Ir al contenido principal
Certyneo

Seguridad y conformidad

La confianza es el centro de Certyneo. Esta página describe exactamente qué medidas están implementadas hoy en nuestra infraestructura y aplicación.

Actualizado el .

Seguridad Certyneo — infraestructura y cifrado

Conforme con eIDAS

Nuestras firmas simples (SES) y avanzadas (AES con OTP por correo + SMS) cumplen el reglamento eIDAS de la Unión Europea.

Cifrado TLS 1.3

Todas las comunicaciones cliente-servidor están protegidas por TLS 1.3 mediante nuestro proxy inverso (certificados Let's Encrypt con renovación automática).

Alojamiento en Alemania (UE)

La aplicación, la base de datos PostgreSQL y el almacenamiento de objetos están alojados en nuestra infraestructura en Alemania (IONOS), dentro de la Unión Europea.

Registro de auditoría de firmas

Cada acción (apertura, OTP, firma, rechazo, caducidad) está registrada con marca de tiempo y almacenada. Un pie de auditoría está integrado en el PDF firmado.

Autenticación del firmante

Para el nivel avanzado (AES): doble OTP por correo + SMS (nuestro proveedor de OTP SMS). Para el acceso del remitente: correo + contraseña, Google, Microsoft Entra.

El RGPD

Cumplimiento del Reglamento General de Protección de Datos: derecho de acceso, rectificación y supresión, registro de tratamientos.

Conformidades reglamentarias

Certyneo cumple con los reglamentos europeos aplicables a la firma electrónica y la protección de datos.

el número de

Firmas SES y AES

Firma electrónica simple (SES) por defecto. Firma electrónica avanzada (AES) con OTP por correo + SMS para mayor valor probatorio conforme al Reglamento (UE) n°910/2014.

El RGPD

Protección de datos

Cumplimiento del Reglamento (UE) 2016/679. Datos alojados en la Unión Europea, período de retención documentado, registro de tratamientos y DPA disponible bajo solicitud.

Nuestras prácticas de seguridad

Aquí se detallan las medidas concretas implementadas en producción.

  • Cifrado TLS 1.3 para todas las comunicaciones HTTP (Caddy 2, Let's Encrypt)
  • Cifrado AES-256 para datos en reposo (documentos y base de datos), alojados en Alemania
  • Hashing scrypt (con salt y comparación timing-safe) para contraseñas de usuario
  • Tokens de verificación de correo y restablecimiento de contraseña de uso único, caducidad de 1 hora
  • OTP (OTP SMS) para firma avanzada, validez corta, uso único
  • Rate limiting a nivel de aplicación (Redis) por plan en endpoints sensibles
  • Almacenamiento de objetos compatible con S3 con versionado activado en documentos
  • Registro de auditoría con marca de tiempo de cada etapa del ciclo de vida de una envoltura

¿Listo para firmar con seguridad?

5 envolturas gratuitas al mes, sin tarjeta de crédito. Conformidad con eIDAS y RGPD incluida.

Comenzar gratisSolicitar una demostración

Hoja de ruta de seguridad

Nuestros próximos pasos para fortalecer la confianza y el cumplimiento normativo.

  • El año 2026

    Auditoría ISO 27001

    Planeado

    Auditoría de certificación ISO 27001 prevista con un organismo acreditado.

  • 2027

    SOC 2 Tipo II

    Planeado

    Informe SOC 2 Type II que cubre la seguridad, disponibilidad y confidencialidad.

Divulgación responsable

¿Ha descubierto una vulnerabilidad? Le agradecemos que se comunique con nosotros de manera responsable antes de cualquier divulgación pública. Acusaremos recibo en 48 horas hábiles.

security@certyneo.com

Acuerdo de tratamiento de datos

Nuestro DPA detalla las obligaciones de Certyneo como encargado del tratamiento conforme al RGPD, incluidas las medidas técnicas y organizativas.

Télécharger le DPA (PDF)

Preguntas frecuentes sobre seguridad de Certyneo

¿Dónde se alojan los datos de Certyneo?
Todos los datos se alojan exclusivamente en Alemania (IONOS SE, Fráncfort), en la Unión Europea. No se realiza réplica ni subcontratación hacia servidores fuera de la UE.
¿Está Certyneo sujeto a la Cloud Act estadounidense?
No. Certyneo es una entidad francesa (SAS de derecho francés), no sujeta a la extraterritorialidad de la Cloud Act estadounidense. A diferencia de DocuSign, Adobe Sign o Dropbox Sign (empresas estadounidenses), las autoridades estadounidenses no pueden obligar a Certyneo a divulgar sus datos.
¿Cumple Certyneo con el RGPD?
Sí. Certyneo cumple con el RGPD: alojamiento en UE, encriptación TLS 1.3 en tránsito y AES-256 en reposo, DPA disponible (artículo 28 del RGPD), período de retención limitado y documentado, derechos de acceso y supresión respetados.
¿Cómo se protegen los documentos firmados contra falsificación?
Cada documento firmado está protegido por un sello criptográfico (hash SHA-256) inscrito en un registro de auditoría con marca de tiempo. Cualquier modificación del documento después de la firma invalida el sello y se detecta inmediatamente. El registro de auditoría se conserva durante 10 años.
¿Dispone Certyneo de un DPA (Data Processing Agreement)?
Sí. Certyneo ofrece un DPA conforme al artículo 28 del RGPD, disponible y firmable electrónicamente desde su panel de control o bajo solicitud. Detalla los subcontratistas, las medidas técnicas y organizativas (TOMs), y los derechos de los interesados.

Para profundizar

Amplíe su comprensión de la reglamentación y los niveles de firma.