Nuestra arquitectura

Construida sobre arquitectura de nivel bancario

Tu facturación es infraestructura, no un panel más. Certificados cifrados con clave separada, 2FA nativo, audit log inalterable y datos siempre en territorio europeo.

AES-256
cifrado de certificados en reposo
TLS 1.3
en todos los endpoints, con HSTS
🇪🇺 EU
datos en Frankfurt, nunca salen
Infraestructura

Infraestructura en la que puedes confiar

Cofactu corre 100% sobre Cloudflare y Neon, con los datos siempre en territorio europeo. Cada organización está aislada a nivel de aplicación: ninguna consulta cruza el límite de tu tenant.

  • PostgreSQL en Neon (Frankfurt) — los datos nunca salen de la UE
  • Aislamiento multi-tenant por organización en cada consulta
  • Backups point-in-time de 7 días con restauración granular
99,9%
Uptime objetivo
<50 ms
Latencia en la UE
AES-256
Cifrado en reposo
Garantía anti-borrador

Cero facturas perdidas. Por escrito.

En nuestro research de /comparativas destapamos un patrón en Trustpilot: facturas que se quedan en borrador, signos invertidos, errores VeriFactu que requieren escalado. La gente lo descubre meses después al cuadrar trimestres. Nos comprometemos a lo contrario:

¿Y si una factura se nos cuela?

Si por un fallo nuestro del sistema de alertas una factura queda zombi y deriva en sanción AEAT, nos hacemos cargo del importe. Pídenos el compromiso firmado en hola@cofactu.com.

Incidentes en el sector

Los datos contables son objetivo de los ataques. Nadie habla de esto.

En 2024-2026 ha habido varios incidentes serios en software de facturación usado en España. Los listamos sin edulcorar — y cómo Cofactu está diseñada para que aquí no pase.

Lo que pasó Feb 2026

Cegid — 74.000 IBANs filtrados al dark web

Un actor publicó un dataset con IBANs, nombres y emails extraídos de Cegid (ERP con miles de despachos en ES/FR). La gestoría no tiene mecanismos propios para limitar la exposición.

Fuente: Dataset publicado en un foro de la dark web

Cómo lo evitamos en Cofactu

Datos cifrados en reposo (Neon AES-256), .p12 cifrado con password separada en R2, sin export masivo de IBANs ni a empleados internos — solo el dueño descarga sus datos.

Lo que pasó 2024

Contasimple — cuentas hackeadas y pagos desviados

Trustpilot acumula reseñas de cuentas accedidas por terceros y pagos desviados a IBANs ajenos. Cita: «cuentas hackeadas, pagos desviados, seguridad de 2005».

Fuente: Reseñas verificadas en Trustpilot

Cómo lo evitamos en Cofactu

2FA TOTP + passkeys WebAuthn + rate-limit + bloqueo tras 5 intentos. El owner SIEMPRE necesita 2FA o passkey para cambiar IBANs de pago.

¿Quieres el detalle fila por fila? Baja a la tabla comparativa.

Soporte

Acceso directo al fundador, sin tier 1

Sage cobra horas a partners para resolver bugs. Quipu bloquea el teléfono tras un paywall Premium. Anfix degrada la atención post-venta. Cofactu, mientras seamos pequeños, funciona en «Founder Mode»: cuando escribes, te responde quien escribió el código.

  • Compromiso público: respuesta en menos de 8 h en horario laboral
  • Sin tiers ni «lo escalo al departamento técnico»
  • Programa de divulgación responsable: security@cofactu.com
Cómo funciona el soporte
Pilares

Cinco pilares, ninguno opcional

No vendemos seguridad como upsell. Todo esto está activo en todos los planes — desde el de 9 € hasta el de gestoría.

Better Auth + 2FA

Identidad y acceso

  • 2FA TOTP nativo (Google Authenticator, 1Password, Authy).
  • Sesiones revocables por dispositivo con device parsing.
  • Magic link y password con haveibeenpwned.com check de filtraciones.
  • Rate limiting por IP con Cloudflare KV — bloqueo automático ante brute force.
  • Audit log de cada login, logout, cambio de contraseña, fallo de 2FA.
AES-256-GCM · TLS 1.3

Datos en reposo y en tránsito

  • Certificados .p12 cifrados con AES-256-GCM antes de subirlos a R2.
  • Password del .p12 cifrada con clave separada (envelope encryption).
  • Postgres en Neon EU (Frankfurt) — datos no salen del territorio europeo.
  • TLS 1.3 estricto en todos los endpoints, HSTS activo, sin downgrade.
  • Secrets en Wrangler Workers Secrets — nunca en código ni env públicas.
Hash chain + audit log

Inalterabilidad y trazabilidad

  • Audit log inmutable con cadena de hashes SHA-256 — un cambio retroactivo se detecta.
  • Cada factura VeriFactu lleva el hash de la anterior en su serie (encadenamiento RD 1007/2023).
  • Toda acción crítica deja entrada con userId, IP, before/after.
  • Audit log accesible al owner — exportable como CSV.
GDPR · RD 1007/2023

Cumplimiento normativo

  • GDPR completo: derecho al olvido (DELETE soft → hard 30 días), exportación ZIP.
  • Cookie consent banner con granularidad (analytics on/off independiente).
  • DPA disponible para gestorías (subencargo de tratamiento).
  • Conservación VeriFactu 5 años — borrado automático tras vencimiento legal.
  • Subprocessor pública: Cloudflare, Neon, Resend, Stripe, Anthropic.
Sentry + alertas proactivas

Operación y monitorización

  • Sentry con sourcemaps en API y workers — diagnosticamos bugs en minutos.
  • Alertas T-90 / T-30 / T-7 en certificados y apoderamientos AEAT.
  • Email transaccional cuando AEAT rechaza, con explicación accionable.
  • Status page en /status con incidentes históricos públicos.
  • Backups Neon point-in-time 7 días — restauración granular.
Subprocesadores

Con quién trabajamos, sin letra pequeña

Estos son los proveedores que procesan datos para que Cofactu funcione. Lista pública — sin tener que pedirla por email.

Cloudflare
Infra · CDN

Workers, Pages, R2 y KV. Computación y almacenamiento en región EU.

Neon
Base de datos

PostgreSQL serverless en Frankfurt (EU). Tus datos, cifrados en reposo.

Stripe
Pagos

Cobros y suscripciones. PCI-DSS nivel 1. No tocamos tu nº de tarjeta.

Resend
Email

Email transaccional: alertas de vencimiento, rechazos AEAT, avisos.

Anthropic
Asistente IA

El asistente Lucía. Los prompts no incluyen datos identificativos del cliente final.

Tu certificado
Nunca compartido

El .p12 se cifra AES-256-GCM antes de salir de tu navegador. No viaja en claro.

Lista completa y DPA en /legal/privacidad.

Comparativa

Cofactu vs. Holded · Contasimple · Quipu · Sage

Datos públicos extraídos de su documentación oficial, reseñas en Trustpilot/Capterra y reclamaciones públicas (mayo 2026). Si detectas un dato desactualizado, escríbenos y lo corregimos.

2FA nativo (TOTP)

Sí, sin coste adicional

Quipu Trustpilot: "en 2024 no hay excusa para tener un nivel de seguridad tan anticuado"

Holded

Sólo planes superiores

Contasimple

No — fuente de hackeo 2024

Quipu

No (reseñas piden 2FA)

Sage

Variable según producto

Audit log inmutable con hash chain

Sí, exportable CSV

Holded

Parcial

Contasimple

No documentado

Quipu

Parcial

Sage

Sólo planes enterprise

Cifrado certificado .p12 (envelope)

AES-256-GCM, password separada

Holded

Contasimple

No verificable

Quipu

Sage

Variable

Bloqueo automático brute force

Cloudflare KV, sin config

Contasimple Trustpilot: "cuentas hackeadas, pagos desviados, seguridad de 2005"

Holded

Contasimple

No (incidente 2024 lo confirma)

Quipu

Sage

Variable

Datos siempre en EU (Frankfurt)

Sí — Neon EU + Cloudflare EU

Holded

Contasimple

Quipu

Sage

Sí (productos cloud)

Alertas T-90/T-30/T-7 certificado

Sí — único en el mercado

Holded

T-30 sólo

Contasimple

Manual

Quipu

T-30 sólo

Sage

Manual

Alertas apoderamiento AEAT caducado

Sí — único en el mercado

Holded

No

Contasimple

No

Quipu

No

Sage

No

Email proactivo si AEAT rechaza

Sí — código + cómo arreglarlo

Holded Capterra: "€50 extra solo para hablar con un humano cuando AEAT rechaza"

Holded

Notif sin explicación

Contasimple

Notif in-app

Quipu

Notif in-app

Sage

Variable

Export GDPR ZIP propio

Sí, 1 click

Billin Trustpilot: "imposibilidad de exportar contactos/facturas tras adquisición"

Holded

Contasimple

Limitado

Quipu

Limitado

Sage

Manual

DPA pública para gestorías

Sí, en /legal/privacidad

Holded

Bajo petición

Contasimple

Bajo petición

Quipu

Bajo petición

Sage

Bajo petición

Incidentes públicos

No nos inventamos los gaps

Problemas reales del sector estos últimos años, documentados en fuentes públicas. Cofactu se diseñó leyendo cada queja.

Contasimple (Cegid) 2024

Cuentas comprometidas masivamente — pagos desviados a cuentas fraudulentas. Reseñas señalan ausencia de 2FA y bloqueo IP.

"graves fallos de seguridad donde cuentas fueron hackeadas y se desviaron pagos a cuentas fraudulentas"
Ver fuente
Holded 2025

Bug VeriFactu (error 4124) bloqueando facturación en producción. Soporte humano cobrado aparte.

"€35 mensuales por un servicio que no cumple con la normativa legal y €50 extra solo para hablar con un humano por teléfono"
Ver fuente
A3 / Wolters Kluwer 2025

Reclamación pública en OCU por degradación del servicio tras absorción.

"prestación del servicio lamentable… cada consulta tarda una eternidad"
Ver fuente
FAQ

Preguntas frecuentes

Lo esencial sobre cómo manejamos tus datos. ¿Encontraste un fallo de seguridad? Escríbenos a security@cofactu.com.

¿Almacenan datos fuera de la UE?
No. Postgres está en Neon EU (Frankfurt) y los archivos en R2 EU. Cloudflare procesa el tráfico en su PoP más cercano de la UE pero no almacena datos fuera de territorio europeo. La única excepción son las llamadas a Anthropic (asistente IA) — los prompts no contienen datos identificativos del cliente final.
¿Tienen DPA pública para gestorías?
Sí. Está enlazada en /legal/privacidad y se puede firmar antes de empezar la prueba — no necesitas escribir un email para conseguirla.
Si me voy de Cofactu, ¿puedo llevarme mis datos?
Sí, con un click. Exportación ZIP completa con CSV de facturas, clientes, productos, audit log y los XML+PDF de cada factura. Sin coste, sin plazo de espera, sin "pagar para llevártelo". Si tu plan caduca seguimos guardando tus datos 90 días para que tengas tiempo de migrar.
¿Tienen un programa de divulgación responsable de vulnerabilidades?
Sí. Si encuentras un fallo de seguridad, escríbenos a security@cofactu.com con los pasos para reproducirlo. Te respondemos en 24h, te tenemos al tanto del fix y reconocemos tu hallazgo en el changelog si quieres.

Cualquier duda concreta sobre cómo manejamos tus datos

Escribe a hola@cofactu.com y respondemos con la documentación técnica que necesites — sin formularios, sin departamentos comerciales por medio.

¿Listo para facturar sin sustos?

Empieza gratis o mira los planes. Tu primera factura VeriFactu en menos de 10 minutos.

Sin tarjetaCancela en 1 clicExporta cuando quieras