Confianza

Seguridad

Última actualización: 24 de abril de 2025

La seguridad de tus datos y documentos es nuestra prioridad absoluta. FirmCheck está diseñado desde cero con un enfoque de seguridad por defecto, aplicando las mejores prácticas del sector para proteger información confidencial de M&A.

🔐

AES-256

Cifrado en reposo

🔒

TLS 1.2+

Cifrado en tránsito

🇪🇺

EU Only

Datos en la UE

RGPD

Cumplimiento total

1. Cifrado de datos

En tránsito

Toda la comunicación entre tu navegador y FirmCheck se realiza mediante TLS 1.2 o superior (HTTPS). Los certificados SSL son gestionados y renovados automáticamente. Las conexiones inseguras (HTTP) son redirigidas automáticamente.

En reposo

Los documentos que subes se almacenan cifrados con AES-256 en servidores de Supabase ubicados en Frankfurt (Unión Europea). Las claves de cifrado son gestionadas por Supabase y rotadas periódicamente.

Base de datos

Todos los datos estructurados se almacenan en PostgreSQL con cifrado a nivel de disco. El acceso está restringido mediante Row Level Security (RLS): cada usuario solo puede acceder a sus propios datos, incluso en caso de error en la aplicación.

2. Infraestructura y proveedores

  • Hosting — Vercel Edge Network con servidores en la UE.
  • Base de datos — Supabase (Frankfurt) con backups diarios automáticos y retención de 7 días.
  • Almacenamiento — Supabase Storage con URLs firmadas de corta duración; no existen URLs públicas permanentes.
  • Pagos — Stripe, certificado PCI DSS Level 1. FirmCheck no almacena datos de tarjetas.

3. Aislamiento de datos

Cada cuenta opera en un espacio completamente aislado. Las políticas RLS de PostgreSQL garantizan que ningún usuario pueda acceder a los proyectos, documentos o informes de otro usuario. Los documentos en Storage son accesibles únicamente mediante URLs firmadas temporales generadas bajo demanda.

4. Autenticación

  • Las contraseñas se almacenan con hash bcrypt. Nunca en texto plano.
  • Las sesiones se gestionan mediante JWT con expiración y rotación automática.
  • La autenticación multifactor (MFA) está disponible desde Configuración.
  • Detección automática de intentos de acceso sospechosos.

5. Procesamiento con IA

El contenido de tus documentos se envía a la API de Anthropic bajo los siguientes principios:

  • Solo se extrae texto plano; los archivos originales no se transmiten.
  • Anthropic no utiliza los datos de la API para entrenar modelos.
  • Anthropic cumple con el RGPD y dispone de DPA (Data Processing Agreement) vigente.
  • Los extractos de texto se transmiten mediante conexiones TLS cifradas.
🤖

Anthropic no entrena sus modelos con los datos enviados a través de la API de pago. Puedes consultar su política en anthropic.com/privacy.

6. Gestión de accesos internos

El acceso al entorno de producción está restringido al equipo técnico con necesidad operativa. Todo acceso está registrado con auditoría. No accedemos a tus documentos salvo requerimiento legal expreso o solicitud tuya de soporte técnico.

7. Respuesta ante incidentes

Disponemos de un protocolo de respuesta ante incidentes de seguridad. En caso de brecha de datos que afecte a tu información personal, te notificaremos en un plazo máximo de 72 horas conforme al RGPD, junto con las medidas adoptadas.

Para reportar una vulnerabilidad, escríbenos a seguridad@firmcheck.es. Agradecemos el reporte responsable y nos comprometemos a responder en menos de 48 horas.

8. Cumplimiento normativo

  • RGPD — Todos los tratamientos cumplen con el Reglamento General de Protección de Datos.
  • LOPDGDD — Cumplimiento con la Ley Orgánica de Protección de Datos española.
  • NIS2 — Seguimos las directrices de la Directiva de Seguridad de Redes y Sistemas.
  • Residencia de datos — Todos los datos se almacenan dentro de la Unión Europea.

9. Preguntas de seguridad

Si tienes preguntas sobre las medidas de seguridad o quieres realizar una evaluación para tu organización, contacta con nuestro equipo en seguridad@firmcheck.es o visita nuestra página de contacto.