✨ Sistema de Facturación Profesional

Política de Seguridad

Última actualización: 16 de marzo de 2026

Reduce el tiempo en un 80%
Integración VeriFactu 2026
Soporte experto incluido

En Kuot 2.0 la seguridad no es una característica opcional, es el núcleo de nuestra arquitectura. Esta política describe las medidas técnicas y organizativas que aplicamos conforme al RGPD Art. 32, el Esquema Nacional de Seguridad (ENS) y las mejores prácticas del sector.

1. Medidas Técnicas de Seguridad

  • Cifrado End-to-End (E2EE)

Sus facturas y mensajes están cifrados de extremo a extremo. Ni el propio equipo de Kuot puede acceder al contenido de sus documentos. Solo usted y las partes que autorice poseen las claves de descifrado.

  • AES-256-GCM - RSA-2048

Cifrado en Reposo y en Tránsito

Todos los datos almacenados están cifrados con AES-256-GCM. La comunicación entre su dispositivo y nuestros servidores utiliza TLS 1.3, el estándar más moderno y seguro disponible.

  • TLS 1.3 - AES-256-GCM - HSTS

Control de Acceso y Autenticación

Implementamos autenticación multifactor (MFA), políticas de contraseñas robustas, control de acceso basado en roles (RBAC) y sesiones con expiración automática.

  • MFA -  RBAC - Zero Trust

Monitorización y Detección de Amenazas

Contamos con sistemas de detección de intrusiones (IDS/IPS), monitorización 24/7 de logs de seguridad, alertas en tiempo real ante comportamientos anómalos y auditorías de acceso.

  • IDS/IPS - SIEM - 24/7

Copias de Seguridad

Realizamos copias de seguridad automáticas diarias con retención de 30 días. Los backups están cifrados y almacenados en ubicaciones geográficamente separadas dentro de la UE.


  • Daily Backup - Geo-redundant - UE

Gestión de Incidentes

Disponemos de un plan de respuesta a incidentes documentado. En caso de brecha de seguridad, notificaremos a los afectados y a la AEPD en un plazo máximo de 72 horas, conforme al RGPD Art. 33.


  • RGPD Art. 33 

< 72h - AEPD

2. Medidas Organizativas

  1. Principio de mínimo privilegio: cada empleado accede únicamente a los datos estrictamente necesarios para su función.
  2. Formación en seguridad: todo el personal recibe formación periódica en ciberseguridad y protección de datos.
  3. Acuerdos de confidencialidad (NDA): firmados por todos los empleados y proveedores con acceso a datos.
  4. Auditorías de seguridad: realizamos pentests y auditorías de código al menos una vez al año por terceros independientes.
  5. Gestión de vulnerabilidades: revisión continua de dependencias y aplicación de parches de seguridad en un plazo máximo de 72 horas para vulnerabilidades críticas.
  6. Evaluación de impacto (EIPD): realizamos Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) para tratamientos de alto riesgo, conforme al RGPD Art. 35.

3. Infraestructura y Localización de Datos

Toda la infraestructura de Kuot 2.0 opera sobre centros de datos ubicados dentro del Espacio Económico Europeo (EEE), garantizando el cumplimiento del RGPD en materia de transferencias internacionales.

  • Región primaria
  • UE-West (Irlanda)
  • Región de backup
  • UE-Central (Frankfurt)
  • CDN
  • Edge nodes UE


4. Cumplimiento Normativo

  • RGPD (UE) 2016/679

 Protección de datos personales — Art. 32 medidas técnicas y organizativas.

  • LOPDGDD — LO 3/2018

Adaptación española del RGPD, derechos digitales.

  • ENS — RD 311/2022

Esquema Nacional de Seguridad, nivel medio.

  • Ley Antifraude — Ley 11/2021

Sistemas de facturación que garantizan la inalterabilidad del registro.

  • VeriFactu — Orden HAC/1177/2023

Requisitos técnicos para sistemas de emisión de facturas verificables.

  • PCI-DSS Nivel 1

Seguridad en el procesamiento de pagos con tarjeta (vía Stripe).

5. Reporte de Vulnerabilidades (Responsible Disclosure)

Si descubre una vulnerabilidad de seguridad en nuestros sistemas, le pedimos que la comunique de forma responsable antes de hacerla pública. Nuestro programa de divulgación responsable garantiza:


  1. Acuse de recibo en un plazo máximo de 48 horas.
  2. Evaluación e implementación de la corrección en un plazo de 90 días para vulnerabilidades no críticas.
  3. No emprenderemos acciones legales contra investigadores que actúen de buena fe.
  4. Reconocimiento público en nuestro Hall of Fame (con su consentimiento).
  5. Contacto de seguridad
  6. Reporte vulnerabilidades a: seguridad@kuot.app
  7. PGP Key disponible bajo petición.

6. Notificación de Brechas de Seguridad

En caso de producirse una brecha de seguridad que suponga un riesgo para los derechos y libertades de los usuarios, notificaremos a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tengamos conocimiento de la misma, conforme al RGPD Art. 33. Si el riesgo fuera alto, también se notificará directamente a los usuarios afectados (RGPD Art. 34).

7. Revisión de esta Política

Esta Política de Seguridad se revisa al menos una vez al año, o cuando se produzcan cambios significativos en nuestra infraestructura, normativa aplicable o tras la resolución de un incidente de seguridad relevante.



PREGUNTAS FRECUENTES

¿Mis datos blabla? 



Política de Seguridad | Kuot 2.0