Seguridad y privacidad
Cómo protegemos los datos de tu negocio
Resumen claro de las medidas técnicas y organizativas con las que FlexFood protege los datos de tus clientes, tu facturación y tu información fiscal.
Última revisión: 2026-05-02.
Hosting en la Unión Europea
Toda nuestra infraestructura productiva (servidores, base de datos, copias de seguridad) está alojada en la Unión Europea con dos proveedores: Hetzner Online GmbH (Alemania) y Hostinger. Esto nos sitúa bajo el RGPD por defecto, sin transferencias internacionales de datos hacia jurisdicciones con menor protección.
Encriptación de datos sensibles
- HTTPS/TLS obligatorio en todo el sitio (HSTS con max-age 1 año + includeSubDomains).
- AES-256-CBC para los datos fiscales personales: NIF, razón social, dirección, email fiscal y credenciales del sistema VeriFactu de cada restaurante quedan cifrados en base de datos.
- Bcrypt con coste 12 para las contraseñas de los usuarios.
- Sesiones encriptadas y cookies
secure+httponly+samesite=lax.
Pagos: PCI-DSS Level 1 con Stripe
Las suscripciones se cobran a través de Stripe, que cumple PCI-DSS Level 1 (el nivel más alto). FlexFood nunca ve, almacena ni procesa números de tarjeta — Stripe nos devuelve un identificador de cliente y nada más. Si tu tarjeta cambia, se actualiza desde el portal de cliente de Stripe directamente.
Acceso al panel y autenticación
- Doble factor (2FA) obligatorio para roles administrativos.
- Validación de IP consistente en sesiones autenticadas — un cambio brusco de IP fuerza re-login.
- CSRF tokens en todas las acciones que modifican datos.
- Verificación de firma HMAC en webhooks (Stripe + integraciones internas).
Cabeceras y políticas de seguridad web
- Strict-Transport-Security 1 año + includeSubDomains.
- X-Frame-Options: SAMEORIGIN (anti-clickjacking).
- X-Content-Type-Options: nosniff.
- Referrer-Policy: strict-origin-when-cross-origin.
- Permissions-Policy restrictiva (geolocation, microphone, camera, etc. desactivados por defecto).
- Content-Security-Policy en modo Report-Only mientras observamos tráfico real antes de pasar a enforced.
Auditorías y mejora continua
El 1 de mayo de 2026 hicimos una auditoría completa de seguridad (FlexFood + infraestructura) y aplicamos 16 fixes de hardening: reducción de privilegios, rotación de logs con datos sensibles, ajuste de cabeceras, restricción de proxies de confianza, y más. Tenemos varias rotaciones de credenciales planificadas para los próximos días.
Repetimos auditorías periódicamente y aplicamos parches de seguridad de dependencias en cuanto se publican.
RGPD y derechos de los usuarios
- Tienes derecho a acceder, rectificar, suprimir, limitar y oponerte al tratamiento de tus datos.
- Si dejas FlexFood, te exportamos toda tu base de datos en CSV/Excel sin coste.
- Para ejercer cualquier derecho, escribe a legal@flexfood.es.
- Política completa: /privacidad.
Reportar una vulnerabilidad
Si descubres una vulnerabilidad o un comportamiento que parezca un fallo de seguridad, escríbenos a legal@flexfood.es con una descripción y, si puedes, pasos para reproducirlo. Respondemos en menos de 72 horas.