Saltar al contenido

3 meses gratis · nuevos clientes

Ver planes
Cumplimiento y seguridad

Política de Seguridad de la Información

Cómo Zynvio protege la información que le confías: principios y controles alineados con ISO/IEC 27001 e ISO/IEC 27701, y las medidas técnicas y organizativas exigidas por el artículo 32 del RGPD.

Versión 1.1 — Última actualización: 11 de julio de 2026 · PIXELARIS S.L.

Cifrado en tránsito y en reposo

Comunicaciones protegidas con TLS/SSL y datos almacenados cifrados con AES-256. Contraseñas mediante funciones hash con salt.

Control de acceso granular

Principio de mínimo privilegio, control basado en roles y permisos granulares en toda la plataforma.

Aislamiento multiempresa

Arquitectura multi-tenant con separación lógica de los datos de cada empresa.

Auditoría y trazabilidad

Registro de auditoría con trazabilidad de las operaciones: quién hizo qué y cuándo.

Copias de seguridad

Copias de seguridad periódicas orientadas a la disponibilidad y la recuperación de la información.

Alojamiento en la UE

Infraestructura alojada en la Unión Europea, con proveedores seleccionados con garantías adecuadas.

Marco normativo y de referencia

ISO/IEC 27001
ISO/IEC 27701
RGPD
LOPDGDD
LSSI-CE
VERI*FACTU

Zynvio aplica los principios y controles de estas normas y reglamentos como marco de trabajo. Esta política no constituye una declaración de certificación bajo ISO/IEC 27001 ni ISO/IEC 27701.

Texto completo de la política

1. Propósito y alcance

La presente Política de Seguridad de la Información describe los principios y las medidas con los que Zynvio, plataforma operada por PIXELARIS S.L., protege la información que trata, incluida la información de sus clientes y usuarios. Esta política aplica a:

  • La plataforma Zynvio (app.zynvio.com) y el sitio web corporativo.
  • Todo el personal con acceso a los sistemas o a la información.
  • Los procesos de desarrollo, operación y soporte del servicio.

2. Objetivos de seguridad

El sistema de gestión de la seguridad persigue garantizar cuatro propiedades de la información:

  • Confidencialidad: solo accede a la información quien está autorizado para ello.
  • Integridad: la información es exacta y completa, y cualquier modificación es detectable.
  • Disponibilidad: la información y el servicio están accesibles cuando se necesitan, con copias de seguridad que respaldan su recuperación.
  • Trazabilidad: las operaciones quedan registradas, de modo que puede verificarse quién hizo qué y cuándo.

3. Marco de referencia

Nuestro sistema de gestión de la seguridad de la información está basado en los principios y controles de la norma ISO/IEC 27001, y la gestión de la información de carácter personal se alinea con las directrices de ISO/IEC 27701 (extensión para la gestión de la privacidad). Asimismo, aplicamos las medidas técnicas y organizativas exigidas por el artículo 32 del Reglamento (UE) 2016/679 (RGPD) y por la LOPDGDD.

Esta política es una declaración de principios y prácticas de seguridad; no constituye una declaración de certificación bajo dichas normas.

4. Gobernanza y compromiso de la Dirección

La Dirección de PIXELARIS S.L. asume el compromiso con la seguridad de la información y es responsable de:

  • Aprobar esta política y revisarla periódicamente.
  • Asignar las responsabilidades en materia de seguridad.
  • Proporcionar los recursos necesarios para su cumplimiento.
  • Promover la mejora continua del sistema de gestión.

5. Gestión de riesgos

Evaluamos periódicamente los riesgos que afectan a la confidencialidad, la integridad y la disponibilidad de la información, así como la eficacia de las medidas de seguridad implantadas. Las medidas se ajustan cuando cambian los riesgos, la tecnología o el contexto del servicio.

6. Control de acceso

El acceso a la información se gestiona conforme a los siguientes principios:

  • Principio de mínimo privilegio en el acceso a datos.
  • Control de acceso basado en roles y permisos granulares.
  • Aislamiento lógico de datos entre empresas (arquitectura multi-tenant).
  • Tokens de sesión generados criptográficamente.

7. Cifrado y protección de datos

Aplicamos cifrado para proteger la información en todos sus estados:

  • Cifrado de datos en tránsito mediante TLS/SSL.
  • Cifrado de datos en reposo mediante AES-256.
  • Almacenamiento de contraseñas mediante funciones hash con salt.
  • Protección cifrada de certificados electrónicos y credenciales sensibles.

8. Seguridad en el desarrollo y la operación

El desarrollo y la operación de la plataforma incorporan medidas de seguridad desde el diseño:

  • Prevención de inyección SQL mediante consultas parametrizadas.
  • Validación y saneamiento de los archivos subidos.
  • Protección contra ataques automatizados.
  • Registro de auditoría con trazabilidad de operaciones.

9. Integridad de los registros de facturación (VERI*FACTU)

Como sistema informático de facturación que opera en modo VERI*FACTU, Zynvio garantiza la integridad, conservación, trazabilidad e inalterabilidad de los registros de facturación:

  • Cada registro incorpora una huella SHA-256 encadenada con la del registro anterior, formando una cadena verificable.
  • Los registros se remiten de forma continua a la AEAT.
  • Cada factura incluye un código QR verificable.
  • Ningún registro puede modificarse ni eliminarse sin que el sistema lo detecte; las correcciones se realizan mediante nuevos registros que conservan los originales.

10. Copias de seguridad y continuidad

Realizamos copias de seguridad periódicas orientadas a garantizar la disponibilidad y la recuperación de la información ante incidentes.

11. Gestión de incidentes y notificación de brechas

Disponemos de procedimientos de gestión de incidentes de seguridad. Cuando un incidente constituye una violación de seguridad de datos personales, actuamos conforme a los artículos 33 y 34 del RGPD y a lo previsto en nuestra Política de Privacidad:

  • Como responsable del tratamiento: notificación a la AEPD en un plazo máximo de 72 horas cuando exista riesgo para los derechos y libertades de los interesados y, si el riesgo es alto, comunicación directa a los afectados.
  • Como encargado del tratamiento: notificación al cliente (responsable) sin dilación indebida, aportando la información necesaria para que pueda cumplir sus propias obligaciones de notificación.

12. Privacidad desde el diseño

En línea con ISO/IEC 27701, la gestión de la información personal se integra en el sistema de seguridad conforme a los principios de privacidad desde el diseño y por defecto:

  • Roles diferenciados de responsable y encargado del tratamiento, según se describe en la Política de Privacidad.
  • Acuerdo de encargo de tratamiento (DPA) con los clientes de la plataforma.
  • Gestión de subencargados con garantías equivalentes.
  • Minimización de datos y limitación de la finalidad.

13. Personal

Todo el personal está sujeto a obligaciones de confidencialidad, accede a la información conforme al principio de mínimo privilegio y aplica esta política en el desempeño de sus funciones.

14. Proveedores y alojamiento

Los proveedores que participan en la prestación del servicio se seleccionan exigiendo garantías adecuadas de seguridad y protección de datos. La infraestructura de Zynvio está alojada en la Unión Europea.

15. Revisión y mejora continua

Esta política se revisa periódicamente y se actualiza cuando cambian los riesgos, la tecnología o los requisitos legales aplicables. La versión publicada en esta página es la vigente.

16. Contacto y reporte de vulnerabilidades

Si detectas una vulnerabilidad o un problema de seguridad relacionado con Zynvio, o tienes cualquier consulta sobre esta política, escríbenos a:

privacy@zynvio.comAgradecemos el reporte responsable de vulnerabilidades y analizamos todas las comunicaciones recibidas.