Seguridad de Datos
Última actualización: 03 de julio de 2026
En FiscalinkCR tratamos información fiscal y personal sensible: certificados de firma digital, credenciales de Hacienda y datos de tus clientes. Esta página describe, en términos generales, las medidas técnicas y organizativas que aplicamos para protegerla. Por razones de seguridad, no publicamos el detalle exacto de nuestra arquitectura interna.
1. Cifrado en tránsito
Todo el tráfico hacia y desde la Plataforma se transmite cifrado mediante TLS 1.2 o superior. No exponemos endpoints de la Plataforma sobre HTTP sin cifrar. La comunicación con la API de recepción del Ministerio de Hacienda también se realiza sobre canales cifrados conforme a los estándares que Hacienda exige.
2. Cifrado en reposo
- Certificados de firma digital (.p12) y PIN: se almacenan cifrados en reposo utilizando una clave derivada de forma independiente por cada contribuyente (tenant), de modo que el compromiso de las credenciales de un contribuyente no expone las de otros.
- Secretos de integraciones y webhooks (por ejemplo, credenciales de pasarelas de pago o tokens de webhooks entrantes): se almacenan cifrados, no en texto plano.
- Contraseñas de usuario: se almacenan mediante funciones de hash de una sola vía (nunca en texto plano ni reversible).
- Respaldos: los respaldos de base de datos y archivos se generan cifrados y se conservan en infraestructura con acceso restringido.
3. Aislamiento entre contribuyentes (multi-tenant)
La Plataforma utiliza una arquitectura de esquema separado por contribuyente ("schema-per-tenant") a nivel de base de datos. Esto significa que los datos de cada contribuyente (facturas, clientes, certificados, configuración) residen en un espacio lógicamente separado del de los demás contribuyentes, reduciendo el riesgo de fuga de información cruzada entre cuentas.
4. Control de acceso
- Autenticación de dos factores (2FA): disponible para proteger el acceso a las cuentas de administración de la Plataforma.
- Roles y permisos: podés asignar roles distintos a tus usuarios internos (por ejemplo, facturación, solo lectura, administración), limitando el acceso a funciones sensibles.
- Registro de actividad: mantenemos bitácoras de acciones relevantes dentro de la Plataforma con fines de auditoría y respuesta a incidentes.
5. Limitación de tasa y protección perimetral
Aplicamos límites de tasa (rate limiting) en endpoints sensibles (inicio de sesión, restablecimiento de contraseña, webhooks entrantes, portal de clientes) para mitigar ataques de fuerza bruta y abuso automatizado. Utilizamos una política de seguridad de contenido (CSP) restrictiva en las páginas públicas para reducir el riesgo de inyección de scripts de terceros.
6. Respaldos y continuidad
Realizamos respaldos periódicos de la base de datos y archivos críticos, almacenados de forma cifrada y, cuando corresponde, replicados fuera del entorno principal. Estos respaldos nos permiten restaurar el Servicio ante incidentes de infraestructura, manteniendo la integridad de los comprobantes fiscales emitidos.
7. Gestión de incidentes y brechas de seguridad
Contamos con un proceso interno para la detección, contención y remediación de incidentes de seguridad. En caso de una brecha que afecte datos personales bajo nuestra responsabilidad o custodia:
- Investigaremos el incidente y adoptaremos medidas de contención inmediatas.
- Notificaremos a los contribuyentes afectados sin dilación indebida, con información sobre la naturaleza del incidente, los datos potencialmente comprometidos y las medidas de mitigación adoptadas.
- Cuando corresponda conforme a la Ley 8968 y su reglamento, informaremos a la PRODHAB.
8. Cumplimiento fiscal y retención
Los comprobantes electrónicos, su representación XML firmada y las respuestas de Hacienda se conservan durante el plazo legal de retención fiscal aplicable en Costa Rica (actualmente cinco años). Este período de retención puede prevalecer sobre solicitudes de eliminación de datos cuando exista obligación legal de conservación, conforme se describe en nuestra Política de Privacidad.
9. Responsabilidad compartida
La seguridad es una responsabilidad compartida. Vos sos responsable de: mantener seguras tus credenciales de acceso, habilitar 2FA cuando esté disponible, custodiar el PIN de tu certificado de firma digital, y notificarnos de inmediato ante sospecha de acceso no autorizado a tu cuenta.
10. Documentos relacionados
Esta página complementa nuestra Política de Privacidad y nuestros Términos y Condiciones.
11. Contacto
Para reportar una vulnerabilidad o consultar sobre nuestras prácticas de seguridad, escribinos a [email protected].