← Volver a NorvenEnglish

Seguridad y privacidad de datos

Resumen honesto de qué hacemos hoy con tus datos y qué no tenemos (todavía). Última actualización: abril de 2026.

Sabemos que antes de meter datos de tu operativa en otra herramienta quieres saber exactamente cómo los tratamos. Esta página recoge todos los controles que tenemos en producción a día de hoy. Si necesitas profundidad adicional para un proceso de compras, escríbenos a hola@mgmautomations.es.

1. Hosting y cifrado

  • Datos alojados en la Unión Europea. Toda la infraestructura (aplicación + base de datos PostgreSQL) corre en Railway, con datos físicamente en la UE. Esto cumple los requisitos de localización del RGPD por defecto, sin necesidad de cláusulas contractuales tipo (SCC) adicionales.
  • Cifrado en tránsito. Todo el tráfico va por HTTPS con HSTS y preload activado en producción. El navegador rechaza cualquier intento de conexión en HTTP.
  • Cifrado en reposo. Base de datos y almacenamiento de fotos (Cloudflare R2) cifrados a nivel de proveedor con AES-256.
  • Cabeceras de seguridad estrictas. Content Security Policy, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy y Permissions-Policy aplicadas a todas las respuestas para mitigar XSS, clickjacking y data exfiltration.

2. RGPD: tus derechos como controller

En la relación contractual con Norven, tu organización es el controller de los datos personales que vuelcas en la plataforma (empleados, clientes finales, sujetos de inspección). Norven actúa como processor y procesa esos datos siguiendo tus instrucciones. Esto está documentado en nuestro Acuerdo de Encargo del Tratamiento (DPA), plantilla del Art. 28 RGPD descargable sin necesidad de cuenta.

  • Derecho de acceso y portabilidad. Cualquier usuario puede exportar todos sus datos en JSON desde Settings → Data & Privacy. El owner de la organización puede generar adicionalmente un ZIP con TODOS los datos de la organización (Art. 20 RGPD).
  • Derecho de supresión. Borrado de cuenta con soft-delete y purga definitiva a los 30 días. Los datos quedan inaccesibles desde el segundo uno.
  • Audit log. Cada acción relevante (firmas, generación de informes, accesos a fotos, cambios de plantilla) se registra con timestamp, usuario, IP y user-agent.
  • Notificación de brechas. Si se produce una brecha de seguridad, notificaremos a la organización afectada en menos de 72 horas, conforme al Art. 33 RGPD.
  • Subprocesadores documentados. La lista completa de subprocesadores (Clerk, Stripe, Cloudflare, OpenAI, Resend, Sentry, Railway, Anthropic) está en el DPA.

3. Proveedores con certificaciones reconocidas

Norven se apoya en proveedores que ya tienen las certificaciones que un comprador empresarial reconoce. Esto significa que los puntos más sensibles (autenticación, pagos, infraestructura) están cubiertos por auditorías externas.

  • Autenticación: Clerk — SOC 2 Type II y RGPD. Norven nunca almacena contraseñas.
  • Pagos: Stripe — PCI DSS Level 1. Norven nunca ve ni almacena números de tarjeta.
  • Hosting de la app y la BD: Railway — región UE, SOC 2 Type II.
  • Almacenamiento de fotos: Cloudflare R2 — SOC 2 Type II, ISO 27001.
  • Email transaccional: Resend — SPF/DKIM/DMARC configurados en el dominio remitente.
  • Análisis IA de fotos: OpenAI (GPT-4o) — datos de la API no se usan para entrenar modelos por política contractual.

4. Integridad de los informes de inspección

Cada PDF de inspección que genera Norven incluye en el pie un hash SHA-256 de su contenido y un enlace a norven.io/verify. Cualquiera que reciba el informe (cliente final, auditor, inspector de un organismo regulador) puede comprobar en la página pública de verificación que el documento fue emitido por Norven y que no ha sido modificado posteriormente.

Las firmas dentro de cada inspección se registran con metadatos completos (nombre, rol, IP, user-agent y, si el inspector lo permite, coordenadas GPS) para soportar trazabilidad bajo eIDAS (Reglamento UE 910/2014, firma electrónica simple, Art. 3.10).

5. Lo que aún no tenemos (transparencia)

Preferimos decirlo claro a fingir lo que no es. Estas son certificaciones / controles que todavía no tenemos y que están en roadmap para activarse cuando la demanda comercial lo justifique:

  • ISO 27001. En roadmap. Lo abordaremos cuando un cliente que lo requiera contractualmente firme con nosotros. Si es tu caso, dínoslo: aceleramos.
  • SOC 2 Type II propio (los proveedores subyacentes sí lo tienen). Mismo criterio que ISO 27001.
  • SSO empresarial (SAML/Okta/Azure AD). Disponible on-demand a partir del plan Custom.
  • Pentest externo anual. Planificado para cuando entremos en cuentas de tamaño medio.

6. Tu DPO o equipo de seguridad quieren más detalle

Tenemos preparados los siguientes documentos para enviarte si estás cerrando un contrato con nosotros:

¿Tienes preguntas sobre esta política? Contáctanos en hola@mgmautomations.es