Saltar al contenido principal

Preguntas frecuentes sobre datos y seguridad

¿Están seguros mis datos?

¡Sí! Seguridad de nivel empresarial:

Cifrado:

Datos en reposo: cifrado AES-256 Datos en tránsito: TLS 1.3 (mínimo TLS 1.2) Base de datos: MongoDB cifrada Copias de seguridad: almacenamiento S3 cifrado Subidas de archivos: cifradas (ENTERPRISE)

Infraestructura:

Alojamiento en Hetzner (Alemania, región UE) MongoDB autoalojado (contenedor Docker) CDN: Vercel (global, nodos de borde en la UE) Protección de cortafuegos Auditorías de seguridad periódicas Pruebas de penetración (anuales)

Control de acceso:

Requisitos de contraseña robustos Autenticación de dos factores (2FA) — códigos de respaldo almacenados como hashes bcrypt Tokens de invitación: hash SHA-256 antes del almacenamiento Registros de acceso de administrador: e-mail del operador almacenado solo como hash SHA-256 Datos personales de facturación (nombre de contacto, e-mail, teléfono, números de IVA/fiscal) excluidos de las consultas generales (select: false a nivel de base de datos) Instantáneas de validación VIES (nombre de empresa, dirección) eliminadas después de 180 días (RGPD art. 5(1)(e)) SSO/SAML (ENTERPRISE) (Próximamente) Lista blanca de IPs (ENTERPRISE) Gestión de sesiones Cierre de sesión automático (configurable)

Más detalles: Configuración de seguridad →

¿Dónde se almacenan mis datos?

Centros de datos:

Región principal: Europa (Alemania)

¿Por qué Europa? Cumplimiento del RGPD Residencia de datos en la UE (Hetzner) Baja latencia para usuarios europeos Jurisdicción favorable a la privacidad

Infraestructura:

• Alojamiento: Hetzner Online GmbH (Alemania) • Base de datos: MongoDB autoalojado (UE) • CDN: Vercel (global con borde en la UE) • Correo electrónico: Tarhely.eu (Hungría, UE)

Toda la infraestructura: Ubicada en la UE (residencia de datos) DPA conformes con el RGPD firmados Auditorías de seguridad periódicas

Copias de seguridad:

Copias de seguridad automatizadas diarias Retención de 30 días (PRO) Retención de 90 días (ENTERPRISE) Almacenamiento geo-redundante (3 regiones) Cifradas en reposo Pruebas de restauración periódicas

¿Cumple CADENSA con el RGPD?

¡Sí! Totalmente conforme con el RGPD:

Tus derechos:

Derecho de acceso → Exporta tus datos en cualquier momento → Configuración → Perfil → Exportar datos

Derecho de rectificación → Edita tus datos en la app → Actualiza perfil, entradas de tiempo

Derecho de supresión ("derecho al olvido") → Elimina tu cuenta permanentemente → Configuración → Perfil → Eliminar cuenta

Derecho a la portabilidad → Exporta en formatos JSON/CSV → Lleva tus datos donde quieras

Derecho de oposición → Cancela los emails de marketing → Controla las preferencias de notificación

Nuestros compromisos:

Acuerdo de procesamiento de datos (DPA) disponible Privacidad desde el diseño y por defecto Minimización de datos (solo recopilamos los necesarios) Procesamiento basado en el consentimiento Notificación de brechas (en 72 horas) Almacenamiento de datos en la UE (Frankfurt) Auditorías de cumplimiento periódicas

Gestión de cookies:

  • Consentimiento granular de cookies (Esenciales, Funcionales, Analíticas, Marketing)
  • Fácil exclusión en cualquier momento mediante Configuración de cookies
  • Política de cookies transparente con divulgación completa
  • Eliminación automática al deshabilitar categorías
  • Documentación de preferencias de cookies →

Solicitar DPA: support@cadensa.io

¿Qué datos recopilais?

Datos que recopilamos:

Datos de cuenta:

Dirección de email (necesaria para iniciar sesión) Nombre (nombre y apellidos) Contraseña (cifrada, nunca almacenada en texto plano) Foto de perfil (opcional) Cargo, departamento (opcional) Número de teléfono (opcional, para 2FA)

Datos de uso:

Entradas de tiempo (fecha, proyecto, duración, descripción) Proyectos y tareas (nombres, presupuestos, configuración) Configuración del espacio de trabajo Informes generados Historial de inicio de sesión (IP, dispositivo, ubicación) Información de facturación (método de pago, facturas)

Datos técnicos:

Tipo y versión del navegador Tipo de dispositivo (escritorio/móvil) Sistema operativo Dirección IP (por seguridad) Cookies (sesión, preferencias)

Datos que NO recopilamos:

Historial de navegación fuera de CADENSA Pulsaciones de teclas o capturas de pantalla Archivos personales en tu dispositivo Datos de otras aplicaciones Información personal innecesaria

¿Puedo eliminar mi cuenta y mis datos?

¡Sí! Eliminación permanente disponible:

Proceso de eliminación de cuenta:

1. Configuración → Perfil → Eliminar cuenta
2. Exporta tus datos primero (recomendado)
3. Introduce la contraseña para confirmar
4. Escribe "ELIMINAR" para confirmar
5. Haz clic en "Eliminar permanentemente la cuenta"
6. Comienza un período de gracia de 7 días

Período de gracia (7 días):

Días 1-6:
• Cuenta desactivada (no puedes iniciar sesión)
• Datos conservados
• Puedes cancelar la eliminación
• Email enviado con enlace de reactivación

Día 7:
• Eliminación permanente
• Todos los datos eliminados de producción
• Copias de seguridad purgadas en 30 días
• Irreversible

¿Quién puede acceder a mis datos?

Control de acceso:

Tu equipo (dentro del espacio de trabajo):

Acceso basado en roles:

Administrador: Acceso completo a todos los datos Puede ver todas las entradas de tiempo Puede editar la configuración del espacio de trabajo Puede gestionar usuarios

Manager: Ver entradas de tiempo del equipo Gestionar proyectos asignados Generar informes del equipo No puede ver la facturación

Miembro: Ver sus propias entradas de tiempo Ver los proyectos asignados No puede ver las entradas de otros

Visualizador: Acceso de solo lectura Ver proyectos asignados No puede registrar tiempo

Empleados de CADENSA:

Equipo de soporte (con tu permiso): Ver datos para solucionar problemas Solo cuando te pones en contacto con soporte Acceso registrado en el registro de auditoría Bajo estricta confidencialidad

Terceros:

Nunca vendemos tus datos Sin socios publicitarios Sin minería de datos

Compartición limitada (necesaria para el servicio): • Mollie B.V.: Solo procesamiento de pagos (Países Bajos, UE) • Hetzner: Infraestructura de alojamiento (Alemania, UE) • Tarhely.eu: Entrega de email (Hungría, UE) • Todos bajo DPA estrictos

¿Qué certificaciones tenéis?

Certificaciones de seguridad:

SOC 2 Tipo II:

Certificado desde 2025 Auditorías anuales Criterios de Trust Service: • Seguridad • Disponibilidad • Confidencialidad • Integridad del procesamiento • Privacidad

Solicitar informe: security@cadensa.io

Cumplimiento del RGPD:

Residencia de datos en la UE Acuerdo de procesamiento de datos (DPA) Privacidad desde el diseño Derecho de supresión Portabilidad de datos Proceso de notificación de brechas

ISO 27001 (en proceso):

Previsto: Q2 2026
• Gestión de seguridad de la información
• Auditorías periódicas
• Mejora continua

¿Cuánto tiempo conserváis mis datos?

Retención de datos:

Cuentas activas:

Plan FREE:
• Últimos 30 días: Acceso completo
• Datos más antiguos: Solo lectura
• Para siempre: No se eliminan a menos que lo solicites

Plan PRO:
• Último año: Acceso completo
• Datos más antiguos: Solo lectura
• Para siempre: No se eliminan a menos que lo solicites

ENTERPRISE:
• Todos los datos: Para siempre (salvo eliminación)
• Políticas de retención personalizadas disponibles

Datos de facturación:

Conservados por obligación legal:
• Facturas: 7 años (ley contable)
• Registros de pagos: 7 años (ley fiscal)
• Registros del IVA: 10 años (legislación de la UE)

Incluso después de la eliminación de la cuenta

Instantáneas de validación VIES (RGPD art. 5(1)(e)):

Resultados de validación de IVA de la UE (nombre de empresa, dirección del VIES):
• Eliminados 180 días después de la fecha de validación
• Eliminación automática por el trabajo de limpieza semanal
• La fecha de validación y el estado de validez se conservan (sin datos personales)

¿Qué proveedores externos utiliza CADENSA?

Solo socios de confianza:

Análisis y feedback:

Plausible Analytics (plausible.io) • Propósito: Analítica web respetuosa con la privacidad (páginas vistas) • Región: EU (Estonia — Plausible OÜ) • Base legal: Sin consentimiento requerido — sin cookies, sin datos personales • DPA: No requerido

Formbricks (autoalojado: surveys.cadensa.io) • Propósito: Encuestas NPS y feedback in-app • Región: EU — Hetzner Alemania (autoalojado, sin transferencia a EE.UU.) • Base legal: Consentimiento (categoría analytics opcional) • Cargado solo después de otorgar consentimiento • DPA: No requerido (autoalojado, sin subencargado externo)

Supervisión:

Sentry (solo entorno de staging) • Propósito: Seguimiento de errores en staging/QA • Datos: Registros de errores anonimizados • No se usa en producción • DPA:

Próximos pasos

¿Preguntas sobre privacidad?

Tiempo de respuesta: 48 horas para solicitudes de privacidad