Este documento describe cómo Comply protege los datos de los comerciantes y usuarios finales, la base cloud sobre la que funciona el servicio, y nuestro estado de certificación actual. Está pensado para respaldar las revisiones de seguridad y gobernanza realizadas por los comerciantes y sus socios. Nuestro objetivo es ser transparentes tanto sobre lo que tenemos implementado como sobre lo que aún no está en marcha.
Estado de las certificaciones
Comply no dispone actualmente de una certificación SOC 2 ni ISO/IEC 27001 a nivel de aplicación. Preferimos indicarlo con claridad en lugar de dar a entender lo contrario.
No obstante, Comply está construido íntegramente sobre Microsoft Azure y hereda los controles y certificaciones independientes de dicha plataforma (véase la Sección 2). Sobre esa base certificada, operamos una arquitectura deliberadamente minimalista y aislada de la red (Sección 3), y aplicamos una gobernanza de acceso basada en el principio de mínimo privilegio (Sección 5).
Comply ha obtenido la certificación NF525 Categoría B en Francia mediante una auditoría de Infocert, con el número de certificación 525/0700-1, y cumple plenamente con los requisitos vigentes en España.
Base cloud certificada
La aplicación Comply se ejecuta exclusivamente sobre la infraestructura de Microsoft Azure. Bajo el modelo de responsabilidad compartida en la nube, la seguridad física de los centros de datos, el hardware subyacente y los servicios de plataforma que utilizamos son operados y auditados de forma independiente por Microsoft.
Microsoft Azure (alojamiento)
La plataforma Azure mantiene un amplio conjunto de certificaciones independientes, entre las que se incluyen SOC 1, SOC 2 y SOC 3, así como ISO/IEC 27001. Estas cubren las capas de infraestructura y plataforma sobre las que se sustenta Comply. Su equipo puede verificar el alcance actual y descargar los informes de auditoría directamente desde Microsoft:
Microsoft Trust Center: Microsoft Trust Center | Seguridad de datos, privacidad y cumplimiento
Service Trust Portal (informes de auditoría): Service Trust Portal
Comply es responsable de la seguridad de todo lo construido sobre esa base (código de aplicación, configuración, gestión de datos y accesos), tal y como se describe en las secciones siguientes.
Shopify (plataforma de comercio)
Comply funciona como una aplicación dentro de la tienda Shopify del comerciante. Las capas de comercio, pago y caja son proporcionadas y aseguradas por Shopify, que cuenta con las siguientes certificaciones independientes:
PCI DSS Nivel 1. Shopify posee la certificación PCI DSS Nivel 1, el nivel más alto definido por el PCI Security Standards Council para el manejo seguro de datos de tarjetas de pago.
SOC 2 Tipo II / SOC 3. Shopify ha publicado informes SOC 2 Tipo II y SOC 3 que cubren la seguridad y disponibilidad de su servicio.
Dado que los datos de tarjetas de pago se procesan dentro del entorno certificado PCI de Shopify, Comply no tiene acceso a dichos datos. Comply trabaja únicamente con los datos de pedidos y transacciones fiscales necesarios para el cumplimiento normativo, sin acceso a credenciales de pago en bruto.
Más información: Ver los informes de cumplimiento de Shopify
Alojamiento y arquitectura de red
Comply está diseñado para minimizar su superficie de ataque. El principio rector es que ningún componente esté expuesto a la internet pública, salvo un único punto de entrada controlado.
Punto de entrada único. Todo el tráfico entrante pasa por una única instancia de Azure Front Door, con un cortafuegos y reglas gestionadas. Ningún otro componente de la plataforma es accesible desde la internet pública.
Aislamiento de red. Los servicios de aplicación, las tareas en segundo plano y los almacenes de datos se ejecutan dentro de una red virtual privada de Azure. Los componentes internos se comunican a través de redes privadas y no tienen puntos de acceso públicos.
Cómputo. Las cargas de trabajo de la aplicación se ejecutan en Azure App Service y Azure Container Apps dentro de la red virtual aislada.
Almacén de datos. Los datos de la aplicación y las transacciones se almacenan en Azure.
La siguiente tabla resume el modelo de alojamiento:
Capa | Implementación |
Borde / entrada | Instancia única de Azure Front Door; único punto de entrada público. Protegido con cortafuegos y reglas gestionadas de Azure |
Red | Red virtual privada de Azure; sin puntos de acceso públicos en los servicios internos |
Cómputo | Azure App Service y Azure Container App Jobs |
Datos | Componentes de Azure DB y Storage |
Proveedor cloud | Microsoft Azure (certificado SOC 1/2/3, ISO/IEC 27001) |
Protección de datos
Los datos de clientes y usuarios finales están protegidos tanto en tránsito como en reposo:
Cifrado. El tráfico hacia y dentro de la plataforma está cifrado mediante TLS. Los datos en reposo se cifran con el cifrado gestionado por Azure en todos los servicios de almacenamiento y base de datos utilizados.
Gestión de claves y secretos. Las claves criptográficas y los secretos de la aplicación se almacenan en Azure Key Vault, con respaldo de módulo de seguridad de hardware (HSM) para las operaciones de firma sensibles.
Residencia de datos. Comply opera desde regiones de Azure en la UE, cumpliendo con los requisitos de residencia de datos aplicables a los comerciantes europeos y sus usuarios finales.
Archivo fiscal inmutable. Cuando la normativa fiscal lo exige, los registros transaccionales se conservan en almacenamiento inalterable de escritura única (WORM) para preservar su integridad durante el período de retención requerido.
Todos los datos proceden exclusivamente de Shopify o son requeridos dentro de la propia aplicación Comply, sin socios externos ni compartición de datos.
Control de acceso y gobernanza
Identidades gestionadas. Se utilizan Identidades Gestionadas de Azure en lugar de credenciales o secretos, para una autenticación segura basada en identidad que minimiza la gestión y exposición de credenciales sensibles.
Administración restringida. El acceso administrativo al entorno cloud está limitado exclusivamente al personal autorizado.
Mínimo privilegio. El acceso a los recursos de Azure se rige mediante el Control de Acceso Basado en Roles (RBAC) de Azure, aplicando el principio de mínimo privilegio.
Registro y monitorización. La actividad de la plataforma y de los recursos se registra mediante los servicios nativos de monitorización y diagnóstico de Azure, para garantizar la visibilidad operativa, la auditabilidad y la capacidad de investigación.
Contexto de cumplimiento fiscal
Comply es una plataforma de cumplimiento fiscal. Para los comerciantes regulados, la integridad y auditabilidad de los registros fiscales suele ser una preocupación más relevante que una certificación genérica de seguridad.
Comply implementa los requisitos técnicos de los regímenes que soporta, cubriendo la integridad de los registros (encadenamiento de hash), la inmutabilidad, la firma digital y el archivo a largo plazo. Estos mecanismos están diseñados para que los registros fiscales permanezcan completos, secuenciales e inalterables, lo que responde directamente a los objetivos de aseguramiento que subyacen a las revisiones de gobernanza de la seguridad de la información.