Ir al contenido principal
Certyneo

Seguridad y cumplimiento

La confianza es el núcleo de Certyneo. Esta página describe exactamente lo que hoy está implantado en nuestra infraestructura y nuestra aplicación.

Última actualización .

Seguridad Certyneo — infraestructura y cifrado

Conforme a eIDAS

Nuestras firmas simples (SES) y avanzadas (AES con OTP email + SMS) cumplen con el Reglamento eIDAS de la Unión Europea.

Cifrado TLS 1.3

Todas las comunicaciones cliente-servidor están protegidas por TLS 1.3 a través de nuestro reverse proxy (certificados Let's Encrypt autorrenovados).

Alojamiento en Francia

La aplicación, la base de datos PostgreSQL y el almacenamiento de objetos se alojan en nuestra propia infraestructura en Francia (IONOS).

Pista de auditoría de las firmas

Cada acción (apertura, OTP, firma, rechazo, caducidad) queda con marca temporal y se almacena. Se integra un pie de auditoría en el PDF firmado.

Autenticación del firmante

Para el nivel avanzado (AES): doble OTP email + SMS (OTP SMS). Para el inicio de sesión del remitente: email + contraseña, Google, Microsoft Entra.

RGPD

Cumplimiento del Reglamento General de Protección de Datos: derecho de acceso, rectificación y supresión, registro de actividades de tratamiento.

Cumplimiento normativo

Certyneo cumple con los reglamentos europeos aplicables a la firma electrónica y a la protección de datos personales.

eIDAS

Firmas SES y AES

Firma electrónica simple (SES) por defecto. Firma electrónica avanzada (AES) con OTP email + SMS para un mayor valor probatorio en el sentido del Reglamento (UE) n.º 910/2014.

RGPD

Protección de datos

Cumplimiento del Reglamento (UE) 2016/679. Datos alojados en la Unión Europea, periodos de conservación documentados, registro de actividades de tratamiento y DPA disponible bajo petición.

Nuestras prácticas de seguridad

Estas son las medidas concretas desplegadas en producción.

  • Cifrado TLS 1.3 para todas las comunicaciones HTTP (Caddy 2, Let's Encrypt)
  • Hashing con scrypt (con salt y comparación timing-safe) para las contraseñas de usuario
  • Tokens de verificación de email y de restablecimiento de contraseña de un solo uso, expiración en 1 h
  • OTP (OTP SMS) para la firma avanzada, validez corta, un solo uso
  • Rate limiting aplicativo (Redis) por plan en los endpoints sensibles
  • Almacenamiento de objetos compatible con S3 con versionado activado en los documentos
  • Registro de auditoría con marca temporal en cada etapa del ciclo de vida de un sobre
  • Registro de auditoría con marca de tiempo de cada etapa del ciclo de vida de un sobre

¿Listo para firmar con seguridad?

5 sobres gratuitos al mes, sin tarjeta bancaria. Conformidad eIDAS y RGPD incluidas.

Comience gratisSolicitar una demostración

Security roadmap

Our upcoming milestones to strengthen trust and compliance.

  • Q4 2026

    ISO 27001 audit

    Previsto

    ISO 27001 certification audit planned with an accredited body.

  • 2027

    SOC 2 Type II

    Previsto

    SOC 2 Type II report covering security, availability and confidentiality.

Responsible disclosure

Found a vulnerability? Please contact us responsibly before any public disclosure. We acknowledge receipt within 48 business hours.

security@certyneo.com

Data Processing Agreement

Our DPA details Certyneo's obligations as a data processor under the GDPR, including technical and organisational measures.

Download DPA (PDF)

Preguntas frecuentes sobre seguridad en Certyneo

¿Dónde se alojan los datos de Certyneo?
Todos los datos se alojan exclusivamente en Alemania (IONOS SE, Fráncfort), en la Unión Europea. No se realiza replicación ni subcontratación hacia servidores fuera de la UE.
¿Certyneo está sujeto a la Ley de Nubosidad estadounidense?
No. Certyneo es una entidad francesa (SAS de derecho francés), no sujeta a la extraterritorialidad de la Ley de Nubosidad estadounidense. A diferencia de DocuSign, Adobe Sign o Dropbox Sign (empresas estadounidenses), las autoridades estadounidenses no pueden obligar a Certyneo a divulgar sus datos.
¿Certyneo cumple con el RGPD?
Sí. Certyneo cumple con el RGPD: alojamiento en la UE, cifrado TLS 1.3 en tránsito y AES-256 en reposo, DPA disponible (artículo 28 del RGPD), período de retención limitado y documentado, derechos de acceso y supresión respetados.
¿Cómo se protegen los documentos firmados contra la falsificación?
Cada documento firmado está protegido por un sello criptográfico (hash SHA-256) inscrito en un registro de auditoría con marca de tiempo. Cualquier modificación del documento después de la firma invalida el sello y se detecta inmediatamente. El registro de auditoría se conserva durante 10 años.
¿Certyneo dispone de un DPA (Acuerdo de Tratamiento de Datos)?
Sí. Certyneo ofrece un DPA conforme al artículo 28 del RGPD, disponible y firmable electrónicamente desde su panel de control o bajo solicitud. Detalla los subcontratistas, las medidas técnicas y organizativas (MOT), y los derechos de los interesados.

Profundiza más

Amplía tu comprensión de la normativa y de los niveles de firma.