Seguridad

Nota: Esta página describe las medidas técnicas y organizativas que Autónomo Factura aplica para garantizar la seguridad de la información tratada a través de su plataforma, en cumplimiento del art. 32 del Reglamento (UE) 2016/679 (RGPD), de la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa aplicable.

La descripción se realiza al nivel de detalle exigido por la legislación, evitando revelar elementos operativos cuya divulgación pública pudiera comprometer la propia seguridad del servicio.

Última actualización: 13/05/2026

Contenido

I. Marco normativo de referencia
II. Medidas técnicas de seguridad
III. Medidas organizativas
IV. Derechos de las personas interesadas
V. Subencargados y transferencias
VI. Gestión de incidentes y brechas de seguridad
VII. Vigencia y actualización

I. Marco normativo de referencia

Las medidas de seguridad descritas en esta página se diseñan, implantan y revisan tomando como referencia la siguiente normativa:

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), en particular sus artículos 5.1.f, 25 y 32.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
Real Decreto 1007/2023, de 5 de diciembre, por el que se aprueba el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos que soporten los procesos de facturación de empresarios y profesionales (VERI*FACTU), y Real Decreto 254/2025.

Adicionalmente, nuestras políticas y procedimientos internos de seguridad toman como referencia voluntaria el Esquema Nacional de Seguridad aprobado por el Real Decreto 311/2022, de 3 de mayo, categoría Media, sin ostentar ni declarar certificación oficial alguna. Esta adopción es de carácter organizativo, como guía de mejora continua y homologación interna del nivel de exigencia.

II. Medidas técnicas de seguridad

Como responsable del tratamiento, Autónomo Factura aplica, entre otras, las siguientes medidas técnicas:

Confidencialidad e integridad en tránsito

Todas las comunicaciones entre el navegador o aplicación de la persona usuaria y los servicios de la plataforma se realizan mediante protocolos cifrados estándar de la industria, con certificados emitidos por autoridades reconocidas y renovación periódica.

Control de accesos

El acceso a la plataforma exige autenticación individualizada por persona usuaria. Las credenciales se almacenan utilizando funciones criptográficas resistentes a ataques de fuerza bruta. Existe registro de los intentos de acceso y mecanismos de protección frente a intentos repetidos. La gestión de credenciales privilegiadas se segrega de las cuentas operativas.

Separación de entornos

La plataforma está dividida en entornos diferenciados según finalidad, manteniendo cada uno de ellos sus propios mecanismos de autenticación y autorización. Esta segregación limita el alcance de un eventual incidente y favorece el principio de mínimo privilegio.

Registro de eventos relevantes

Se generan registros estructurados de los eventos relevantes para la seguridad y trazabilidad del servicio. Estos registros se conservan durante el plazo razonable necesario para auditoría, detección de incidentes y cumplimiento normativo, y se diseñan para evitar la inclusión innecesaria de datos personales identificativos.

Copias de seguridad y recuperación

Se realizan copias de seguridad periódicas de los datos críticos del servicio, con procedimientos documentados de restauración. Las copias se almacenan en infraestructura situada en el Espacio Económico Europeo y sujeta a contratos de encargado del tratamiento conformes al art. 28 del RGPD.

Protección frente a accesos no autorizados

La infraestructura aplica filtros de acceso a sus servicios públicos y mecanismos de monitorización del sistema. Las dependencias de terceros (componentes y bibliotecas) se actualizan de forma periódica para incorporar correcciones de seguridad publicadas por sus mantenedores.

Desarrollo seguro

Los cambios en el código de la plataforma se revisan aplicando los criterios del proyecto OWASP en lo relativo a inyección, validación de entrada, escapado de salida, gestión de sesiones, control de acceso y protección frente a falsificación de peticiones. Toda modificación queda registrada en un sistema de control de versiones.

III. Medidas organizativas

Responsable identificado

El responsable del tratamiento es Jésica Carballo Yanes, cuya identificación completa figura en el Aviso legal y en la Política de privacidad. Ante cualquier cuestión relativa a seguridad de la información o protección de datos, la persona usuaria puede dirigirse a info@autonomofactura.com.

Política y procedimientos internos

Autónomo Factura dispone de una política de seguridad de la información escrita, así como de normas y procedimientos operativos derivados de ella. Estos documentos contemplan, entre otros aspectos, el control de acceso, la gestión de copias de seguridad, la continuidad del servicio y la gestión de incidentes.

Revisión periódica

Las medidas técnicas y organizativas se revisan al menos con periodicidad anual, así como ante cualquiera de los siguientes eventos: modificación relevante de la normativa aplicable, cambio sustancial en la arquitectura del servicio, incidente de seguridad de severidad alta, incorporación de nuevas funcionalidades con impacto en el tratamiento de datos o cambio en los proveedores principales.

IV. Derechos de las personas interesadas

Las personas cuyos datos son tratados disponen, en los términos del RGPD y de la LOPDGDD, de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos, así como del derecho a no ser objeto de decisiones automatizadas con efectos jurídicos significativos.

El ejercicio de cualquiera de estos derechos puede realizarse mediante comunicación a info@autonomofactura.com. El detalle del procedimiento, los plazos de respuesta y la información sobre la posibilidad de reclamación ante la Agencia Española de Protección de Datos figuran en la Política de privacidad.

V. Subencargados y transferencias

Para la prestación del servicio, Autónomo Factura utiliza proveedores de infraestructura, comunicaciones y herramientas operativas que tienen la consideración de encargados o subencargados del tratamiento conforme al art. 28 del RGPD. Todos los proveedores aplican garantías adecuadas y prestan servicio desde el Espacio Económico Europeo o desde países con decisión de adecuación o cláusulas contractuales tipo aprobadas por la Comisión Europea.

La identificación detallada de los encargados, la finalidad de cada uno y, en su caso, la base legal de las transferencias internacionales se encuentra en la sección 4 y la sección 5 de la Política de privacidad, que prevalece sobre lo expuesto en esta página en caso de discrepancia.

VI. Gestión de incidentes y brechas de seguridad

Autónomo Factura dispone de un procedimiento interno de gestión de incidentes que comprende detección, contención, evaluación de impacto, notificación a la autoridad de control cuando proceda en los términos del art. 33 del RGPD, comunicación a las personas afectadas en los términos del art. 34 del RGPD y aprendizaje posterior.

Cualquier incidencia relativa a la seguridad del servicio que pueda observar la persona usuaria puede comunicarse a info@autonomofactura.com.

VII. Vigencia y actualización

La presente página se mantiene vigente hasta que sea sustituida por una nueva versión publicada en este mismo Sitio Web. Autónomo Factura se reserva el derecho a actualizarla en cualquier momento para reflejar cambios en la normativa, en la organización del servicio o en las medidas aplicadas.

La descripción contenida en esta página se realiza al nivel general exigido por la legislación, sin perjuicio de la documentación interna más detallada que respalda lo aquí indicado.