Seguridad

La fiscalidad mueve datos sensibles: NIFs, importes, retenciones y, sobre todo, el certificado digital cualificado del contribuyente. Esta página explica qué hacemos para protegerlos y qué decisiones de arquitectura están detrás.

Arquitectura zero-custody del certificado

El certificado digital cualificado tiene capacidad para suplantar identidad frente a la Agencia Tributaria. Por eso decidimos no custodiarlo nunca.

La firma de los registros VeriFactu y de los envíos SOAP a AEAT se realiza en el equipo del usuario mediante un agente local que accede al almacén de certificados del sistema operativo:

• Windows: CryptoAPI / Almacén de certificados de usuario
• macOS: Keychain (llavero del sistema)
• Linux: NSS database

FisKlIA solo recibe el resultado: el XML firmado, la respuesta de la AEAT y el CSV de confirmación. La clave privada nunca abandona el equipo del usuario. Una brecha en nuestro servidor expondría datos contables, pero no permitiría firmar declaraciones en nombre de ningún cliente.

Comunicación entre el agente y FisKlIA

• Conexión TLS 1.3.
• Token rotativo emitido por FisKlIA, único por instalación del agente.
• El usuario debe autorizar la primera selección de certificado mediante el cert picker nativo del sistema operativo.
• Cada firma queda registrada en el log inmutable de la aplicación.

Datos en tránsito y en reposo

• HTTPS forzado en todo el tráfico web (HSTS, redirección 301).
• TLS 1.3 con cifrados modernos.
• Base de datos PostgreSQL alojada en Supabase (UE — Irlanda) con cifrado AES-256 en reposo.
• Backups diarios cifrados con retención mínima de 30 días.

Autenticación

• Magic link por email (sin contraseñas reutilizables).
• Doble factor TOTP opcional para todos, recomendado para administradores.
• Sesión revocable desde el panel de seguridad del usuario.

Aislamiento entre clientes

Cada cuenta vive en su propia organización. Las tablas críticas tienen Row Level Security activa: incluso un fallo en el código de aplicación no permite a un usuario leer datos de otra organización.

Subencargados

Trabajamos con un conjunto reducido de proveedores certificados (Supabase, Vercel, Resend, Stripe, Sentry, Anthropic). Cada uno tiene firmado el correspondiente contrato de encargo conforme al artículo 28 RGPD. Lista actualizada en la política de privacidad.

Divulgación responsable

Si descubres una vulnerabilidad, escribe a security@fisklia.com con todos los detalles técnicos. Nos comprometemos a:

• Acuse de recibo en menos de 72 h.
• Mantenerte informado durante todo el proceso.
• No emprender acciones legales contra investigadores que actúen de buena fe.
• Reconocer públicamente tu contribución si lo deseas.

Cumplimiento

• RGPD (Reglamento UE 2016/679) y LOPDGDD (Ley Orgánica 3/2018).
• RD 1007/2023 (VeriFactu) — sistema certificado para emisión de facturas.
• Real Decreto 1619/2012 (Reglamento de facturación).
• Art. 30 Código de Comercio — conservación de libros contables 6 años.

Más información

• Política de privacidad
• Política de cookies
• Términos y condiciones