Porteo← Volver

Política de Seguridad

Última actualización: Abril 2026

1. Compromiso con la seguridad

En Porteo, la seguridad de los datos de transporte y la integridad de los documentos legales son una prioridad fundamental. Dado que los documentos generados tienen valor jurídico conforme al ROTT y eIDAS, aplicamos un enfoque de seguridad por diseño en toda la plataforma.

2. Medidas técnicas

Cifrado y comunicaciones

  • Todo el tráfico está cifrado mediante TLS 1.2+.
  • Los datos en reposo están cifrados en la base de datos (Supabase / PostgreSQL).
  • Los archivos PDF y firmas se almacenan en Storage con cifrado a nivel de objeto.

Autenticación y acceso

  • Autenticación gestionada por Supabase Auth con tokens JWT de corta duración.
  • Políticas de Row Level Security (RLS) en todas las tablas: cada empresa solo accede a sus propios documentos.
  • Links de firma son tokens de un solo uso con caducidad.
  • Las firmas de terceros (conductor, destinatario) no requieren cuenta, pero el acceso se limita al documento específico mediante token único.

Integridad de documentos

  • Cada documento tiene un ID único inmutable generado en el servidor.
  • Las firmas incluyen timestamp, dirección IP y user-agent registrados en el momento de la firma.
  • Los PDFs se generan con el estado del documento en el momento de descarga e incluyen código QR de verificación.
  • Ningún dato de documento puede modificarse una vez firmado.

3. Infraestructura

  • Hosting: Vercel (edge network global, sin servidores propios que gestionar).
  • Base de datos: Supabase (PostgreSQL gestionado, copias de seguridad automáticas diarias).
  • Pagos: Stripe PCI DSS Level 1 — Porteo no almacena ni procesa datos de tarjeta.

4. Control de acceso interno

El acceso a datos de producción por parte del equipo de Porteo está restringido a personal autorizado, con autenticación de dos factores y registro de auditoría. Aplicamos el principio de mínimo privilegio.

5. Respuesta a incidentes

Disponemos de un procedimiento interno de respuesta a incidentes de seguridad. En caso de brecha que afecte a datos personales, notificaremos a la AEPD en un plazo máximo de 72 horas conforme al RGPD, y a los afectados si existiera riesgo elevado para sus derechos.

6. Divulgación responsable (Bug Bounty)

Si descubres una vulnerabilidad de seguridad en la plataforma, te pedimos que nos la comuniques de forma responsable antes de hacerla pública, escribiendo a info@porteo.app. Nos comprometemos a responder en un plazo de 48 horas y a trabajar contigo para resolverla.

7. Actualizaciones

Revisamos y actualizamos esta política periódicamente para reflejar cambios en nuestras prácticas de seguridad o en el entorno de amenazas.

© 2026 Porteo Technologies, S.L. · hola@porteo.app