Información legal

Seguridad

Última actualización: 10 de junio de 2026.

En Kumbai trabajamos con datos sensibles para tu negocio: catálogo, pedidos, clientes, facturación y operativa diaria. Aquí te contamos qué hacemos para protegerlos.

HTTPS/TLS 2FA Backups cifrados Roles y permisos Veri*Factu Auditoría

1. Cifrado

En tránsito: todo el tráfico viaja sobre HTTPS/TLS 1.2+. Las conexiones a la API y al panel se sirven exclusivamente cifradas.
En reposo: base de datos cifrada a nivel de disco. Las contraseñas se almacenan con bcrypt (no son recuperables).
Los certificados SSL se renuevan automáticamente.

2. Autenticación y control de acceso

2FA (TOTP): verificación en dos pasos disponible para todos los usuarios, con códigos de recuperación.
Permisos granulares por rol (picker, packer, cajero, admin…) para que cada miembro de tu equipo vea solo lo que necesita.
Política de contraseñas: mínimo 10 caracteres, sin permitir contraseñas comprometidas conocidas.
Sesiones con caducidad automática por inactividad y revocación remota.
Tokens de API REST con scopes (read/write) revocables en cualquier momento.
Webhooks firmados con HMAC-SHA256 para que verifiques que las llamadas son auténticas.

3. Infraestructura

Alojamiento en proveedor con datacenters en la Unión Europea.
Firewall a nivel de aplicación y de red.
Imunify360 para protección activa contra malware y ataques.
Monitorización 24/7 de servicios críticos (web, base de datos, colas de jobs).
Aislamiento de datos por cliente: cada cuenta opera sobre su propio espacio lógico con controles de acceso a nivel de aplicación.

4. Backups y recuperación

Backups automáticos cada 6 horas, cifrados y con retención de 7 días.
Tu BD se respalda fuera del servidor de producción.
Pruebas periódicas de restauración para garantizar que los backups son utilizables.
Procedimiento documentado de recuperación ante incidentes (RTO objetivo < 4h, RPO < 6h).

5. Veri*Factu y cumplimiento fiscal

El módulo de TPV cumple con el Real Decreto 1007/2023 (Veri*Factu): envío en tiempo real de tickets/facturas a la AEAT o firma criptográfica encadenada + QR. Operamos con entorno de pruebas y producción separados, y soportamos certificado propio del cliente o delegación en Kumbai como representante.

6. Protección de datos personales

Cumplimos con el RGPD y la LOPDGDD. Detalle del tratamiento en la política de privacidad. Firmamos contratos de encargo de tratamiento (DPA) con clientes que lo soliciten, y mantenemos un registro de actividades de tratamiento.

7. Auditoría y trazabilidad

Registro de auditoría de los movimientos de stock (qué, quién, cuándo, motivo, stock antes/después).
Histórico completo de tickets POS, devoluciones, arqueos y movimientos de caja.
Logs de accesos al panel y al API conservados durante 12 meses.
Webhooks de eventos críticos disponibles para que los reflejes en tu propio sistema.

8. Respuesta ante incidentes

Si detectamos un incidente de seguridad que afecte a tus datos, te lo notificaremos en un plazo máximo de 72 horas con la información disponible: alcance, datos afectados, medidas tomadas y recomendaciones. También lo comunicaremos a la AEPD cuando corresponda según el RGPD.

9. Reporta vulnerabilidades

Si has detectado una vulnerabilidad en Kumbai, escríbenos a security@kumbai.com con el máximo detalle posible. Investigamos cada reporte y te confirmamos su recepción en menos de 48h.

Si tu organización necesita un cuestionario de seguridad o DPA personalizado, contáctanos en security@kumbai.com.