Seguridad & RGPD
Última actualización: Mayo 2026
En FENIXIA SOLUTIONS S.L. tratamos la seguridad de la información como un requisito de producto. Esta página describe las medidas técnicas y organizativas (TOM) que aplicamos en VodaControl, conforme al artículo 32 del RGPD.
1. Arquitectura Multi-tenant
Cada distribuidor opera sobre un tenant lógicamente aislado. Toda consulta a la base de datos está filtrada por tenant_id mediante un trait BelongsToTenant que se aplica automáticamente. Un usuario no puede, por diseño, consultar datos de otro distribuidor.
El acceso a roles administrativos transversales está restringido a personal autorizado de FENIXIA y queda registrado en log de auditoría.
2. Cifrado
| Capa | Medida |
|---|---|
| Tránsito (cliente ↔ servidor) | TLS 1.2+ con cifrados modernos. Certificados Let's Encrypt renovados automáticamente. |
| Tránsito (servidor ↔ servidor) | SSH/TLS para conexiones internas. Backups transferidos sobre canal cifrado. |
| En reposo (BD) | PostgreSQL en volumen cifrado. Hashes de contraseña con bcrypt (cost adaptativo). |
| En reposo (backups) | Backups diarios cifrados, almacenados en múltiples ubicaciones. |
3. Control de Acceso
- Autenticación por usuario y contraseña (formato email + contraseña). Política de complejidad mínima.
- Roles granulares (administrador, comercial, jefe de equipo, etc.) y permisos por funcionalidad (
ofertas.view,comisiones.manage, etc.). - Autorización por tenant: un mismo email puede pertenecer a varios distribuidores con permisos distintos en cada uno.
- Sesiones: tokens de sesión con expiración. Invalidación inmediata al cerrar sesión o cambiar contraseña.
4. Auditoría
Las acciones críticas (creación, modificación y borrado de entidades sensibles — ofertas, liquidaciones, tarifas, usuarios, roles) se registran en un audit log con identificador de usuario, marca temporal, IP y diff de cambios.
Los administradores del distribuidor pueden consultar el audit log de su tenant desde el menú Auditoría.
5. Backups y Continuidad
- Frecuencia: backup diario automático de la base de datos PostgreSQL.
- Retención: 30 días de backups históricos, con copia geográficamente separada en VPS standby.
- Pruebas de restauración: verificación periódica de integridad mediante restauración en entorno aislado.
- RPO objetivo: 24 h. RTO objetivo: 4 h en escenario de pérdida total del VPS principal.
6. Infraestructura
- Hosting: VPS dedicado en proveedor europeo (datos siempre en territorio UE).
- Stack: Laravel 13 + PostgreSQL 16, contenedorizado con Docker.
- Reverse proxy: Nginx con HTTPS forzado, HSTS y headers de seguridad.
- Hardening: SSH solo con clave pública, firewall (iptables/ufw), fail2ban contra fuerza bruta, kernel y dependencias actualizados.
7. Tratamiento de Datos Personales (RGPD)
Sobre los datos personales que el distribuidor sube a la plataforma (clientes finales B2B, comerciales, usuarios), FENIXIA actúa como Encargada del Tratamiento (artículo 28 RGPD) y el distribuidor como Responsable del Tratamiento.
FENIXIA:
- Trata los datos únicamente según las instrucciones del Responsable.
- Garantiza la confidencialidad de las personas autorizadas para el tratamiento.
- Adopta las medidas técnicas y organizativas descritas en este documento.
- Asiste al Responsable en la atención de los derechos de los interesados.
- Notifica sin demora cualquier brecha de seguridad detectada que afecte a datos personales.
- Suprime los datos al finalizar el contrato, salvo obligación legal de conservarlos.
8. Subencargados
FENIXIA puede recurrir a subencargados (proveedores de infraestructura cloud, herramientas de monitorización, soporte) para la prestación del servicio. Todos están vinculados por acuerdos de confidencialidad y obligaciones de protección de datos equivalentes a las asumidas por FENIXIA.
9. Notificación de Brechas
En caso de detectarse una brecha de seguridad que afecte a datos personales, FENIXIA notificará al distribuidor afectado sin dilación indebida, en cualquier caso dentro de las 72 horas siguientes a tener conocimiento de la misma, con la información requerida por el artículo 33.3 del RGPD.
10. Reportar una Vulnerabilidad
Si descubres una vulnerabilidad o problema de seguridad en VodaControl, agradecemos su comunicación responsable a:
Email: security@fenixia.tech
Por favor, no divulgues públicamente la vulnerabilidad hasta que hayamos podido investigarla y aplicar el parche correspondiente.
11. Contacto del DPD
Delegado de Protección de Datos — FENIXIA SOLUTIONS S.L.