Declaración de Seguridad y Cumplimiento

Versión: 2026-04-22 (v0 — borrador pendiente de revisión legal) Operador: Panielix LLC (Wyoming, Estados Unidos), operando como "Facturitica"

🚧 Borrador en revisión. Este documento es una versión de trabajo pendiente de revisión por asesoría legal costarricense y por nuestro equipo de seguridad. El contenido final publicado puede variar.

1. Resumen

Este documento sintetiza la postura de seguridad de Facturitica para procesos de compras y evaluación de proveedores. Es intencionalmente breve (dos páginas). Para los compromisos contractuales detallados ver el Contrato de Procesamiento de Datos y el Acuerdo de Nivel de Servicio.

2. Manejo de datos

Cifrado en reposo. Los campos sensibles (certificados, PINs, correos y teléfonos) se cifran con AES-256-GCM usando nonce por fila y clave de aplicación (MASTER_ENCRYPTION_KEY). Los backups se cifran con age antes de salir del host.

Cifrado en tránsito. TLS 1.2+ en todos los endpoints públicos. HSTS habilitado y dominio listo para la lista de pre-carga. Las llamadas internas viajan por un segmento de red privado.

Gestión de llaves. Las llaves age se rotan anualmente; la MASTER_ENCRYPTION_KEY se rota trimestralmente con re-cifrado tipo envelope. Las llaves nunca viven en el repositorio, solo en el almacén de secretos de producción.

3. Control de acceso

RBAC. Cada acción se gobierna por rol: OWNER, ADMIN, ACCOUNTANT, EMPLOYEE, VIEWER. Los roles se aplican en la capa de API.

Aislamiento multi-tenant. Las políticas Row-Level Security de PostgreSQL aplican organization_id en el motor de la base. Cada conexión fija el contexto de tenant; sin contexto, las consultas retornan cero filas.

Acceso de superadministrador. El acceso del personal de Facturitica a un tenant se registra en audit_events y es visible para el cliente en el visor de auditoría. Las sesiones son acotadas en el tiempo y requieren razón documentada.

Doble factor. 2FA TOTP disponible para todos los usuarios y obligatoria para OWNER y ADMIN.

4. Red

Perímetro. WAF de Cloudflare frente a la aplicación (despliegue en curso). nginx aplica límites de tasa por ruta: 20 req/min en autenticación y 600 req/min en la API general.

Resiliencia. Un circuit breaker protege las llamadas salientes a MH. Cuando el circuito se abre, los documentos se encolan y reintentan con jitter-backoff; la emisión no depende de la aceptación sincrónica de MH.

5. Monitoreo y respuesta a incidentes

• Errores: Sentry con etiquetado por release y saneamiento de PII.
• Métricas y trazas: Prometheus consume /v1/metrics; trazas OpenTelemetry a nuestro backend.
• Logs: Loki centralizado, 30 días de retención caliente.
• Disponibilidad: sondas externas a /v1/health/ready cada 60 s, con paginación a guardia por webhook de Discord.
• Respuesta a incidentes: P1 pagina al ingeniero en 5 minutos. Las brechas de datos personales se notifican dentro de 72 horas (ver el DPA).

6. Auditoría y certificaciones

• Pentest anual por una firma externa calificada (alcance: API, flujo de autenticación, cola de envío). Reporte disponible bajo NDA a clientes de planes pagados.
• SOC 2 Tipo I en la hoja de ruta; el calendario depende del presupuesto y se comunica a clientes enterprise bajo solicitud.

7. Residencia de datos

• Hosting primario: centros de datos de Contabo GmbH en Alemania (UE).
• Entidad legal: Panielix LLC, constituida en el estado de Wyoming, Estados Unidos.
• Transferencias internacionales: regidas por las Cláusulas Contractuales Tipo (UE 2021/914) referenciadas en el DPA.

8. Sub-procesadores

La lista completa y actual de sub-procesadores, su propósito y jurisdicción se publica en /legal/subprocessors. Los cambios materiales se notifican a los clientes con al menos 30 días de antelación.

9. Retención de datos

• Comprobantes electrónicos firmados (CE): retenidos indefinidamente; la ley de Costa Rica exige un mínimo de 5 años (DGT-R-012-2018) y los CE son inmutables por diseño.
• Logs de auditoría: 2 años.
• Backups: retención rotativa de 30 días; los snapshots antiguos se eliminan mediante destrucción criptográfica de sus llaves age.
• Datos de cuenta: eliminados 60 días después de la terminación de la suscripción (ver §9 del DPA).

10. Derechos del cliente

Los clientes pueden exportar sus propios datos, eliminar su cuenta y ejercer los derechos de titular del RGPD/Ley 8968 mediante las herramientas de autoservicio del producto y los canales de contacto del DPA. Las excepciones de retención y el manejo de retenciones legales se documentan ahí.

11. Contacto

• Contacto de seguridad: security@facturitica.com
• Divulgación responsable: ver /.well-known/security.txt para nuestra política de seguridad, llave PGP preferida y plazos de divulgación.

Para un paquete de evaluación de proveedor (esta declaración + DPA + SLA + lista de sub-procesadores, firmado) escribir a security@facturitica.com.