Skip to content
ESOF Shield CertifiedGDPR CompliantSOC 2 Compliance in Progress

Seguridad y cumplimiento

Auditado, cifrado y visible solo para ti.

Auditado de forma independiente, alojado en la UE y cifrado de extremo a extremo. Tus facturas y datos bancarios permanecen privados, incluso para nosotros.

Defensa en profundidad

Seguridad integrada en cada capa.

Sus datos nunca salen de la UE

Todas sus facturas, transacciones bancarias y documentos se almacenan en Frankfurt, Alemania. Nada se enruta ni se almacena en EE. UU. ni en ningún lugar fuera de la Unión Europea. Esto se aplica a todo: sus archivos, registros de base de datos y copias de seguridad.

No podemos ver sus documentos

Los empleados de Invoflux no tienen acceso a sus facturas, datos bancarios ni documentos financieros. Sus datos están aislados a nivel de base de datos, lo que significa que, incluso si nuestra aplicación tuviera un error, los datos de una empresa nunca podrían filtrarse a otra. Esto no es una política, es cómo está construido el sistema.

Cumplimiento total del GDPR

Actuamos como procesador de datos bajo el GDPR. Puede exportar todos sus datos o eliminar su cuenta permanentemente en cualquier momento, directamente desde su configuración. Procesamos los datos solo bajo sus instrucciones y nunca los compartimos con nadie.

Todo está cifrado

Sus documentos se cifran cuando viajan hacia y desde nuestros servidores (TLS 1.3) y se cifran de nuevo al almacenarse (AES-256-GCM, el mismo estándar que usan los bancos). Las credenciales de sus cuentas conectadas se cifran por separado con sus propias claves y nunca se almacenan como texto plano.

Solo pedimos lo que necesitamos

Cuando conecta Gmail o su banco, solicitamos los permisos mínimos necesarios. El acceso a Gmail es de solo lectura y se limita a buscar correos electrónicos de facturas. El acceso bancario es de solo lectura para datos de transacciones. Nunca enviamos correos en su nombre, no modificamos nada y nunca accedemos a más de lo necesario.

Cada acción queda registrada

Cada inicio de sesión, acceso a archivos, exportación de datos y evento de integración se registra con marcas de tiempo y detalles. Cada empresa tiene su propio registro de auditoría independiente. La información sensible, como direcciones de correo electrónico e IBAN, se elimina automáticamente de los registros para que no pueda quedar expuesta.

Cada empresa está completamente aislada

Si gestiona varias empresas o si su contable trabaja con varios clientes, cada espacio de trabajo está separado a nivel de base de datos mediante Row-Level Security. No hay forma de acceder accidental (o intencionadamente) a los datos de otra empresa, incluso desde dentro de la aplicación.

Verificado por Google

Invoflux ha superado la evaluación de seguridad CASA Tier 2 de Google, la certificación más alta que ofrece Google para aplicaciones que acceden a Gmail y Drive. Esto incluyó una auditoría de seguridad de terceros y confirma que solo solicitamos permisos mínimos. La certificación se reevalúa anualmente.

Protegido contra ataques

Los puntos finales de inicio de sesión y autenticación están protegidos con limitación de tasa para evitar intentos de fuerza bruta. Los datos sensibles, como los tokens de sesión, se almacenan en el lado del servidor en cookies seguras y nunca se exponen a su navegador. Realizamos escaneos de seguridad regulares para detectar vulnerabilidades antes de que se conviertan en problemas.

Preguntas

Preguntas frecuentes

¿Qué servicios de terceros acceden a mis datos?

Utilizamos Supabase (base de datos y almacenamiento de archivos alojados en la UE), Salt Edge (conexiones bancarias de solo lectura, con sede en la UE) y OpenAI (solo para la extracción de datos de facturas, sin retención de datos por su parte). Todos los servicios están contractualmente obligados a cumplir con los estándares de gestión de datos de la UE.

¿Qué sucede con mis datos si cancelo?

Puede exportar todo primero y luego eliminar su cuenta. La eliminación es permanente y elimina todos sus documentos, registros de transacciones e información personal de nuestros sistemas.

¿Venden o comparten mis datos?

No. Nunca. Sus datos financieros son suyos. No los monetizamos, no los compartimos con anunciantes ni los usamos para nada más que para ejecutar el servicio al que se suscribió.

Gestión de datos

Cómo gestionamos sus datos

  • Almacenados en la UE, opcionalmente replicados en su nube: sus facturas residen en un almacenamiento cifrado en la UE. También puede replicarlas en su propio Google Drive, OneDrive, Dropbox o Box, donde Invoflux solo accede a las carpetas que crea.
  • Datos estructurados, totalmente buscables: el proveedor, número de factura, fecha, totales y estado de conciliación se extraen para que todo sea buscable y conciliable.
  • Sin entrenamiento de IA: los datos de los usuarios nunca se utilizan para entrenar modelos públicos.
  • Subprocesadores transparentes: todos cumplen con la normativa de la UE.
  • Control total de retención: elimine sus datos en cualquier momento.

Open banking

Open Banking y cumplimiento de PSD2

Cómo funcionan las conexiones bancarias

  • Usted se autentica directamente con su banco.
  • Las credenciales nunca se comparten con Invoflux.
  • El acceso es estrictamente de solo lectura y cumple con PSD2.
  • Solo se recuperan los datos de transacciones necesarios.

Acceso regulado a datos bancarios

Cobertura de licencia PSD2

El acceso bancario se proporciona a través de un proveedor totalmente regulado y conforme a PSD2.

eIDAS y autenticación reforzada de cliente

Todas las conexiones utilizan certificados cualificados y siguen las normas SCA de PSD2.

Datos financieros de solo lectura

No se pueden iniciar pagos; las credenciales nunca se almacenan ni se ven.

Por qué es importante

  • Sin exposición de credenciales
  • Acceso totalmente regulado según estándares de la UE
  • Solo lectura, seguro y conforme a la normativa
  • El usuario mantiene el control total

Sus derechos

Cumplimiento del RGPD

Sus derechos

  • Acceder a sus datos
  • Portabilidad de datos
  • Supresión
  • Restricción u oposición
  • Sin decisiones automatizadas sin consentimiento

Acuerdo de procesamiento de datos

Disponible bajo petición en [email protected].

Fortalecimiento

Cabeceras de seguridad

Invoflux implementa cabeceras de seguridad integrales para proteger contra vulnerabilidades web comunes:

  • Strict-Transport-Security: Fuerza las conexiones HTTPS
  • X-Frame-Options: Previene ataques de clickjacking
  • X-Content-Type-Options: Previene el sniffing de tipos MIME
  • Content-Security-Policy: Mitiga ataques XSS
  • Permissions-Policy: Controla el acceso a funciones del navegador
  • Referrer-Policy: Controla qué información se comparte al navegar entre páginas

Seguridad que puede verificar.

Empieza gratis y descubre cómo Invoflux protege tus datos desde el primer día.

Empezar gratis

Contacto

Contacto

Para preguntas sobre seguridad o cumplimiento: