Política de seguridad de la información
Última actualización: 15 de junio de 2026 · Versión 1.0
1. Objeto y alcance
Esta Política define los principios, responsabilidades y controles de seguridad aplicados por AURANEXO FINANZAS, S.L.U. (titular de la marca ADINER, CIF B-26828616) para proteger la confidencialidad, integridad y disponibilidad de la información tratada en el marco de su actividad de concesión de crédito al consumo.
Es de aplicación a todos los activos de información, sistemas, redes, personal interno, colaboradores y encargados del tratamiento que intervienen en los servicios de ADINER.
2. Marco normativo de referencia
- Reglamento (UE) 2016/679 — RGPD (arts. 5.1.f, 24, 25 y 32).
- Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales.
- Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
- Ley 10/2010, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo.
- Reglamento (UE) nº 910/2014 — eIDAS sobre identificación electrónica y firma cualificada.
- Controles inspirados en ISO/IEC 27001:2022 y guías del Esquema Nacional de Seguridad (ENS) nivel medio.
3. Principios de seguridad
ADINER aplica los principios de seguridad desde el diseño y por defecto (art. 25 RGPD), mínimo privilegio, defensa en profundidad, segregación de funciones y trazabilidad completa de toda actuación sobre datos personales.
4. Medidas técnicas implementadas
4.1. Cifrado y protección de datos en reposo y en tránsito (A.8.24, A.8.25)
- HTTPS/TLS 1.3 obligatorio en todas las comunicaciones con la plataforma.
- Cifrado simétrico AES-256 (pgcrypto + pgp_sym_encrypt) para campos sensibles (DNI, secretos MFA).
- Hash con pimienta (SHA-256 + pepper) para campos consultables sin revelar el dato original.
- Enmascaramiento (***1234) en interfaces y exports; descifrado solo bajo función SECURITY DEFINER auditada.
- Claves de cifrado almacenadas en schema privado
private, fuera del alcance de la API pública.
4.2. Control de acceso y autenticación (A.5.15, A.5.17, A.8.5)
- Autenticación basada en JWT con tokens de corta duración y rotación de refresh.
- MFA TOTP obligatorio para todo el personal interno (admin, analista, supervisor).
- Roles segregados:
admin,supervisor,analistayclient. - Row Level Security (RLS) estricta a nivel de fila en PostgreSQL para 100% de tablas de usuario.
- Bloqueo automático tras 5 intentos fallidos por email / 10 por IP durante 30 minutos.
- Verificación de identidad KYC con OCR + biometría + liveness antes del primer desembolso.
4.3. Registro, monitorización y trazabilidad (A.8.15, A.8.16)
- audit_logs: registro inmutable de toda acción crítica con actor, rol, IP, before/after diff y severidad.
- pii_access_log: trazabilidad obligatoria de cada acceso a datos personales sensibles.
- device_fingerprints: detección de fingerprint, geolocalización, VPN/Tor/proxy y multi-cuenta.
- monitoring_alerts: alertas en tiempo real ante anomalías operativas.
- Retención de logs: 6 años conforme al art. 25 LPBC y la Ley 10/2010.
4.4. Antifraude y prevención de blanqueo (A.5.7, A.5.30)
- Motor de Fraud Score 0-100 con bloqueo automático ≥ 80.
- Cribado contra listas PEP y sanciones (Consejo UE, OFAC, ONU) en cada solicitud.
- Reglas SEPBLAC: umbral 3.000 €/30d, frecuencia 3 solicitudes/7d, alertas críticas a equipo de Compliance.
- Detección de patrones cruzados entre cuentas, dispositivos e IPs.
4.5. Continuidad y recuperación (A.5.29, A.8.13, A.8.14)
- Backups diarios cifrados de la base de datos con retención de 30 días en bucket
db-backups. - RPO ≤ 24h, RTO ≤ 4h para entornos productivos.
- Infraestructura serverless con failover automático multi-región (Cloudflare Workers + Supabase EU-West).
- Runbook de incidentes documentado (
docs/runbook-incidentes.md).
4.6. Gestión de proveedores y encargados del tratamiento (A.5.19, A.5.20, A.5.21)
- Contratos de encargado del tratamiento firmados con todos los proveedores (Brevo, Stripe, GoCardless, Signaturit, Didit, Tink/TrueLayer, Cloudflare, Supabase).
- Todos los proveedores residen en territorio UE o cumplen el Data Privacy Framework UE-EEUU.
- Auditoría periódica del cumplimiento de los encargados.
4.7. Desarrollo seguro y gestión de vulnerabilidades (A.8.25 – A.8.34)
- Revisión de código obligatoria antes del merge a la rama principal.
- Análisis estático automatizado (linter de seguridad de PostgreSQL) en cada migración de base de datos.
- Rotación de secretos documentada (
docs/secretos-rotacion.md); ningún secreto en código fuente. - Validación dual (cliente + servidor) con Zod en 100% de los formularios.
5. Medidas organizativas (A.6, A.7)
- Delegado de Protección de Datos (DPO): dpo@adiner.net.
- Formación continua del personal en RGPD, LSSI-CE y prevención de fraude.
- Acuerdos de confidencialidad para todo el personal y colaboradores.
- Revisión periódica (mínimo anual) del análisis de riesgos LSSI-CE y RGPD.
- Registro de actividades de tratamiento publicado en
/admin/inventario-de-datos.
6. Notificación de brechas de seguridad
ADINER dispone de un procedimiento documentado para detectar, contener, analizar y notificar quiebras de seguridad. En caso de brecha que afecte a datos personales, ADINER notificará a la AEPD en un plazo máximo de 72 horas conforme al art. 33 RGPD y, cuando suponga un alto riesgo, también a los interesados afectados (art. 34 RGPD).
7. Derechos de las personas interesadas
Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación en /legal/derechos-rgpd. Tienes derecho a presentar una reclamación ante la AEPD (www.aepd.es).
8. Revisión de esta política
Esta Política se revisa al menos una vez al año, y siempre que se produzcan cambios significativos en la actividad, la normativa o el panorama de amenazas. La versión vigente se publica permanentemente en esta misma URL.
