Saltar al contenido principal

Borrador legal. Estos textos son una base técnica para el desarrollo de la plataforma. Antes de operar comercialmente deben ser revisados por un abogado especializado en fintech y por el Delegado de Protección de Datos de AURANEXO FINANZAS S.L.

Política de seguridad de la información

Última actualización: 15 de junio de 2026 · Versión 1.0

1. Objeto y alcance

Esta Política define los principios, responsabilidades y controles de seguridad aplicados por AURANEXO FINANZAS, S.L.U. (titular de la marca ADINER, CIF B-26828616) para proteger la confidencialidad, integridad y disponibilidad de la información tratada en el marco de su actividad de concesión de crédito al consumo.

Es de aplicación a todos los activos de información, sistemas, redes, personal interno, colaboradores y encargados del tratamiento que intervienen en los servicios de ADINER.

2. Marco normativo de referencia

  • Reglamento (UE) 2016/679 — RGPD (arts. 5.1.f, 24, 25 y 32).
  • Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales.
  • Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
  • Ley 10/2010, de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo.
  • Reglamento (UE) nº 910/2014 — eIDAS sobre identificación electrónica y firma cualificada.
  • Controles inspirados en ISO/IEC 27001:2022 y guías del Esquema Nacional de Seguridad (ENS) nivel medio.

3. Principios de seguridad

ADINER aplica los principios de seguridad desde el diseño y por defecto (art. 25 RGPD), mínimo privilegio, defensa en profundidad, segregación de funciones y trazabilidad completa de toda actuación sobre datos personales.

4. Medidas técnicas implementadas

4.1. Cifrado y protección de datos en reposo y en tránsito (A.8.24, A.8.25)

  • HTTPS/TLS 1.3 obligatorio en todas las comunicaciones con la plataforma.
  • Cifrado simétrico AES-256 (pgcrypto + pgp_sym_encrypt) para campos sensibles (DNI, secretos MFA).
  • Hash con pimienta (SHA-256 + pepper) para campos consultables sin revelar el dato original.
  • Enmascaramiento (***1234) en interfaces y exports; descifrado solo bajo función SECURITY DEFINER auditada.
  • Claves de cifrado almacenadas en schema privado private, fuera del alcance de la API pública.

4.2. Control de acceso y autenticación (A.5.15, A.5.17, A.8.5)

  • Autenticación basada en JWT con tokens de corta duración y rotación de refresh.
  • MFA TOTP obligatorio para todo el personal interno (admin, analista, supervisor).
  • Roles segregados: admin, supervisor, analista y client.
  • Row Level Security (RLS) estricta a nivel de fila en PostgreSQL para 100% de tablas de usuario.
  • Bloqueo automático tras 5 intentos fallidos por email / 10 por IP durante 30 minutos.
  • Verificación de identidad KYC con OCR + biometría + liveness antes del primer desembolso.

4.3. Registro, monitorización y trazabilidad (A.8.15, A.8.16)

  • audit_logs: registro inmutable de toda acción crítica con actor, rol, IP, before/after diff y severidad.
  • pii_access_log: trazabilidad obligatoria de cada acceso a datos personales sensibles.
  • device_fingerprints: detección de fingerprint, geolocalización, VPN/Tor/proxy y multi-cuenta.
  • monitoring_alerts: alertas en tiempo real ante anomalías operativas.
  • Retención de logs: 6 años conforme al art. 25 LPBC y la Ley 10/2010.

4.4. Antifraude y prevención de blanqueo (A.5.7, A.5.30)

  • Motor de Fraud Score 0-100 con bloqueo automático ≥ 80.
  • Cribado contra listas PEP y sanciones (Consejo UE, OFAC, ONU) en cada solicitud.
  • Reglas SEPBLAC: umbral 3.000 €/30d, frecuencia 3 solicitudes/7d, alertas críticas a equipo de Compliance.
  • Detección de patrones cruzados entre cuentas, dispositivos e IPs.

4.5. Continuidad y recuperación (A.5.29, A.8.13, A.8.14)

  • Backups diarios cifrados de la base de datos con retención de 30 días en bucket db-backups.
  • RPO ≤ 24h, RTO ≤ 4h para entornos productivos.
  • Infraestructura serverless con failover automático multi-región (Cloudflare Workers + Supabase EU-West).
  • Runbook de incidentes documentado (docs/runbook-incidentes.md).

4.6. Gestión de proveedores y encargados del tratamiento (A.5.19, A.5.20, A.5.21)

  • Contratos de encargado del tratamiento firmados con todos los proveedores (Brevo, Stripe, GoCardless, Signaturit, Didit, Tink/TrueLayer, Cloudflare, Supabase).
  • Todos los proveedores residen en territorio UE o cumplen el Data Privacy Framework UE-EEUU.
  • Auditoría periódica del cumplimiento de los encargados.

4.7. Desarrollo seguro y gestión de vulnerabilidades (A.8.25 – A.8.34)

  • Revisión de código obligatoria antes del merge a la rama principal.
  • Análisis estático automatizado (linter de seguridad de PostgreSQL) en cada migración de base de datos.
  • Rotación de secretos documentada (docs/secretos-rotacion.md); ningún secreto en código fuente.
  • Validación dual (cliente + servidor) con Zod en 100% de los formularios.

5. Medidas organizativas (A.6, A.7)

  • Delegado de Protección de Datos (DPO): dpo@adiner.net.
  • Formación continua del personal en RGPD, LSSI-CE y prevención de fraude.
  • Acuerdos de confidencialidad para todo el personal y colaboradores.
  • Revisión periódica (mínimo anual) del análisis de riesgos LSSI-CE y RGPD.
  • Registro de actividades de tratamiento publicado en /admin/inventario-de-datos.

6. Notificación de brechas de seguridad

ADINER dispone de un procedimiento documentado para detectar, contener, analizar y notificar quiebras de seguridad. En caso de brecha que afecte a datos personales, ADINER notificará a la AEPD en un plazo máximo de 72 horas conforme al art. 33 RGPD y, cuando suponga un alto riesgo, también a los interesados afectados (art. 34 RGPD).

7. Derechos de las personas interesadas

Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación en /legal/derechos-rgpd. Tienes derecho a presentar una reclamación ante la AEPD (www.aepd.es).

8. Revisión de esta política

Esta Política se revisa al menos una vez al año, y siempre que se produzcan cambios significativos en la actividad, la normativa o el panorama de amenazas. La versión vigente se publica permanentemente en esta misma URL.