Seguridad & RGPD

Última actualización: Mayo 2026

En FENIXIA SOLUTIONS S.L. tratamos la seguridad de la información como un requisito de producto. Esta página describe las medidas técnicas y organizativas (TOM) que aplicamos en VodaControl, conforme al artículo 32 del RGPD.

1. Arquitectura Multi-tenant

Cada distribuidor opera sobre un tenant lógicamente aislado. Toda consulta a la base de datos está filtrada por tenant_id mediante un trait BelongsToTenant que se aplica automáticamente. Un usuario no puede, por diseño, consultar datos de otro distribuidor.

El acceso a roles administrativos transversales está restringido a personal autorizado de FENIXIA y queda registrado en log de auditoría.

2. Cifrado

CapaMedida
Tránsito (cliente ↔ servidor)TLS 1.2+ con cifrados modernos. Certificados Let's Encrypt renovados automáticamente.
Tránsito (servidor ↔ servidor)SSH/TLS para conexiones internas. Backups transferidos sobre canal cifrado.
En reposo (BD)PostgreSQL en volumen cifrado. Hashes de contraseña con bcrypt (cost adaptativo).
En reposo (backups)Backups diarios cifrados, almacenados en múltiples ubicaciones.

3. Control de Acceso

4. Auditoría

Las acciones críticas (creación, modificación y borrado de entidades sensibles — ofertas, liquidaciones, tarifas, usuarios, roles) se registran en un audit log con identificador de usuario, marca temporal, IP y diff de cambios.

Los administradores del distribuidor pueden consultar el audit log de su tenant desde el menú Auditoría.

5. Backups y Continuidad

6. Infraestructura

7. Tratamiento de Datos Personales (RGPD)

Sobre los datos personales que el distribuidor sube a la plataforma (clientes finales B2B, comerciales, usuarios), FENIXIA actúa como Encargada del Tratamiento (artículo 28 RGPD) y el distribuidor como Responsable del Tratamiento.

FENIXIA:

8. Subencargados

FENIXIA puede recurrir a subencargados (proveedores de infraestructura cloud, herramientas de monitorización, soporte) para la prestación del servicio. Todos están vinculados por acuerdos de confidencialidad y obligaciones de protección de datos equivalentes a las asumidas por FENIXIA.

9. Notificación de Brechas

En caso de detectarse una brecha de seguridad que afecte a datos personales, FENIXIA notificará al distribuidor afectado sin dilación indebida, en cualquier caso dentro de las 72 horas siguientes a tener conocimiento de la misma, con la información requerida por el artículo 33.3 del RGPD.

10. Reportar una Vulnerabilidad

Si descubres una vulnerabilidad o problema de seguridad en VodaControl, agradecemos su comunicación responsable a:

Email: security@fenixia.tech

Por favor, no divulgues públicamente la vulnerabilidad hasta que hayamos podido investigarla y aplicar el parche correspondiente.

11. Contacto del DPD

Delegado de Protección de Datos — FENIXIA SOLUTIONS S.L.

dpd@fenixia.tech