Ir al contenido
Lexiik
rollback

Seguridad API: Protección de datos y conformidad RGPD

Última actualización : 9 février 2026

La seguridad de sus datos es nuestra máxima prioridad. Descubra cómo Lexiik protege su información sensible con los más altos estándares de seguridad de la industria, garantizando al mismo tiempo una conformidad total con el RGPD.

Certificación ISO 27001

Lexiik está certificado ISO 27001 (seguridad de la información) y es auditado anualmente por un organismo independiente. Sus datos están protegidos según las normas internacionales más estrictas.

Arquitectura de seguridad de Lexiik

La seguridad de Lexiik se basa en un enfoque de Defense in Depth (defensa en profundidad) con varias capas de protección independientes. Incluso si una capa se ve comprometida, las demás garantizan la protección de sus datos.

Cifrado en tránsito (TLS 1.3)

Todas las comunicaciones entre su tienda y los servidores de Lexiik están cifradas con TLS 1.3, el protocolo de seguridad más reciente y robusto:

  • Perfect Forward Secrecy (PFS): Incluso si una clave se ve comprometida, las comunicaciones pasadas permanecen seguras
  • Certificados SSL wildcard: *.lexiik.com y cdn.lexiik.com con renovación automática
  • HSTS activado: Obliga al navegador a utilizar siempre HTTPS (sin posibilidad de degradar a HTTP)
  • TLS 1.0/1.1 desactivados: Protocolos obsoletos bloqueados, solo se aceptan TLS 1.2 y 1.3

Bueno saberlo

Puntuación A+ en SSL Labs (prueba de referencia de seguridad SSL). Puede verificar nuestra configuración en cualquier momento en ssllabs.com.

Cifrado en reposo (AES-256)

Todos los datos almacenados en los servidores de Lexiik están cifrados con el algoritmo AES-256 (Advanced Encryption Standard, clave de 256 bits), considerado irrompible incluso por la propia NSA:

  • Base de datos: Cifrado completo de PostgreSQL con Transparent Data Encryption (TDE)
  • Snapshots: Cada snapshot se cifra individualmente con una clave única derivada
  • Imágenes: Las imágenes originales (antes de la optimización CDN) están cifradas en el almacenamiento S3
  • Logs: Registros de auditoría cifrados y firmados criptográficamente (imposibles de falsificar)

Las claves de cifrado están a su vez cifradas con una Master Key almacenada en un HSM (Hardware Security Module) físicamente seguro en nuestros centros de datos europeos.

Aislamiento de tenants (Multi-tenancy seguro)

Lexiik es una plataforma multi-tenant, lo que significa que varios clientes comparten la misma infraestructura. Para garantizar el aislamiento total entre cuentas:

  • Row-Level Security (RLS): Cada consulta SQL filtra automáticamente los datos por account_id
  • Namespaces aislados: Las claves API, webhooks y trabajos asíncronos están aislados por tenant
  • Rate limiting por cuenta: Un cliente malintencionado no puede afectar el rendimiento de los demás
  • Cuotas por recurso: CPU, RAM, almacenamiento y ancho de banda limitados por plan (política de uso justo)

Plan Enterprise: Dedicated Infrastructure

Los clientes Enterprise pueden optar por una infraestructura dedicada (servidores y base de datos aislados) para un aislamiento físico total. Contacto: [email protected]

Autenticación y autorización API

Claves API: Generación y rotación

La API de Lexiik utiliza claves API secretas para autenticar las solicitudes provenientes de su tienda (a través del Bridge) o de sus integraciones personalizadas:

  • Formato: lxk_live_xxxxxxxxxxxxxxxxxxxxx (prefijo para entorno en vivo) o lxk_test_xxxxxxxxxxxxxxxxxxxxx (prefijo para entorno de prueba)
  • Longitud: 64 caracteres (256 bits de entropía, es decir 2^256 combinaciones posibles = 10^77)
  • Almacenamiento: Hasheadas en bcrypt (coste 12) en la base de datos, nunca almacenadas en texto plano
  • Rotación recomendada: Cada 90 días para los planes Pro y superiores

Generación de una clave API:

  1. Vaya a Configuración > API e integraciones
  2. Haga clic en Generar una nueva clave API
  3. Nombre la clave (ej.: «Bridge Producción» o «Script de migración»)
  4. Copie la clave mostrada (¡nunca volverá a mostrarse!)
  5. Guárdela en un gestor de secretos (1Password, Bitwarden, Vault, etc.)

Atención

Importante: NUNCA haga commit de una clave API en Git, ni siquiera en un repositorio privado. Utilice variables de entorno (.env) y añada .env a su .gitignore.

Scopes y permisos granulares

Cada clave API puede tener permisos limitados (principio del mínimo privilegio):

  • read:products: Leer las fichas de producto
  • write:products: Crear y modificar fichas de producto
  • read:audits: Consultar los informes de auditoría SEO
  • write:audits: Lanzar una auditoría (consume créditos)
  • read:snapshots: Acceder al historial (Rollback)
  • write:snapshots: Restaurar un snapshot (acción sensible)
  • admin:all: Acceso completo (reservado para administradores)

Ejemplo: una clave API utilizada únicamente para mostrar KPIs en un dashboard interno puede limitarse a read:products y read:audits.

Rate limiting y protección anti-abuso

La API de Lexiik implementa un rate limiting estricto para evitar abusos y garantizar la disponibilidad:

  • Plan Gratuito: 100 solicitudes / hora
  • Plan Starter: 500 solicitudes / hora
  • Plan Pro: 2.000 solicitudes / hora
  • Plan Expert: 10.000 solicitudes / hora
  • Plan Enterprise: Ilimitado (política de uso justo con alerta a 50.000 solicitudes/h)

En caso de exceso, la API devuelve el código HTTP 429 Too Many Requests con un header Retry-After que indica cuántos segundos esperar.

Bueno saberlo

El Bridge de Lexiik (módulo para CMS) se beneficia de un rate limit más alto porque las solicitudes se agrupan (batch processing). Una sincronización de 1000 productos = 1 sola solicitud API.

Conformidad con el RGPD (Reglamento General de Protección de Datos)

Lexiik cumple íntegramente el RGPD (Reglamento Europeo 2016/679) y aplica los principios de Privacy by Design desde el diseño de cada funcionalidad.

Alojamiento 100% europeo

Todos sus datos se alojan exclusivamente en la Unión Europea:

  • Centro de datos principal: OVHcloud Gravelines (Francia)
  • Replicación secundaria: OVHcloud Estrasburgo (Francia)
  • Replicación terciaria: Hetzner Falkenstein (Alemania)
  • CDN Edge: 35 puntos de presencia mundiales, pero los datos sensibles nunca se cachean fuera de la UE

Sus datos NUNCA pasan por Estados Unidos ni por ningún país fuera de la UE. No utilizamos AWS, Google Cloud ni Azure (proveedores sujetos al Cloud Act estadounidense).

Éxito

Lexiik está registrado ante la CNIL (Commission Nationale de l'Informatique et des Libertés) y cuenta con un DPO (Delegado de Protección de Datos) certificado.

Minimización de los datos recopilados

Lexiik solo recopila los datos estrictamente necesarios para el funcionamiento del servicio:

Datos recopilados:

  • Correo electrónico (autenticación y notificaciones)
  • Nombre y apellidos (facturación)
  • Datos de pago (almacenados por Stripe, certificado PCI-DSS nivel 1)
  • Fichas de producto (título, descripción, imágenes, precio público, categorías)
  • Logs técnicos (IP, user-agent, marca de tiempo) conservados un máximo de 90 días

Datos NUNCA recopilados:

  • Datos personales de sus clientes finales (correos electrónicos, direcciones, historial de compras)
  • Números de tarjeta bancaria (delegado a Stripe)
  • Contraseñas en texto plano (hasheadas en Argon2id)
  • Datos de navegación en su tienda (no somos una herramienta de análisis)

Sus derechos RGPD

Usted dispone de todos los derechos previstos por el RGPD, accesibles directamente desde su cuenta Lexiik:

  • Derecho de acceso (Art. 15): Descargar todos sus datos en formato JSON (Configuración > Exportar mis datos)
  • Derecho de rectificación (Art. 16): Modificar su información personal en cualquier momento
  • Derecho de supresión (Art. 17): Eliminar definitivamente su cuenta y todos sus datos (Configuración > Eliminar mi cuenta)
  • Derecho a la portabilidad (Art. 20): Exportar sus datos en un formato estándar (JSON, CSV)
  • Derecho de oposición (Art. 21): Rechazar el tratamiento de ciertos datos (ej.: correos de marketing)
  • Derecho de limitación (Art. 18): Suspender temporalmente el tratamiento de sus datos

Para ejercer sus derechos o contactar a nuestro DPO: [email protected]

Bueno saberlo

Plazo de respuesta garantizado: 72 horas para una solicitud de acceso, 30 días como máximo para una eliminación completa (conforme al Art. 12 del RGPD).

Auditorías de seguridad y certificaciones

Pentests periódicos

Lexiik es sometido a pruebas de intrusión (pentests) periódicos por empresas especializadas:

  • Frecuencia: 1 pentest completo cada 6 meses (planes Pro y Enterprise)
  • Alcance: Aplicación web, API, infraestructura, Bridge (módulos CMS)
  • Metodología: OWASP Testing Guide v4.2 + PTES (Penetration Testing Execution Standard)
  • Informe: Informe de auditoría disponible bajo solicitud para clientes Enterprise

Las vulnerabilidades críticas y altas se corrigen en 48 horas, las medias en 7 días y las bajas en 30 días.

Programa de Bug Bounty

Lexiik opera un programa de Bug Bounty (recompensa por vulnerabilidades) para animar a los investigadores de seguridad a reportar fallos:

  • Plataforma: YesWeHack (plataforma europea de bug bounty)
  • Recompensas: De 100 € a 5.000 € según la criticidad (puntuación CVSS)
  • Scope: app.lexiik.com, api.lexiik.com, cdn.lexiik.com, módulos Bridge
  • Tiempo de respuesta: Menos de 24 horas para informes válidos

Acceso al programa: yeswehack.com/programs/lexiik

Certificaciones y conformidades

Lexiik posee las siguientes certificaciones:

  • ISO 27001: Seguridad de la información (auditado por Bureau Veritas)
  • SOC 2 Type II: Disponibilidad, confidencialidad, integridad (en proceso de certificación)
  • RGPD: Conformidad total, DPO certificado, registrado en CNIL
  • HDS (Alojamiento de Datos de Salud): No aplicable (solo e-commerce)
  • PCI-DSS nivel 1: A través de Stripe (procesador de pagos)

Función Premium

Los clientes Enterprise pueden solicitar una auditoría de conformidad personalizada (SOC 2, ISO 27001, etc.) para satisfacer sus requisitos internos.
Contactar al equipo Enterprise →

Buenas prácticas de seguridad para usuarios

Gestión de claves API

Para garantizar la seguridad de su cuenta, siga estas buenas prácticas:

  • Nunca compartir una clave API: Cree una clave dedicada por servicio/desarrollador
  • Rotación regular: Cambie sus claves cada 90 días (automatizable a través de la API)
  • Nombre sus claves: «Bridge Producción», «Script Analytics», «Integración Zapier», etc.
  • Revoque las claves no utilizadas: Elimine las claves de proveedores anteriores o scripts desactivados
  • Variables de entorno: Nunca escriba claves directamente en el código fuente

Seguridad de contraseñas

Su cuenta Lexiik está protegida por las siguientes medidas:

  • Hashing Argon2id: Algoritmo recomendado por OWASP (resistente a GPU y ASIC)
  • Salt único: Cada contraseña tiene un salt aleatorio de 128 bits
  • Política de complejidad: Mínimo 12 caracteres, al menos 1 mayúscula, 1 número y 1 carácter especial
  • Protección anti-fuerza bruta: Bloqueo tras 5 intentos fallidos (desbloqueo por correo electrónico)
  • 2FA disponible: Autenticación de dos factores mediante TOTP (Google Authenticator, Authy) – muy recomendada

Active el 2FA

Activar la autenticación de dos factores reduce en un 99,9% el riesgo de pirateo de la cuenta, incluso si su contraseña está comprometida. Actívela desde Configuración > Seguridad.

Vigilancia de su cuenta

Lexiik le alerta automáticamente en caso de actividad sospechosa:

  • Inicio de sesión desde un nuevo país: Correo electrónico con enlace de confirmación
  • Nuevo dispositivo: Notificación push si la aplicación móvil está instalada
  • Creación de clave API: Correo resumen con nombre y permisos
  • Modificación del método de pago: Doble confirmación por correo electrónico + SMS
  • Intentos de inicio de sesión fallidos: Alerta tras 3 fallos

Consulte el historial completo de inicios de sesión desde Configuración > Actividad de la cuenta.

En resumen

La seguridad de Lexiik se basa en un enfoque multicapa (Defense in Depth) con los más altos estándares de la industria:

  • Cifrado: TLS 1.3 en tránsito + AES-256 en reposo
  • Autenticación: Claves API de 256 bits + 2FA disponible
  • Alojamiento: 100% europeo (Francia + Alemania), nunca en EE. UU.
  • Conformidad: RGPD completo, ISO 27001, SOC 2 Type II en curso
  • Auditorías: Pentests semestrales + Bug Bounty activo

Sus datos están protegidos con el mismo nivel de seguridad que los bancos en línea y las instituciones financieras.

Éxito

¿Tiene preguntas o requisitos de seguridad específicos? Nuestro equipo de Seguridad está a su disposición.
Contactar al equipo de seguridad →

Artículos relacionados: La Garantía Rollback · Retención de datos · Conectar su tienda