Seguridad en ERPiA

Tus datos de negocio son lo más valioso que tienes. Aquí explicamos cómo los protegemos.

Autenticación

• Acceso mediante magic link enviado a tu email — sin contraseñas que recordar ni que robar.
• Sesiones con tokens JWT firmados y caducidad automática.
• Opción de email + contraseña con bcrypt para usuarios que lo prefieran.

Aislamiento de datos (multi-tenant)

• Cada autónomo tiene su propio espacio completamente aislado en la base de datos.
• Row Level Security (RLS) de PostgreSQL garantiza que ninguna consulta puede devolver datos de otro usuario, aunque hubiera un error en el código.
• Las funciones administrativas requieren rol especial y no son accesibles desde el cliente.

Infraestructura

• Supabase — base de datos PostgreSQL en AWS eu-west (Irlanda). SOC 2 Type II certificado.
• Vercel — red CDN global con HTTPS automático, WAF incluido.
• Stripe — pagos procesados directamente por Stripe (PCI DSS Level 1). ERPiA nunca toca datos de tarjeta.

Verifactu e integridad de facturas

• Cada factura genera un hash SHA-256 encadenado con la factura anterior (como una blockchain simple).
• Una vez emitida, una factura no puede modificarse sin romper la cadena — cumplimiento total de la Ley 11/2021.
• Se genera un código QR verificable para cada factura.

IA y datos de voz/imagen

• El audio de dictado y las fotos de tickets se envían a Google Gemini solo durante el procesamiento.
• Google no entrena modelos con datos de la API de Gemini.
• Los archivos de audio no se almacenan en ERPiA tras el procesamiento.

Reportar una vulnerabilidad

Si encuentras un problema de seguridad, escríbenos a josemiguel.coastals@gmail.com con el asunto [SEGURIDAD]. Respondemos en menos de 48 horas y agradecemos la divulgación responsable.