Política de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es el titular de certdoc.es, con dirección de contacto en noreply@certdoc.es.

2. Datos que recopilamos

2.1 Datos de registro

Cuando creas una cuenta recopilamos:

• Nombre o razón social — para identificarte en los documentos certificados
• Dirección de email — para autenticación y comunicaciones del servicio
• Contraseña — almacenada de forma irreversible con bcrypt (nunca en texto plano)
• Fecha de registro y último acceso
• Plan contratado (Free o Starter)

2.2 Datos de documentos

Cuando certifiques un documento guardamos exclusivamente:

• Hash SHA-256 del PDF sellado — huella digital única
• Hash MD5 — versión más corta para mostrar al verificar
• Código de verificación (CD-XXXX-XXXX)
• Fecha de registro
• Archivo cifrado con AES-256-CBC — ilegible sin el código

No guardamos: el contenido original del documento, el nombre del archivo, ni ningún metadato del PDF original.

2.3 Logs de verificación

Cuando alguien verifica un documento registramos: el código verificado, si fue válido o no, y la IP hasheada (SHA-256, no reversible). No almacenamos IPs en texto plano.

2.4 Intentos de login

Para prevenir accesos no autorizados registramos intentos fallidos de login durante 15 minutos. Después se eliminan automáticamente.

3. Finalidad y base legal

4. Conservación de datos

• Datos de cuenta — mientras la cuenta esté activa. Al eliminar la cuenta, se borran en el acto.
• Archivos cifrados — mientras la cuenta esté activa. Se eliminan al borrar la cuenta.
• Logs de verificación — 90 días, después se eliminan automáticamente.
• Logs de login fallido — 15 minutos.
• Logs de administración — 1 año por motivos de seguridad.

5. Tus derechos (RGPD)

Tienes derecho a:

• Acceso — obtener una copia de tus datos (disponible en Mi cuenta → Descargar mis datos)
• Rectificación — corregir datos incorrectos (contacta con nosotros)
• Supresión — eliminar tu cuenta y todos tus datos (disponible en Mi cuenta → Eliminar cuenta)
• Portabilidad — exportar tus datos en formato JSON (disponible en Mi cuenta)
• Oposición — oponerte al tratamiento basado en interés legítimo
• Reclamación — presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD)

Para ejercer tus derechos, escríbenos a noreply@certdoc.es. Responderemos en un plazo máximo de 30 días.

6. Seguridad

Implementamos las siguientes medidas de seguridad:

• Contraseñas cifradas con bcrypt (irreversible)
• Documentos cifrados con AES-256-CBC; la clave nunca se almacena
• Comunicaciones por HTTPS/TLS
• Protección CSRF en todos los formularios
• Rate limiting en autenticación
• IPs de verificación hasheadas (no reversibles)
• Acceso directo a /docs/ bloqueado por servidor

7. Transferencias internacionales

CertDoc no transfiere datos personales fuera del Espacio Económico Europeo. El servicio opera en servidores ubicados en España (Nominalia).

8. Cookies

CertDoc usa exclusivamente una cookie de sesión técnica (PHPSESSID), estrictamente necesaria para el funcionamiento del servicio. No usamos cookies de seguimiento, analítica ni publicidad. No es necesario un banner de cookies para esta cookie al ser técnica y necesaria.

9. Cambios en esta política

Si modificamos esta política te notificaremos por email con al menos 15 días de antelación. El uso continuado del servicio tras la notificación implica la aceptación de los cambios.

10. Contacto

Para cualquier consulta sobre privacidad: noreply@certdoc.es