Saltar al contenido
Neuroon AuditNeuroon Audit
Seguridad y cumplimiento

Datos en la UE, cifrado fuerte y audit log inmutable.

Diseñamos Neuroon Audit como si la inspección ICAC pudiera llegar mañana. Trazabilidad, cifrado y conservación 5 años por defecto — sin que tu firma tenga que configurar nada.

UE
Residencia de datos · 100 %
AES-256
Cifrado en reposo
TLS 1.3
Cifrado en tránsito
5años
Retención · art. 30 LAC
Cómo protegemos tus datos

Seis pilares operativos, no marketing

Esto es lo que está implementado a día de hoy. Si algo todavía no lo está, lo encuentras más abajo en la sección de cumplimiento.

01

Datos en la Unión Europea

Cómputo, almacenamiento y backups en infraestructura europea. Sin transferencias internacionales fuera del EEE. Sin cláusulas contractuales tipo para mover datos a EE. UU.

02

Cifrado en tránsito y en reposo

TLS 1.3 para toda la conexión cliente↔servidor. AES-256 para el cifrado en reposo de la base de datos y los archivos del encargo. Claves gestionadas por el proveedor cloud, rotación automática.

03

Audit log inmutable

Cada acción dentro del encargo — abrir, editar, aprobar, exportar — queda registrada con autor, IP y sello de tiempo. El log es append-only: no se puede modificar a posteriori, ni siquiera por un administrador.

04

Conservación 5 años

Retención del archivo del ejercicio durante 5 años desde la emisión del informe, conforme al art. 30 LAC. Custodia técnica garantizada para inspección ICAC sin depender de un disco duro local.

05

Secreto profesional del auditor

Acceso a los datos del encargo restringido al equipo asignado de la firma. Nuestro personal técnico no accede a contenido de encargos en producción salvo solicitud explícita del cliente para soporte (registrado en el log).

06

Backups y recuperación

Backups automáticos diarios con retención de 30 días. Snapshot point-in-time del último día. RPO objetivo: 24 horas. RTO objetivo: 4 horas hábiles.

Cumplimiento

Qué cumplimos hoy y qué está en roadmap

Preferimos decir explícitamente qué no tenemos antes de que lo descubras en la due diligence.

  • RGPD
    Cumplimiento

    Base legal art. 6.1.b RGPD (ejecución contractual) y art. 6.1.f (interés legítimo en seguridad). Responsable y encargado claramente delimitados. DPA disponible.

  • LOPDGDD
    Cumplimiento

    Conforme con la Ley Orgánica 3/2018 de Protección de Datos y garantía de derechos digitales (España).

  • Art. 30 LAC
    Cumplimiento

    Conservación del archivo del encargo durante 5 años desde la emisión del informe, conforme a la Ley 22/2015 de Auditoría de Cuentas.

  • Secreto profesional
    Cumplimiento

    Acceso restringido conforme al art. 25 LAC. Nuestro personal no consulta contenido de encargos en producción sin solicitud explícita del cliente.

  • ISO 27001
    En roadmap

    No certificados actualmente. Trabajamos hacia la certificación; estimación de auditoría externa: 2027. Los controles técnicos ya están implementados conforme al anexo A.

  • SOC 2
    No aplica

    Estándar norteamericano, no requerido por nuestros clientes españoles. Si una firma lo requiriera para un encargo internacional, lo evaluamos caso por caso.

Preguntas frecuentes

Lo que las firmas preguntan en due diligence

¿Dónde están alojados los datos de mi firma?

En infraestructura cloud dentro de la Unión Europea. Cómputo, base de datos, almacenamiento de archivos y backups operan exclusivamente en regiones del EEE. No hay transferencias internacionales fuera de la UE.

¿Quién puede acceder al contenido de mis encargos?

Únicamente las personas del equipo de tu firma a las que tu administrador haya dado acceso al encargo. Nuestro personal técnico no consulta el contenido de encargos en producción salvo que el cliente lo solicite explícitamente para resolver una incidencia, y esa consulta queda registrada en el audit log.

¿Cumple Neuroon Audit con el RGPD?

Sí. Actuamos como encargado del tratamiento sobre los datos personales que la firma cargue en la plataforma. La base legal es art. 6.1.b RGPD (ejecución contractual). Firmamos contrato de encargo del tratamiento (DPA) con cada cliente. Los derechos de acceso, rectificación, supresión y portabilidad están implementados.

¿Está la plataforma certificada ISO 27001 o SOC 2?

Actualmente no contamos con certificaciones externas ISO 27001 ni SOC 2 — preferimos decirlo claramente. Los controles técnicos están implementados conforme al anexo A de ISO 27001 (cifrado, control de acceso, audit log, gestión de cambios). La certificación externa está en roadmap para 2027.

¿Cuánto tiempo se conservan los datos del encargo?

Durante 5 años desde la emisión del informe de auditoría, conforme al art. 30 de la Ley 22/2015 de Auditoría de Cuentas. Pasado ese plazo, los datos se eliminan o anonimizan salvo que la firma solicite otra cosa por escrito.

¿Qué pasa si Neuroon Audit cierra o cambia de manos?

Cada cliente puede exportar todos los datos del encargo en formato abierto (XLSX, JSON, PDF) en cualquier momento. En caso de cese de la actividad, garantizamos 90 días adicionales de acceso para descarga completa. El contrato incluye cláusula de portabilidad y devolución de datos.

¿Realizáis pen-tests externos?

A medida que ampliamos la base de firmas adoptantes, prevemos contratar auditorías de seguridad externas anuales (pen-test caja gris). Por transparencia: a fecha de hoy, las revisiones de seguridad son internas. Las firmas que requieran reporte de pen-test antes de contratar pueden incluirlo en la propuesta.

Contacto de seguridad

¿Reportas una vulnerabilidad?

Si encuentras un problema de seguridad, escríbenos directamente. No usamos formulario público para este canal.

info@neuroon.ai

Tiempo objetivo de primera respuesta: aproximadamente veinticuatro horas hábiles.

Siguiente paso

¿Necesitas el DPA y la documentación técnica para due diligence?

La enviamos antes de la demo si lo pides. Incluye contrato de encargo del tratamiento, descripción de medidas técnicas y plan de continuidad.

Solicitar documentaciónContactar