Tus datos fiscales no son un experimento.
Servidores AWS en Irlanda. Tus datos no salen del Espacio Económico Europeo.
HTTPS/TLS en tránsito y AES-256 en reposo. Nadie lee lo que no le toca.
Copias automáticas con retención y recuperación point-in-time. Si algo falla, hay vuelta atrás.
Login sin contraseña con passkeys (Face ID, Touch ID, llaves físicas) o doble factor clásico. Tú eliges.
CloudWatch + Sentry vigilando errores, accesos anómalos y rendimiento en tiempo real.
Aislamiento de datos por usuario. Cada inversor solo ve lo suyo. Cumplimiento RGPD desde el día uno.
Cómo está construido todo esto, sin humo.
Lo que sigue es la versión larga. Para los que quieren saber qué hay debajo del capó antes de subir un contrato de alquiler.
AWS, región europea, sin atajos
Toda la infraestructura corre sobre Amazon Web Services en la región de Irlanda (eu-west-1). Esto no es un detalle técnico irrelevante: significa que tus datos están sujetos al RGPD y al marco europeo de protección de datos.
- Hosting: AWS ECS, Lambda y RDS en Irlanda (eu-west-1)
- CDN: CloudFront con certificados TLS gestionados por AWS Certificate Manager
- Compliance del proveedor: AWS está certificado en ISO 27001 y SOC 2. AWS dispone de declaración de conformidad con el Esquema Nacional de Seguridad (ENS) para servicios elegibles en regiones UE.
En tránsito y en reposo. Sin excepciones.
Cualquier dato que viaja entre tu navegador y nuestros servidores va cifrado con TLS. Cualquier dato que se queda guardado se almacena cifrado con AES-256.
- En tránsito: HTTPS obligatorio en toda la aplicación, redirecciones HTTP→HTTPS automáticas
- En reposo: RDS PostgreSQL cifrado con AES-256, buckets S3 con server-side encryption
- Gestión de claves: claves gestionadas por AWS con rotación operada por la plataforma
- Documentos: PDFs, contratos y facturas cifrados igual que el resto de datos
Login moderno: passkeys, 2FA y cero contraseñas guardadas en claro
La forma más común de comprometer una cuenta sigue siendo robar la contraseña. Por eso ofrecemos passkeys (el estándar que está sustituyendo a las contraseñas) además del 2FA tradicional. Y las contraseñas, cuando se usan, nunca se almacenan en texto plano: van pasadas por Argon2id, uno de los algoritmos de hashing más resistentes a fuerza bruta y ataques con GPU.
¿Qué son las passkeys y por qué importan?
Las passkeys son el estándar WebAuthn/FIDO2 impulsado por Apple, Google y Microsoft. En lugar de una contraseña que puedes filtrar o que te pueden phishear, usas tu Face ID, Touch ID, el desbloqueo de tu móvil o una llave de seguridad física (YubiKey). La clave privada nunca sale de tu dispositivo. Ni Rentexa la tiene. Es prácticamente imposible de phishear.
Para datos fiscales, esto es importante. Una contraseña robada significa cuenta comprometida. Una passkey requiere acceso físico a tu dispositivo.
- Passkeys (WebAuthn/FIDO2): login sin contraseña con biometría o llave física, resistente a phishing por diseño
- 2FA por TOTP: alternativa clásica con apps tipo Authy, Google Authenticator o 1Password, con códigos de respaldo de un solo uso
- Hashing de contraseñas: Argon2id con salt único por usuario
- Sesiones: tokens JWT firmados con expiración automática
El error de seguridad que vemos todos los meses en otras apps
Cada vez se publican más aplicaciones construidas en pocas semanas con asistentes de IA. Funcionan casi todas igual: la base de datos en la nube se expone directamente al navegador, y las reglas de quién puede leer qué se configuran como filtros en el cliente. Si quien programa olvida una regla — y se olvida alguna casi siempre — cualquier usuario puede leer los datos de los demás con la consola de Chrome abierta.
No es teoría. Aparece en producción todos los meses en SaaS reales: nombres, direcciones, ingresos, documentos privados. Datos por los que la gente pagó accesibles a cualquiera con curiosidad técnica básica.
En Rentexa toda consulta pasa por la API en backend, con el
userId extraído de un JWT firmado en servidor. El frontend no decide qué
datos puede ver, solo los pinta. Aunque alguien manipule el JavaScript del cliente, la
API rechaza la petición. No es una capa extra de seguridad: así está construido el
sistema desde el primer día.
Si algo se rompe, hay vuelta atrás
Tener cifrado no sirve de nada si pierdes los datos. Por eso hacemos copias automáticas diarias y mantenemos retención suficiente para recuperar información de momentos concretos.
- Backups automáticos: snapshots diarios de la base de datos con 7 días de retención en producción
- Point-in-time recovery: capacidad de restaurar la base de datos a cualquier momento dentro de la ventana de retención
- Almacenamiento de documentos: S3 con versionado activado para evitar pérdidas por sobrescritura accidental
Vigilancia activa, no pasiva
Tener logs no es suficiente si nadie los mira. Tenemos sistemas que avisan automáticamente cuando algo se sale de lo normal.
- AWS CloudWatch: métricas de infraestructura y logs centralizados
- Sentry: captura de errores en frontend y backend, alertas en tiempo real
- Logs de acceso: auditoría de operaciones críticas
- Alertas: notificaciones inmediatas ante eventos anómalos
RGPD, no como casilla, como obligación
Rentexa es una empresa española sujeta al RGPD y a la LOPDGDD. Esto no es opcional ni decorativo. Cumplimos las obligaciones que la ley impone a quien gestiona datos personales.
- RGPD: datos personales tratados con base legal explícita
- Derechos ARCO+: acceso, rectificación, cancelación, oposición, portabilidad y supresión disponibles bajo solicitud
- Política de privacidad pública: detalla qué datos recopilamos, para qué y por cuánto tiempo
- Subprocesadores: lista de proveedores tecnológicos que tratan datos (AWS, Stripe, LemonSqueezy, etc.) disponible bajo solicitud a seguridad@rentexa.ai
En Rentexa no estamos jugando con datos cualquiera. Estamos gestionando la información que un inversor necesita para responder ante Hacienda durante 4 años. La seguridad no es una feature, es un requisito de existir. — Rubén J. García, cofundador de Rentexa
Lo que la ley exige, lo cumplimos. Lo que no exige pero ayuda, también.
Reglamento General de Protección de Datos. Cumplimiento desde diseño y por defecto.
Ley Orgánica de Protección de Datos. Marco español aplicable.
Nuestra infraestructura está alojada en proveedor certificado.
Auditorías independientes de los controles de seguridad del proveedor.
Si encuentras un fallo, dínoslo. Te escuchamos.
Ningún sistema es infalible. Si descubres una vulnerabilidad en Rentexa, te pedimos que nos la reportes de forma responsable antes de hacerla pública. No tomamos represalias contra investigadores que actúen de buena fe.
- Responder en menos de 72 horas
- Mantener la comunicación durante el proceso
- Reconocer públicamente tu descubrimiento, si quieres
- Solucionar el fallo en un plazo razonable
- No accedas a datos de otros usuarios
- No degrades el servicio
- Danos un plazo razonable (90 días) antes de divulgación pública
Reporta una vulnerabilidad
Escríbenos a seguridad@rentexa.ai con los detalles técnicos. Si puedes, incluye pasos para reproducir el fallo y el impacto que estimas.
seguridad@rentexa.ai¿Más preguntas sobre seguridad o cumplimiento?
Si eres un inversor que quiere entender mejor cómo protegemos tus datos, o un asesor fiscal evaluando si recomendar Rentexa a tus clientes, escríbenos. Resolvemos dudas sin formularios largos.
Hablemos directamente
Sin formularios, sin filtros. Pregúntanos lo que necesites saber antes de subir tus datos.
Hablar con el equipo
Ruben J Garcia
Inversor inmobiliario con 11 propiedades y más de 25 años de experiencia desarrollando productos de software. Responsable de la arquitectura técnica y de seguridad de Rentexa.
José Antonio Bernáldez
Abogado fiscalista con 35 años de experiencia y despacho propio en Barcelona y Madrid. Revisa la conformidad legal y el encaje normativo de la plataforma.