Tabula

Seguridad

Última actualización · 14 de mayo de 2026

La seguridad de tus facturas y de tus credenciales contables es crítica. Esta página resume las medidas técnicas y organizativas que aplicamos.

1. Cifrado

  • En tránsito: todo el tráfico va sobre HTTPS con TLS 1.3 y certificados gestionados por Cloudflare. Forzamos HSTS.
  • En reposo: la base de datos y el almacenamiento de archivos están cifrados con AES-256.
  • Credenciales contables (Holded, Quipu, Anfix...) se cifran adicionalmente a nivel de aplicación con AES-256-GCM antes de guardarse, usando una clave maestra gestionada como secreto del entorno y nunca expuesta al cliente.

2. Aislamiento por organización (Row Level Security)

Todas las tablas que contienen datos del cliente tienen políticas de Row Level Security (RLS) activadas en PostgreSQL. Cada consulta se ejecuta con el contexto del usuario autenticado, de modo que es imposible —incluso por error de código— leer datos de otra organización.

3. Roles y permisos

Tabula define cuatro roles, almacenados en una tabla dedicada (no editable por el usuario):

  • owner — dueño del negocio. Acceso total, incluida facturación y borrado de cuenta.
  • manager — encargado del local. Sube facturas, gestiona alertas, no puede modificar facturación ni invitar usuarios.
  • advisor — asesor o gestoría. Acceso multicliente sólo a los clientes que le han dado permiso explícito.
  • internal_admin — equipo de Tabula. Sólo dos personas físicas con MFA obligatorio; el acceso queda registrado en logs auditables.

4. Autenticación

  • Email + contraseña con hash bcrypt y verificación por email.
  • Inicio de sesión con Google (OAuth 2.0).
  • Sesiones gestionadas con tokens rotatorios y refresh tokens revocables.
  • Política de contraseñas mínimas y bloqueo tras intentos fallidos repetidos.

5. Backups y recuperación

  • Backups automáticos diarios de toda la base de datos, con retención de 30 días.
  • Point-in-time recovery (PITR) hasta 7 días para cualquier minuto del periodo.
  • Tests de restauración trimestrales sobre entorno aislado.

6. Residencia de datos

La base de datos primaria, el almacenamiento de archivos y los backups se ubican en centros de datos dentro de la Unión Europea (región eu-central, gestionada por Lovable Cloud / Supabase). Algunos servicios accesorios (modelos IA, email transaccional) pueden procesar datos puntuales en EE. UU. bajo cláusulas contractuales tipo y el marco EU–US Data Privacy Framework.

7. Buenas prácticas operativas

  • Principio de mínimo privilegio para el equipo interno.
  • Secretos gestionados como variables de entorno cifradas, nunca en el repositorio.
  • Revisión obligatoria de pull requests antes de fusionar a producción.
  • Registro y monitorización de eventos sensibles (cambios de plan, exportaciones masivas, accesos administrativos).

8. Política de divulgación responsable

Si has descubierto una posible vulnerabilidad, escríbenos a security@tabulafac.com con los pasos para reproducirla. Nos comprometemos a:

  • Acusar recibo en menos de 48 horas hábiles.
  • Mantenerte informado del estado mientras investigamos.
  • No emprender acciones legales contra investigadores que actúen de buena fe, sin afectar la disponibilidad del servicio ni acceder a datos de terceros.
  • Reconocer públicamente tu hallazgo (si así lo deseas) en nuestra página de agradecimientos.

9. Incidentes

En caso de brecha de seguridad que afecte a datos personales, notificaremos a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas y a los usuarios afectados sin demora indebida, conforme al art. 33 y 34 RGPD.

Documento revisado el 14 de mayo de 2026. Si detectas un error o tienes una duda legal, escríbenos a legal@tabulafac.com.