Seguretat i protecció de dades
Última actualització: juliol 2026 · v1.1
A e-Studio365 ens confies l’actiu més sensible del teu negoci: les dades dels teus clients i les teves. Som un producte europeu (Metricum) i les teves dades es regeixen íntegrament pel dret de la UE. Aquesta pàgina explica, sense lletra petita, com les protegim.
Les teves dades, aïllades
Cada estudi viu en un compartiment separat. Cap altre estudi de la plataforma pot veure ni tocar les teves dades. Ho garantim a la base de dades mateix, no només a l’aplicació.
Servidors segurs, a la Unió Europea
Les teves dades viuen en servidors de nivell empresarial dins la UE (Frankfurt) i no surten mai de la Unió. Van xifrades en repòs, amb còpies de seguretat automàtiques i redundància gestionades per la infraestructura (Supabase, Vercel).
Accés protegit
Inici de sessió amb protecció anti-robots, opció d’entrada amb Google i verificació en dos passos (2FA) amb codis de recuperació. Les accions més sensibles demanen tornar a confirmar la identitat.
Connexió sempre xifrada
Tota la comunicació amb la plataforma va xifrada (HTTPS obligatori) i apliquem capçaleres de seguretat modernes per protegir el navegador dels teus usuaris.
Compliment del RGPD, de veritat
Pots exportar totes les dades d’un client o exercir el seu dret a l’oblit en un sol pas. Les dades de salut tenen protecció reforçada: accés només per a tu i consentiment registrat.
Registre inviolable
Cada acció important queda en un historial encadenat que ningú pot alterar ni esborrar —ni tan sols nosaltres—. Si algú intentés manipular-lo, el sistema ho detecta.
Facturació preparada per a Verifactu
La facturació ja té numeració correlativa i els tipus legals (completa, simplificada, rectificativa), amb l’arquitectura preparada per a Verifactu —la normativa antiffrau de l’AEAT—, llesta per activar la remissió electrònica quan calgui.
Sense rastreig ni venda de dades
No fem servir Google Analytics ni cap rastreig publicitari, no fem perfilat del teu ús i no venem mai les teves dades a tercers. Les teves dades són teves.
Enginyeria acurada
Validem estrictament tot el que entra al sistema i, en monitoritzar errors, esborrem automàticament qualsevol dada de salut abans de registrar-la.
Per a perfils tècnics
Si tu o el teu assessor voleu el detall concret, aquests són els mecanismes:
- Aïllament multi-tenant
- Row Level Security (RLS) actiu a totes les taules de negoci, amb el tenant derivat del token de sessió; a més, guardes d’integritat entre taules que impedeixen referències creuades entre estudis.
- Autenticació
- Supabase Auth amb tokens validats contra servidor a cada petició, OAuth de Google, CAPTCHA de Cloudflare Turnstile i 2FA TOTP amb codis de recuperació protegits i re-verificació (step-up) per a accions destructives.
- Xifratge i capçaleres
- TLS/HTTPS forçat amb HSTS; xifratge en repòs a la capa de base de dades del proveïdor. CSP restrictiva, X-Frame-Options: DENY, X-Content-Type-Options: nosniff i Permissions-Policy.
- Infraestructura i continuïtat
- Proveïdors de nivell empresarial a la UE (Supabase, Vercel), dades residents a Frankfurt, còpies de seguretat automàtiques i monitoratge continu de la plataforma amb depuració de dades sensibles.
- RGPD
- Exportació estructurada per client (Art. 15/20), dret a l’oblit atòmic que conserva només obligacions fiscals (Art. 17), dades de categoria especial (Art. 9) amb accés owner-only, consentiment registrat i traça d’accés, i purga de retenció automàtica.
- Auditoria
- Historial encadenat amb hash SHA-256 i verificació d’integritat; les entrades només es poden llegir i inserir, mai modificar ni esborrar.
- Facturació
- Numeració correlativa de factures i tipus legals (completa/simplificada/rectificativa); model de dades preparat per a la remissió Verifactu a l’AEAT, activable quan entri en vigor l’obligació.
Tens dubtes de seguretat?
Estem oberts a respondre qualsevol pregunta tècnica i a compartir el nostre contracte d’encarregat del tractament (DPA).
Escriu-nos a hola@metricum.cat. Consulta també la nostra Política de Privacitat i el DPA.