Política de Seguridad de la Información
Cómo Zynvio protege la información que le confías: principios y controles alineados con ISO/IEC 27001 e ISO/IEC 27701, y las medidas técnicas y organizativas exigidas por el artículo 32 del RGPD.
Versión 1.1 — Última actualización: 11 de julio de 2026 · PIXELARIS S.L.
Cifrado en tránsito y en reposo
Comunicaciones protegidas con TLS/SSL y datos almacenados cifrados con AES-256. Contraseñas mediante funciones hash con salt.
Control de acceso granular
Principio de mínimo privilegio, control basado en roles y permisos granulares en toda la plataforma.
Aislamiento multiempresa
Arquitectura multi-tenant con separación lógica de los datos de cada empresa.
Auditoría y trazabilidad
Registro de auditoría con trazabilidad de las operaciones: quién hizo qué y cuándo.
Copias de seguridad
Copias de seguridad periódicas orientadas a la disponibilidad y la recuperación de la información.
Alojamiento en la UE
Infraestructura alojada en la Unión Europea, con proveedores seleccionados con garantías adecuadas.
Marco normativo y de referencia
Zynvio aplica los principios y controles de estas normas y reglamentos como marco de trabajo. Esta política no constituye una declaración de certificación bajo ISO/IEC 27001 ni ISO/IEC 27701.
Texto completo de la política
1. Propósito y alcance
La presente Política de Seguridad de la Información describe los principios y las medidas con los que Zynvio, plataforma operada por PIXELARIS S.L., protege la información que trata, incluida la información de sus clientes y usuarios. Esta política aplica a:
- La plataforma Zynvio (app.zynvio.com) y el sitio web corporativo.
- Todo el personal con acceso a los sistemas o a la información.
- Los procesos de desarrollo, operación y soporte del servicio.
2. Objetivos de seguridad
El sistema de gestión de la seguridad persigue garantizar cuatro propiedades de la información:
- Confidencialidad: solo accede a la información quien está autorizado para ello.
- Integridad: la información es exacta y completa, y cualquier modificación es detectable.
- Disponibilidad: la información y el servicio están accesibles cuando se necesitan, con copias de seguridad que respaldan su recuperación.
- Trazabilidad: las operaciones quedan registradas, de modo que puede verificarse quién hizo qué y cuándo.
3. Marco de referencia
Nuestro sistema de gestión de la seguridad de la información está basado en los principios y controles de la norma ISO/IEC 27001, y la gestión de la información de carácter personal se alinea con las directrices de ISO/IEC 27701 (extensión para la gestión de la privacidad). Asimismo, aplicamos las medidas técnicas y organizativas exigidas por el artículo 32 del Reglamento (UE) 2016/679 (RGPD) y por la LOPDGDD.
Esta política es una declaración de principios y prácticas de seguridad; no constituye una declaración de certificación bajo dichas normas.
4. Gobernanza y compromiso de la Dirección
La Dirección de PIXELARIS S.L. asume el compromiso con la seguridad de la información y es responsable de:
- Aprobar esta política y revisarla periódicamente.
- Asignar las responsabilidades en materia de seguridad.
- Proporcionar los recursos necesarios para su cumplimiento.
- Promover la mejora continua del sistema de gestión.
5. Gestión de riesgos
Evaluamos periódicamente los riesgos que afectan a la confidencialidad, la integridad y la disponibilidad de la información, así como la eficacia de las medidas de seguridad implantadas. Las medidas se ajustan cuando cambian los riesgos, la tecnología o el contexto del servicio.
6. Control de acceso
El acceso a la información se gestiona conforme a los siguientes principios:
- Principio de mínimo privilegio en el acceso a datos.
- Control de acceso basado en roles y permisos granulares.
- Aislamiento lógico de datos entre empresas (arquitectura multi-tenant).
- Tokens de sesión generados criptográficamente.
7. Cifrado y protección de datos
Aplicamos cifrado para proteger la información en todos sus estados:
- Cifrado de datos en tránsito mediante TLS/SSL.
- Cifrado de datos en reposo mediante AES-256.
- Almacenamiento de contraseñas mediante funciones hash con salt.
- Protección cifrada de certificados electrónicos y credenciales sensibles.
8. Seguridad en el desarrollo y la operación
El desarrollo y la operación de la plataforma incorporan medidas de seguridad desde el diseño:
- Prevención de inyección SQL mediante consultas parametrizadas.
- Validación y saneamiento de los archivos subidos.
- Protección contra ataques automatizados.
- Registro de auditoría con trazabilidad de operaciones.
9. Integridad de los registros de facturación (VERI*FACTU)
Como sistema informático de facturación que opera en modo VERI*FACTU, Zynvio garantiza la integridad, conservación, trazabilidad e inalterabilidad de los registros de facturación:
- Cada registro incorpora una huella SHA-256 encadenada con la del registro anterior, formando una cadena verificable.
- Los registros se remiten de forma continua a la AEAT.
- Cada factura incluye un código QR verificable.
- Ningún registro puede modificarse ni eliminarse sin que el sistema lo detecte; las correcciones se realizan mediante nuevos registros que conservan los originales.
10. Copias de seguridad y continuidad
Realizamos copias de seguridad periódicas orientadas a garantizar la disponibilidad y la recuperación de la información ante incidentes.
11. Gestión de incidentes y notificación de brechas
Disponemos de procedimientos de gestión de incidentes de seguridad. Cuando un incidente constituye una violación de seguridad de datos personales, actuamos conforme a los artículos 33 y 34 del RGPD y a lo previsto en nuestra Política de Privacidad:
- Como responsable del tratamiento: notificación a la AEPD en un plazo máximo de 72 horas cuando exista riesgo para los derechos y libertades de los interesados y, si el riesgo es alto, comunicación directa a los afectados.
- Como encargado del tratamiento: notificación al cliente (responsable) sin dilación indebida, aportando la información necesaria para que pueda cumplir sus propias obligaciones de notificación.
12. Privacidad desde el diseño
En línea con ISO/IEC 27701, la gestión de la información personal se integra en el sistema de seguridad conforme a los principios de privacidad desde el diseño y por defecto:
- Roles diferenciados de responsable y encargado del tratamiento, según se describe en la Política de Privacidad.
- Acuerdo de encargo de tratamiento (DPA) con los clientes de la plataforma.
- Gestión de subencargados con garantías equivalentes.
- Minimización de datos y limitación de la finalidad.
13. Personal
Todo el personal está sujeto a obligaciones de confidencialidad, accede a la información conforme al principio de mínimo privilegio y aplica esta política en el desempeño de sus funciones.
14. Proveedores y alojamiento
Los proveedores que participan en la prestación del servicio se seleccionan exigiendo garantías adecuadas de seguridad y protección de datos. La infraestructura de Zynvio está alojada en la Unión Europea.
15. Revisión y mejora continua
Esta política se revisa periódicamente y se actualiza cuando cambian los riesgos, la tecnología o los requisitos legales aplicables. La versión publicada en esta página es la vigente.
16. Contacto y reporte de vulnerabilidades
Si detectas una vulnerabilidad o un problema de seguridad relacionado con Zynvio, o tienes cualquier consulta sobre esta política, escríbenos a: