Inicio Seguridad y cumplimiento

Tus datos fiscales, protegidos en Europa

InvoiceData está diseñado para gestorías y asesorías que manejan datos fiscales sensibles. Toda la infraestructura reside en la Unión Europea, cumplimos el RGPD, la LOPD-GDD y somos compatibles con los requisitos de la AEAT.

RGPD Art. 28 Datos en UE LOPD-GDD TLS 1.2+ · AES-256 AEAT compatible

Infraestructura 100% UE

Todos los servidores y bases de datos están alojados en los centros de datos de Microsoft Azure en los Países Bajos y/o Irlanda. Los datos nunca salen del Espacio Económico Europeo.

Cifrado extremo a extremo

Las comunicaciones están protegidas con TLS 1.2+. Los datos en reposo se cifran con AES-256. Las contraseñas se almacenan con bcrypt y nunca en claro.

RGPD y LOPD-GDD

Operamos bajo el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018. Disponemos de DPA (art. 28 RGPD) descargable para clientes que necesiten acreditar el encargo de tratamiento.

Compatible con la AEAT

Extraemos los campos fiscales que exige la normativa española: NIF/CIF, base imponible, cuota IVA, tipo IVA, IRPF, fecha, número de factura y datos del emisor/receptor.

Normativa española

Nuestra extracción cubre los campos del registro de facturación según la normativa fiscal española vigente, incluidos los datos exigidos para los libros registro de IVA.

Gestión de incidentes

En caso de brecha de seguridad, notificamos al cliente en un máximo de 72 horas conforme al art. 33 RGPD, con detalle del tipo de datos afectados y las medidas adoptadas.

Infraestructura y subencargados

InvoiceData actúa como encargado del tratamiento (art. 28 RGPD). Los únicos terceros que pueden acceder a datos de facturas son los subencargados listados a continuación, todos con DPA propio y garantías adecuadas.

Proveedor	Servicio	Ubicación	Garantías RGPD
Microsoft Azure	Alojamiento de plataforma y base de datos	UE · Países Bajos / Irlanda	DPA Microsoft · SCCs
Microsoft Azure AI	OCR e inteligencia artificial para extracción	UE · Países Bajos / Irlanda	DPA Microsoft · SCCs
Stripe, Inc.	Procesamiento de pagos (sin acceso a facturas)	EE.UU. (con SCCs)	Cláusulas contractuales tipo (CE)

Stripe únicamente procesa datos de pago. No tiene acceso a las facturas ni a los datos fiscales de tus clientes.

Administración Tributaria

Diseñado para cumplir con la AEAT

InvoiceData extrae los campos que necesitas para presentar tus modelos tributarios y mantener los libros de IVA. No enviamos datos a la AEAT: eso es tarea del gestor o del software contable. Nosotros nos encargamos de que los datos lleguen limpios y estructurados.

Modelo 303 — IVA trimestral: base imponible, cuota, tipo
Modelo 347 — Operaciones con terceros: NIF, importes anuales
Libros registro de IVA — Todos los campos reglamentarios
IRPF en facturas — Retenciones de profesionales y arrendamientos

Fiscalidad ESIVA · IRPF · NIF

AEATCompatible

LOPD-GDDLO 3/2018

Medidas técnicas y organizativas

Cifrado en tránsito y reposoTLS 1.2+ para todas las comunicaciones. AES-256 para datos almacenados.

Control de acceso (RBAC)Principio de mínimo privilegio. MFA obligatorio para acceso administrativo.

Copias de seguridadBackups diarios cifrados con retención de 30 días. Recuperación probada periódicamente.

Registro de auditoríaLog completo de todas las operaciones de tratamiento, accesos y modificaciones.

Análisis de vulnerabilidadesEscaneo periódico de dependencias y pruebas de penetración anuales.

Continuidad de negocioPlan BCP/DRP documentado. RTO < 4 h, RPO < 24 h para datos críticos.

Preguntas frecuentes sobre seguridad

¿Dónde se almacenan físicamente los datos de mis facturas?

En centros de datos de Microsoft Azure ubicados en la Unión Europea (Países Bajos y/o Irlanda). Los datos nunca se transfieren fuera del EEE sin garantías adecuadas.

¿InvoiceData envía datos a la AEAT en mi nombre?

No. InvoiceData es una herramienta de extracción y estructuración de datos. La presentación de modelos tributarios ante la AEAT es responsabilidad del gestor o del software de contabilidad. Nosotros entregamos los datos limpios y listos para importar.

¿Cómo cumple InvoiceData el artículo 28 del RGPD?

Disponemos de un Acuerdo de Tratamiento de Datos (DPA) que regula el encargo de tratamiento entre el cliente (Responsable) e InvoiceData (Encargado), con todas las cláusulas obligatorias del art. 28 RGPD.

¿Qué pasa con los datos si cancelo mi cuenta?

Puedes exportar todos tus datos en cualquier momento. Tras la cancelación, los datos se retienen 30 días para posibles reactivaciones y posteriormente se eliminan de forma segura, salvo que la ley exija su conservación.

¿Las API keys están protegidas?

Las API keys se generan con entropía criptográfica y se almacenan hasheadas. Solo se muestran en el momento de su creación. Si sospechas que una clave ha sido comprometida, puedes revocarla desde el panel de control en cualquier momento.

¿Realizáis auditorías de seguridad externas?

Sí. Realizamos pruebas de penetración anuales y análisis de vulnerabilidades periódicos. Microsoft Azure, como proveedor de infraestructura, cuenta con certificaciones ISO 27001, SOC 1/2/3 y ENS (Esquema Nacional de Seguridad).