Seguridad y cumplimiento

Ficha hoy, duerme tranquilo

Los registros quedan inmutables desde el minuto uno. Cumple con el RDL 8/2019 y el RGPD sin que tengas que pensar en ello.

RDL 8/2019
Art. 34.9 cumplido
RGPD
Datos cifrados
Hosting EU
Supabase eu-west-3
4+ años
Registro inmutable

RDL 8/2019 Art. 34.9

Registro diario de la jornada obligatorio en España desde mayo de 2019. OkTime guarda cada fichaje como registro inmutable (no modificable a mano) con trazabilidad de cualquier corrección aprobada. Exportación CSV y PDF firmado listos para presentar ante la Inspección de Trabajo.

RGPD · Protección de datos

Base legal: obligación legal (art. 6.1.c RGPD) para el registro de jornada. Datos cifrados en tránsito (TLS 1.3) y en reposo (AES-256). Roles y permisos granulares. Derechos de acceso, rectificación y supresión gestionables desde el panel. DPO disponible.

Hosting en la Unión Europea

Toda la infraestructura corre en servidores de Supabase ubicados en eu-west-3 (París, Francia). Ninguna transferencia a terceros países. Backups automáticos diarios con retención 30 días. DR en región secundaria UE.

Retención conforme a la ley

Los fichajes se conservan un mínimo de 4 años desde su creación, tal y como exige la Inspección de Trabajo. Pasado ese plazo, puedes decidir eliminarlos o seguir conservándolos. Exportaciones sin límite de fecha.

Multi-tenant estricto

Cada empresa es un tenant aislado. Los datos se filtran por companyId en cada consulta a la API. Es imposible que un usuario de la empresa A acceda a datos de la empresa B, ni siquiera mediante manipulación del token. Row-level security activo en la base de datos.

Auditoría completa

Cada acción crítica (fichaje, corrección, aprobación, edición de plantilla, invitación, cambio de rol) queda registrada en `audit_logs` con quién, cuándo, desde dónde y qué cambió. El historial es inmutable y consultable.

Autenticación robusta

Supabase Auth con JWT firmados + refresh tokens. Passwords hasheados con bcrypt. Sesiones revocables por dispositivo. Recuperación de contraseña por email con tokens de uso único.

Exportaciones firmadas

El PDF firmado del historial de fichajes (disponible en plan Business) incluye fingerprint criptográfico y metadatos verificables — válido como prueba documental ante la Inspección o en procesos judiciales.

¿Necesitas un DPA o un cuestionario de seguridad?

Firmamos acuerdos de tratamiento de datos, respondemos a cuestionarios de proveedor y aportamos la documentación técnica que tu departamento legal necesite.

Contactar con el equipo