RESUMEN DE SEGURIDAD TÉCNICA — XALVEN

Versión: v1.0 — Fecha: 2026-03-01

Este documento es un resumen informativo de las medidas de seguridad de XALVEN. No constituye documentación técnica interna completa.

1. COMUNICACIONES

• Toda la comunicación entre el navegador/app del usuario y los servidores de XALVEN se realiza mediante HTTPS/TLS (cifrado en tránsito).
• Los certificados SSL/TLS son gestionados y renovados automáticamente.
• Las respuestas HTTP incluyen cabeceras de seguridad estándar.

2. AUTENTICACIÓN Y SESIONES

• Las contraseñas de usuario se almacenan cifradas con hash unidireccional (nunca en texto plano). Se utiliza un algoritmo robusto con sal (salt) individual por usuario.
• La autenticación se gestiona mediante tokens JWT con expiración configurada (30 días).
• Los tokens se transmiten en cabeceras HTTP de autorización (Bearer), no en URLs ni cookies HTTP.

3. DATOS DE PAGO

• XALVEN no almacena datos completos de tarjeta de crédito o débito.
• El procesamiento de pagos lo realiza íntegramente el proveedor externo (Stripe u otro certificado PCI-DSS).
• XALVEN únicamente almacena identificadores de referencia de transacción y el estado del pago (completado/fallido/reembolsado).

4. BASE DE DATOS Y ALMACENAMIENTO

• Los datos de usuarios y transacciones se almacenan en una base de datos con acceso restringido.
• El acceso a la base de datos no está expuesto directamente a internet.
• Se aplica el principio de minimización de datos: solo se almacenan los datos estrictamente necesarios para la prestación del servicio.

5. INFRAESTRUCTURA

• La aplicación se aloja en servidores con medidas de seguridad a nivel de sistema operativo, red y aplicación.
• El acceso administrativo a la infraestructura está restringido y protegido.
• Los servicios se ejecutan con privilegios mínimos necesarios.

6. LOGS Y AUDITORÍA

• Se mantienen logs de eventos de seguridad relevantes (autenticación, accesos, errores críticos) durante el tiempo mínimo necesario.
• Los logs de aceptación de condiciones legales (consentimiento RGPD) se conservan conforme a los plazos indicados en la Política de Privacidad.

7. ACTUALIZACIÓN Y MANTENIMIENTO

• Las dependencias de software se revisan y actualizan regularmente para aplicar parches de seguridad.
• Se realizan revisiones periódicas de la configuración de seguridad.

8. RESPUESTA A INCIDENTES

En caso de brecha de seguridad que pueda afectar a datos personales de usuarios:

1. XALVEN notificará a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tenga conocimiento de la brecha (cuando sea notificable según RGPD).
2. Se notificará directamente a los usuarios afectados cuando la brecha pueda suponer un alto riesgo para sus derechos y libertades.
3. Se tomarán medidas correctoras inmediatas para contener y mitigar el incidente.

Para reportar una vulnerabilidad de seguridad: support@xalven.app (asunto: "Reporte de seguridad")

XALVEN — support@xalven.app — v1.0 — 2026-03-01