos los informes legítimos y haremos lo posible por solucionar el problema rápidamente.