Saltar al contenido
DeCA Platform

No te pedimos confianza: te damos pruebas verificables

Cualquiera puede escribir «seguridad de nivel bancario» en su web. Nosotros preferimos enseñarte cómo funciona la nuestra y darte los medios para comprobarla: cada operación sobre tus documentos queda sellada en una cadena de hashes que tú mismo puedes verificar.

La cadena de hashes: evidencias que se demuestran, no se prometen

Todo lo que le ocurre a un documento — activación, cambios en ruta, incidencias, descargas de inspección — se anota en un historial de solo-añadir. Y cada anotación queda sellada criptográficamente con la anterior.

El primer eslabón (génesis) se deriva del identificador único del documento. A partir de ahí, cada operación registra qué pasó, cuándo y qué cambió — conservando siempre el valor anterior — y se sella con un hash SHA-256 que incorpora el hash del eslabón precedente.

La consecuencia es matemática, no comercial: no se puede reescribir el pasado sin romper todos los sellos posteriores. Ni un empleado nuestro, ni un atacante, ni nosotros mismos podemos alterar una operación registrada sin que la cadena deje de cuadrar.

Quizá hayas visto la palabra «blockchain» usada como adorno en este sector: un sello en la web sin que el cliente pueda comprobar nada. Nuestra posición es la contraria:menos palabra y más verificación. La cadena existe en cada documento, es tuya, y se comprueba con herramientas estándar — sin tokens, sin criptomonedas y sin fe.

Ante un litigio o una reclamación, ese historial sellado es tu activo probatorio: quién cambió la matrícula, cuándo se descargó el PDF en una inspección, qué versión estaba vigente en cada momento.

Eslabón 0 · Génesis

Derivado del identificador único del documento. Es el ancla de la cadena: nadie puede “empezar de cero” sin que se note.

hash SHA-256: 4c81f0a2d9e6…

Operación 1 · Activación

hash anterior: 4c81f0a2d9e6…

Documento activado · PDF v1 generado · 2026-10-06 07:41:02 UTC

hash SHA-256: a97e30c5b1d4…

Operación 2 · Cambio de matrícula

hash anterior: a97e30c5b1d4…

Campo: matrícula · valor anterior conservado · motivo registrado · PDF v2

hash SHA-256: f2154d8be07a…

Operación 3 · Descarga de inspección

hash anterior: f2154d8be07a…

PDF vigente descargado desde la URL pública (QR) · quedó como evidencia

hash SHA-256: 08d39cc471f6…

Cada eslabón incluye el hash del anterior: si alguien altera una operación pasada, todos los hashes posteriores dejan de cuadrar. La manipulación no se “detecta”: se demuestra.

Cómo se verifica, en tres pasos

  1. 1

    Consulta el historial

    Cada documento conserva su historial completo de operaciones con los hashes de cada eslabón.

  2. 2

    Recalcula los sellos

    Con cualquier implementación estándar de SHA-256 — la tuya, no la nuestra — recomputa la cadena eslabón a eslabón.

  3. 3

    Compara

    Si cada hash recalculado coincide con el registrado, el historial está íntegro. Si alguien hubiera tocado algo, no cuadraría ninguno de los posteriores.

Cifrado y aislamiento

Las medidas de base, contadas sin humo: qué protegemos, dónde y cómo.

Cifrado en tránsito

Toda la comunicación viaja cifrada por HTTPS con TLS 1.2 o superior: el panel, la API, la vista del conductor y la URL pública de inspección. Para esta última no es solo buena práctica: es un requisito de la Resolución de 5 de junio de 2026 que la inspección comprueba.

Cifrado en reposo

La base de datos y el almacenamiento de PDF se cifran en reposo (AES-256) en infraestructura de proveedores europeos o con región de datos en la UE. Las claves de API no se guardan jamás en claro: almacenamos únicamente su hash.

Aislamiento multi-tenant con RLS

El aislamiento entre cuentas se aplica con políticas de seguridad a nivel de fila (Row-Level Security) dentro del propio motor de la base de datos. No dependemos de que cada consulta del código «se acuerde» de filtrar: la base de datos lo exige siempre, también para los partners que operan varios clientes finales.

Accesos y claves

Claves de API con ámbitos (scopes), rotables y revocables al instante. Webhooks firmados con HMAC-SHA256 para que tu sistema verifique el origen de cada notificación. Acceso de soporte excepcional y auditado, sin visibilidad de tus claves.

Custodia y continuidad

Un documento de transporte no termina cuando termina el viaje: la norma exige conservarlo y poder presentarlo.

Custodia legal ≥ 1 año

Los documentos emitidos se conservan al menos un año, el mínimo legal para el cargador contractual y el transportista efectivo. El repositorio es compartido: si una parte emite, la otra puede descargar durante todo el periodo.

PDF versionado

Cada modificación en ruta genera una nueva versión del PDF conservando las anteriores y el motivo del cambio, tal y como exige la norma. Nada se sobrescribe: todo se conserva y se encadena.

Copias de seguridad

Copias de seguridad automáticas diarias de la base de datos y almacenamiento redundante de los PDF, con procedimiento de restauración documentado.

La descarga de inspección: nuestro componente más crítico

Si la Guardia Civil escanea el QR y el documento no descarga, el problema es tuyo y del conductor. Por eso este componente se trata distinto a todo lo demás.

Al borde de la red, cerca de la carretera

La URL pública de cada documento se sirve desde una red de entrega global distribuida (edge), no desde un único servidor. El objetivo de disponibilidad es del 99,9 % mensual — está publicado con definición y créditos de servicio en nuestroSLA.

Descarga directa, como exige la norma

El QR lleva a la descarga directa del PDF vigente: sin login, sin credenciales y sin botones intermedios, exactamente como exige la Resolución de 5 de junio de 2026. TLS verificado y URL única por documento.

Cada descarga, una evidencia

Toda descarga desde la URL pública queda registrada en el historial sellado del documento: fecha, hora y versión servida. Si te inspeccionan, tendrás la prueba de qué se mostró y cuándo.

Aviso de inspección en tiempo real

Cuando el QR de tu documento se escanea, tú lo sabes al momento: aviso en el panel y, si lo configuras, webhook a tu sistema. Ningún requisito lo exige — pero saber que tu camión está siendo inspeccionado no tiene precio.

Divulgación responsable

Si has encontrado una vulnerabilidad, queremos saberlo — y te lo ponemos fácil.

Escríbenos asecurity@deca.examplecon los detalles técnicos y los pasos para reproducirla. Nos comprometemos a acusar recibo en 48 horas laborables, a no emprender acciones legales contra la investigación de buena fe y a informarte de la resolución. Publicamos esta información también en formato estándar en/.well-known/security.txt.

¿Buscas el SLA, el DPA o la lista de subencargados? Todo el pack de due diligence está publicado en la página deconfianza y due diligence.

Preguntas frecuentes sobre seguridad

¿Puedo verificar la cadena de hashes yo mismo?
Sí, y ese es el punto. El historial de operaciones de cada documento incluye los hashes de cada eslabón: con una herramienta estándar de SHA-256 (o con tu propio código) puedes recomputar la cadena y comprobar que nada se ha alterado. No necesitas confiar en nuestra palabra ni en nuestro software para verificarlo.
¿Qué pasa con la inspección si vuestro panel se cae?
La descarga de inspección (la URL pública del QR) no depende del panel ni de la API: se sirve desde una red de entrega global distribuida, diseñada para un objetivo de disponibilidad del 99,9 %. Es nuestro componente más crítico y está aislado del resto precisamente para eso. Puedes comprobar su estado en la página de estado del servicio.
¿Quién puede ver mis datos dentro de la plataforma?
Cada cuenta está aislada por políticas de seguridad a nivel de fila (RLS) aplicadas por el propio motor de la base de datos, no solo por el código de la aplicación. Un fallo de programación en una consulta no basta para saltarse el aislamiento: la base de datos lo impide. El acceso del personal de soporte es excepcional, auditado y sin acceso a tus claves de API.
¿Hacéis copias de seguridad? ¿Y si borro algo por error?
La base de datos cuenta con copias de seguridad automáticas diarias y los PDF se almacenan versionados: cada modificación en ruta genera una versión nueva conservando las anteriores. Además, los documentos emitidos se custodian al menos 1 año, el mínimo que exige la norma, aunque tu cuenta se dé de baja.

Quedan89díaspara el 5 de octubre de 2026

Emite documentos con evidencias que se sostienen solas

10 documentos gratis al registrarte. Cada uno, con su cadena de hashes desde el primer segundo.