TECNOLOGÍA Y SEGURIDAD

Cómo protegemos
tus datos fiscales.

FactuGuard implementa Verifactu (RD 1007/2023) con firma digital PKCS12, hash encadenado SHA-256 y comunicación SOAP con la AEAT. Toda la plataforma corre sobre TLS 1.3.

Java 21 LTS Spring Boot 3.3 TLS 1.3 SHA-256 Chaining PKCS12 JWT Passwordless RGPD

Cumplimiento normativo

RD 1007/2023 Veri*Factu — ya en vigor para todos (enero 2026)
Formato XSIG firmado con certificado de la AEAT
Hash SHA-256 encadenado entre registros consecutivos
Registro de anulación por sustitución o anulación directa
RGPD — sin trazabilidad de personas físicas en logs
Marco regulatorio

Verifactu ya es obligatorio para toda empresa que factura.

La Ley Antifraude (Ley 11/2021) y el Reglamento de Facturación (RD 1007/2023) establecen la obligación de usar sistemas certificados de registro inmutable de facturas. No hay excepciones por tamaño ni sector.

Consecuencias del incumplimiento

  • Multa de hasta 50.000 € por infracción grave
  • Imposibilidad de deducir el IVA de facturas no reportadas
  • Inhabilitación de software no certificado
  • Responsabilidad solidaria del asesor o gestor

Cronograma de obligación — RD 1007/2023

Jul 2025
Grandes empresas (> 6M€/año) Ya obligadas. La AEAT ha iniciado comprobaciones y requerimientos activos en este segmento.
Ene 2026
Pymes y autónomos con actividad de facturación El grueso del mercado — 3,5 millones de empresas y autónomos — ya está bajo obligación. Sin excepciones por sector o volumen.
May 2026
Hoy — sin margen de espera FactuGuard implementa el RD 1007/2023 al completo: hash encadenado SHA-256, firma PKCS12, envío SOAP a la AEAT y evidencias almacenadas.
Actualización normativa automática Cuando la AEAT cambia un endpoint, el formato XML o las reglas de validación, FactuGuard se actualiza sin que tengas que hacer nada en tu integración.
Stack tecnológico

Plataforma construida para escalar con garantías.

Java 21 LTS · Spring Boot 3.3

Runtime de larga duración con soporte hasta 2031. Spring Boot 3.3 sobre Jakarta EE 10 con soporte nativo de virtual threads para alta concurrencia en llamadas AEAT.

🗄 PostgreSQL · Flyway

Base de datos relacional con transacciones ACID. Flyway gestiona las migraciones de esquema de forma auditada. Sin dependencias de H2 en producción.

🔑 JWT · Nimbus JOSE

Autenticación stateless con JWT firmados (RS256). Nimbus JOSE es la librería de referencia para criptografía JWK en Java. Sin sesiones en servidor.

🌐 TLS 1.3 · HTTPS

Toda la comunicación entre el portal, el backend y la AEAT usa TLS 1.3. Las claves efímeras (ECDHE) garantizan Perfect Forward Secrecy.

📦 Arquitectura de dos servicios

Portal (Thymeleaf, captación) y Backend fiscal (API REST, Verifactu) son servicios independientes. Frontera de confianza clara: el portal solo accede al backend por API autenticada.

🔄 API REST · SOAP AEAT

El backend expone una API REST para integradores y traduce a SOAP para la AEAT. La capa SOAP está aislada del modelo de dominio para facilitar cambios en el protocolo.

Cumplimiento Verifactu

Cómo procesamos cada registro de facturación.

El RD 1007/2023 exige que cada factura emitida genere un registro firmado digitalmente y encadenado criptográficamente con el anterior. FactuGuard implementa este proceso de forma completamente automática.

Modos de operación

Modo producción: Envío real a la AEAT con certificado PKCS12 válido. Respuesta con QR y código seguro.

Modo sandbox: Entorno de homologación AEAT para pruebas sin coste. Los registros no tienen efecto fiscal.

1
Recepción de datos de factura El integrador envía los datos de factura al backend via API REST. Validación de esquema y reglas fiscales (NIF, tipo de factura, importe, IVA).
2
Generación del registro Verifactu Se construye el mensaje XSIG con todos los campos obligatorios del RD 1007/2023. Se calcula el SHA-256 del registro anterior y se encadena en el campo HashFacturaAnterior.
3
Firma digital con PKCS12 El mensaje se firma con el certificado digital del emisor (PKCS12). La firma garantiza autenticidad e integridad ante la AEAT.
4
Envío SOAP a la AEAT El registro firmado se transmite al endpoint SOAP de la AEAT mediante TLS 1.3. La AEAT devuelve confirmación, código CSV y URL del QR de verificación.
5
Persistencia y respuesta El estado, el hash y la respuesta de la AEAT se persisten en PostgreSQL. El integrador recibe la confirmación con el CSV y el QR para imprimir en la factura.
Seguridad de acceso

Sin contraseñas. Sesiones seguras por diseño.

Login passwordless por OTP El cliente solicita un código de un solo uso (OTP) de 6 caracteres. No se almacenan contraseñas en ningún momento.
JWT de corta duración Las sesiones se gestionan con JWT firmados con RS256. El token tiene tiempo de expiración corto y se renueva con idle token.
API Keys para integradores Los integradores autentican con API keys de 32 caracteres de entropía alta generadas en el backend. Cada tenant tiene sus propias claves.
Aislamiento multi-tenant Cada tenant tiene su propio espacio lógico en la base de datos. Las consultas siempre llevan el filtro de tenant para evitar filtraciones entre clientes.
Spring Security + roles El backend implementa Spring Security con roles ADMIN, CUSTOMER y API_USER. Cada endpoint valida el rol antes de ejecutar la operación.
Privacidad y RGPD

Datos fiscales tratados con el mínimo alcance necesario.

Datos mínimos Solo procesamos los datos estrictamente necesarios para generar el registro Verifactu exigido por la AEAT (NIF emisor/receptor, importe, fecha, tipo).
Sin trazabilidad personal en logs Los logs de aplicación no incluyen datos personales identificables. Los NIFs se tratan como identificadores fiscales, no como datos personales cuando corresponden a empresas.
Retención definida Los registros de facturación se conservan el tiempo mínimo exigido por la normativa fiscal española (4 años). Los logs operativos se rotan regularmente.
Encriptación en reposo La base de datos PostgreSQL usa cifrado en reposo. Los certificados PKCS12 se almacenan en el almacén de claves del servidor, no en el repositorio de código.
Responsable del tratamiento Bianctech actúa como encargado del tratamiento en relación con los datos fiscales de los clientes finales del integrador. El integrador mantiene la condición de responsable.

¿TIENES PREGUNTAS TÉCNICAS?

Hablamos de arquitectura, seguridad e integración.

Si estás evaluando FactuGuard para tu software, podemos organizar una revisión técnica de la integración, del modelo de seguridad o del cumplimiento normativo con tu equipo.

Consulta técnica → Ver planes