Prestador: Aby Marketing Dreams, S.L.
Servicio: Bermatu
URL: bermatu.com
Version DPS: 1.0
Clasificacion: Publico
| Version | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | Marzo 2026 | Enrique Aldaz | Version inicial |
| 1.1 | Abril 2026 | Enrique Aldaz | Ampliacion de evidencias de entrega y proteccion de datos conforme Art. 3.36 eIDAS. Adicion de seccion de prueba de recepcion. |
1. Introduccion
1.1. Objeto del documento
La presente Declaracion de Practicas de Servicios (DPS) describe los procedimientos, politicas y medidas tecnicas y organizativas que aplica Bermatu, servicio de Aby Marketing Dreams, S.L. (en adelante, el Prestador), para la prestacion de servicios electronicos de confianza no cualificados.
Este documento se publica de conformidad con las obligaciones de transparencia derivadas del Reglamento (UE) 910/2014 (eIDAS) y de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electronicos de confianza.
1.2. Identificacion del prestador
| Campo | Valor |
|---|---|
| Razon social | Aby Marketing Dreams, S.L. |
| Nombre comercial del servicio | Bermatu |
| Domicilio | Hijas de la Caridad 108, 48003 Bilbao, Bizkaia |
| Email de contacto | info@aby.group |
| URL del servicio | https://bermatu.com |
| URL de esta DPS | https://bermatu.com/dps |
1.3. Marco normativo aplicable
Los servicios de Bermatu se prestan bajo el siguiente marco normativo:
- Reglamento (UE) 910/2014 (eIDAS) del Parlamento Europeo y del Consejo, relativo a la identificacion electronica y los servicios de confianza para las transacciones electronicas en el mercado interior.
- Reglamento (UE) 2024/1183 (eIDAS 2) por el que se modifica el Reglamento 910/2014 en lo que respecta al marco europeo de identidad digital.
- Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electronicos de confianza.
- Reglamento (UE) 2016/679 (RGPD) relativo a la proteccion de datos personales.
- Ley Organica 3/2018 (LOPDGDD) de Proteccion de Datos Personales y garantia de los derechos digitales.
- Ley 34/2002 (LSSI) de servicios de la sociedad de la informacion y de comercio electronico.
1.4. Naturaleza del prestador
No emite certificados electronicos propios ni actua como Autoridad de Certificacion. La plataforma orquesta servicios de confianza de terceros prestadores cualificados (sellado de tiempo, certificados digitales) para ofrecer un servicio integral de certificacion y firma electronica.
2. Descripcion de los servicios
2.1. Servicio de certificacion de correo electronico
Permite a los usuarios certificar el contenido, el momento de envio y la integridad de sus comunicaciones por correo electronico. El usuario anade la direccion certificar@bermatu.com en copia oculta (BCC) al enviar un correo. El sistema captura automaticamente el mensaje completo.
Proceso tecnico:
- Recepcion del correo electronico completo (cabeceras SMTP, DKIM, SPF, cuerpo MIME y adjuntos).
- Generacion del hash criptografico SHA-512 del contenido integro del mensaje.
- Solicitud de sellado de tiempo RFC 3161 a la TSA cualificada de DigiCert.
- Generacion de un certificado PDF que incluye: hash del contenido, sello de tiempo, metadatos del correo y UUID unico de verificacion.
- Almacenamiento del certificado PDF en SharePoint, organizado por tenant/usuario/contraparte.
- Notificacion al remitente con enlace al certificado.
2.2. Servicio de firma electronica de documentos
Plataforma de firma electronica avanzada multi-parte para documentos PDF. Permite que multiples firmantes de distintas organizaciones firmen un documento secuencialmente.
Modalidades de firma:
| Modalidad | Metodo de verificacion | Nivel eIDAS | Proveedor |
|---|---|---|---|
| OTP Email | Codigo de un solo uso enviado al email del firmante | Firma electronica avanzada | Bermatu (interno) |
| OTP SMS | Codigo de un solo uso enviado por SMS al movil del firmante | Firma electronica avanzada | Prelude (SMS gateway) |
| OTP WhatsApp | Codigo de un solo uso enviado por WhatsApp al movil del firmante | Firma electronica avanzada | Prelude (WhatsApp Business) |
2.3. Servicio de verificacion de certificados
Bermatu ofrece un servicio publico de verificacion accesible en bermatu.com mediante UUID. Cualquier persona puede comprobar la autenticidad e integridad de un certificado emitido por la plataforma introduciendo el identificador unico del certificado.
2.4. Evidencias de entrega y recepcion (Art. 3.36 eIDAS)
De conformidad con el articulo 3.36 del Reglamento (UE) 910/2014, Bermatu implementa los siguientes mecanismos para acreditar la entrega efectiva de los datos al destinatario y la proteccion de los datos transmitidos:
2.4.1. Prueba de envio
Para cada comunicacion certificada, Bermatu genera y almacena las siguientes evidencias de envio:
- Hash criptografico SHA-512 del contenido integro del email (cabeceras, cuerpo, adjuntos), calculado en el momento de la captura y almacenado de forma permanente.
- Sellado de tiempo RFC 3161 emitido por la TSA cualificada de DigiCert. El token TSP binario firmado digitalmente por DigiCert se almacena integramente, conteniendo el hash del contenido y la fecha/hora certificada por un prestador cualificado de la lista de confianza de la UE. Este token es verificable de forma independiente con herramientas estandar (OpenSSL, asn1crypto).
- Cabeceras SMTP originales: Se capturan y almacenan las cabeceras Message-ID, Date, From, To, CC, Subject, DKIM-Signature y Received del email original, que documentan la cadena completa de transmision entre servidores de correo.
- Certificado PDF generado automaticamente que consolida todas las evidencias: hashes, sello TSA, metadatos completos del email, UUID unico de verificacion y contenido integro del mensaje.
2.4.2. Prueba de recepcion efectiva
Las evidencias de recepcion efectiva varian segun el tipo de servicio:
a) Certificacion de correo electronico:
- Fecha de recepcion del servidor: Microsoft Exchange Online (via Graph API) proporciona el campo
receivedDateTimeque registra el momento exacto en que el servidor de correo del destinatario acepto el mensaje. Este timestamp se almacena en la base de datos como evidencia de la entrega al servidor de destino. - Cabeceras Received: La cadena de cabeceras
Receivedregistra cada salto MTA-a-MTA (Mail Transfer Agent), documentando la ruta completa y los timestamps de cada nodo hasta la entrega final en el buzon del destinatario. - Pixel de seguimiento: Las notificaciones de certificacion enviadas al usuario incluyen un pixel de seguimiento invisible que registra: fecha/hora de apertura, direccion IP del destinatario, user-agent del cliente de correo y numero de aperturas. Estos datos se almacenan en la tabla
email_tracking.
b) Firma electronica de documentos:
- Verificacion de identidad OTP: Antes de firmar, el destinatario debe verificar su identidad mediante un codigo OTP (One-Time Password) de un solo uso, enviado a su correo electronico o telefono movil (via SMS/WhatsApp). La verificacion exitosa del OTP constituye prueba inequivoca de que la persona con acceso al canal de comunicacion recibio y accedio al contenido del documento.
- Registro de acceso: Cuando el firmante accede al enlace de firma, su estado se actualiza a «visto» con registro de la fecha/hora exacta (
visto_en). - Evidencias de firma: En el momento de la firma se registran: fecha y hora, direccion IP del firmante, user-agent del navegador, canal de verificacion utilizado (email, SMS, WhatsApp), tipo de firma (texto o dibujo manuscrito).
- Sellado TSA del documento firmado: Una vez completadas todas las firmas, se genera un hash SHA-256 del documento firmado final y se solicita un nuevo sellado de tiempo RFC 3161 a DigiCert, sellando el estado completo del documento con todas las firmas recogidas.
2.4.3. Proteccion de los datos transmitidos
Los mecanismos de proteccion frente a los riesgos de perdida, robo, deterioro o alteracion no autorizada son:
| Riesgo | Medida de proteccion | Detalle tecnico |
|---|---|---|
| Alteracion no autorizada | Integridad criptografica | Hash SHA-512 del contenido completo + hash SHA-256 individual de cada adjunto. Cualquier modificacion de un solo bit produce un hash diferente, detectable de forma inmediata. |
| Alteracion no autorizada | Sellado TSA RFC 3161 | Token firmado digitalmente por la TSA cualificada de DigiCert, verificable de forma independiente. Vincula el hash con una fecha/hora certificada por un tercero de confianza. |
| Interceptacion en transito | Cifrado TLS | Todas las comunicaciones (Graph API de Microsoft, TSA de DigiCert, Prelude SMS) operan exclusivamente sobre canales HTTPS/TLS 1.2 o superior. |
| Perdida de datos | Almacenamiento redundante triple | Cada certificado se almacena en: (1) Microsoft SharePoint (centros de datos UE con replicacion geografica), (2) base de datos MySQL con los metadatos y token TSA, (3) sistema de archivos del servidor con backup. |
| Acceso no autorizado | Aislamiento multi-tenant + control de acceso | Cada organizacion tiene su espacio aislado (tenant_id). El acceso requiere autenticacion JWT con soporte 2FA (TOTP) y WebAuthn (passkeys). Los permisos son granulares por usuario. |
| Suplantacion de identidad (firma) | Verificacion OTP multi-canal | Codigo de un solo uso (6 digitos, validez 15 minutos) enviado por email o SMS al firmante. Verificacion timing-safe. Invalidacion automatica del OTP tras uso. |
| Robo de credenciales | Contrasenas hash bcrypt + 2FA | Las contrasenas se almacenan como hash bcrypt. Opcionalmente, autenticacion de doble factor TOTP o WebAuthn con passkeys biometricas. |
3. Arquitectura tecnica y medidas de seguridad
3.1. Integridad criptografica
Todos los documentos y correos procesados por Bermatu se someten a hash criptografico SHA-512 en el momento de su captura. Este hash constituye la huella digital unica del contenido y permite detectar cualquier alteracion posterior. La funcion SHA-512 pertenece a la familia SHA-2 y es ampliamente aceptada en el ambito de los servicios de confianza.
3.2. Sellado de tiempo
El sellado de tiempo se realiza conforme al estandar RFC 3161 (Internet X.509 Public Key Infrastructure Time-Stamp Protocol) mediante la Autoridad de Sellado de Tiempo cualificada de DigiCert. El proceso consiste en enviar el hash del documento a la TSA, que devuelve un token firmado digitalmente con la fecha y hora exactas certificadas. DigiCert es un prestador cualificado de servicios de confianza reconocido en la lista de confianza de la UE.
3.3. Almacenamiento y custodia
Los certificados PDF generados se almacenan en Microsoft SharePoint con las siguientes medidas:
- Aislamiento multi-tenant: Cada organizacion (tenant) tiene su espacio de almacenamiento aislado, segregado por dominio de correo electronico. Los datos de un tenant no son accesibles desde otro.
- Organizacion: Los certificados se organizan por usuario y contraparte, facilitando su localizacion y auditoria.
- Periodo de conservacion: Los certificados se conservan durante un minimo de 6 anos conforme al articulo 30 del Codigo de Comercio y a la normativa de prevencion de blanqueo de capitales.
3.4. Comunicaciones seguras
Todas las comunicaciones entre clientes, servidores y servicios externos se realizan sobre canales cifrados TLS 1.2 o superior. Las API de integracion con DigiCert TSA y Prelude SMS operan exclusivamente sobre HTTPS.
3.5. Control de acceso
El acceso a la plataforma requiere autenticacion. El panel de administracion y gestion de certificados esta protegido con control de sesion. El acceso a los datos de cada tenant esta restringido a los usuarios autorizados de dicha organizacion.
3.6. Disponibilidad y continuidad
Bermatu mantiene procedimientos de backup y recuperacion ante desastres para garantizar la continuidad del servicio y la disponibilidad de los certificados almacenados.
4. Proteccion de datos personales
4.1. Responsable del tratamiento
El responsable del tratamiento de los datos personales es Aby Marketing Dreams, S.L., con domicilio en Hijas de la Caridad 108, 48003 Bilbao, y contacto en dpd@aby.group.
4.2. Datos tratados
En la prestacion del servicio se tratan las siguientes categorias de datos personales:
- Certificacion de email: Direcciones de correo electronico del remitente y destinatarios, contenido del correo (cabeceras, cuerpo, adjuntos), direccion IP de origen, fecha y hora.
- Firma electronica: Nombre y apellidos de los firmantes, direccion de correo electronico, numero de telefono movil (cuando se usa OTP SMS), direccion IP, fecha y hora de firma.
4.3. Finalidad y base juridica
Los datos se tratan con la finalidad exclusiva de prestar el servicio de certificacion y firma electronica contratado. La base juridica del tratamiento es la ejecucion del contrato de prestacion de servicios (articulo 6.1.b del RGPD).
4.4. Encargados del tratamiento
| Encargado | Finalidad | Ubicacion |
|---|---|---|
| Microsoft (SharePoint) | Almacenamiento de certificados PDF | UE (centros de datos europeos) |
| DigiCert | Sellado de tiempo TSA (solo recibe hashes, no datos personales) | EE.UU. (clausulas contractuales tipo) |
| Prelude | Envio de OTP por SMS (solo numero de telefono) | UE |
4.5. No almacenamiento de datos de firma
De conformidad con el articulo 8 de la Ley 6/2020, Bermatu no almacena ni copia los datos relativos a la creacion de firma electronica, sello o autenticacion de la persona fisica o juridica, salvo en caso de gestion en nombre del titular conforme a la normativa vigente.
4.6. Derechos de los interesados
Los interesados pueden ejercer sus derechos de acceso, rectificacion, supresion, limitacion, portabilidad y oposicion dirigiendose a dpd@aby.group. El plazo de respuesta es de un mes conforme al articulo 12.3 del RGPD.
5. Obligaciones y responsabilidad
5.1. Obligaciones del prestador
Bermatu se compromete a:
- Adoptar las medidas tecnicas y organizativas adecuadas para gestionar los riesgos de seguridad conforme al articulo 19 del Reglamento eIDAS.
- Notificar los incidentes de seguridad conforme al articulo 13 de la Ley 6/2020.
- Mantener actualizada y accesible publicamente esta Declaracion de Practicas de Servicios.
- Informar verazmente sobre la naturaleza, alcance y limitaciones de los servicios prestados.
- No presentar los servicios como cualificados cuando no lo son.
- Conservar la informacion relativa a los servicios prestados durante un minimo de 6 anos.
5.2. Obligaciones de los usuarios
Los usuarios del servicio se comprometen a:
- Utilizar los servicios de forma licita y conforme a las condiciones de uso publicadas en bermatu.com.
- Proporcionar informacion veraz en la configuracion de su cuenta y en los procesos de firma.
- Custodiar adecuadamente sus credenciales de acceso.
- Notificar inmediatamente cualquier uso no autorizado de su cuenta.
5.3. Limitacion de responsabilidad
La responsabilidad de Bermatu se limita conforme a los articulos 10 y 11 de la Ley 6/2020 y al articulo 13 del Reglamento eIDAS. Bermatu no sera responsable de los danos causados por el incumplimiento de las obligaciones de los usuarios ni por el uso de los servicios fuera del ambito descrito en esta DPS.
6. Gestion y notificacion de incidentes de seguridad
En caso de violacion de la seguridad o perdida de la integridad que tenga un impacto significativo en el servicio o en los datos personales, Bermatu:
- Notificara al Ministerio para la Transformacion Digital y de la Funcion Publica sin dilaciones indebidas y, en todo caso, en un plazo maximo de 24 horas desde el conocimiento del incidente.
- Notificara a la Agencia Espanola de Proteccion de Datos en un plazo maximo de 72 horas conforme al articulo 33 del RGPD cuando el incidente afecte a datos personales.
- Informara a los usuarios afectados cuando la violacion pueda suponer un alto riesgo para sus derechos y libertades.
- Ampliara la informacion suministrada en un plazo maximo de un mes tras la resolucion del incidente.
- Mantendra un registro interno de todos los incidentes de seguridad, su evaluacion y las medidas adoptadas.
7. Plan de cese de actividad
En caso de cese de la actividad como prestador de servicios electronicos de confianza, Bermatu:
- Comunicara su intencion al Ministerio para la Transformacion Digital y de la Funcion Publica con una antelacion minima de dos meses.
- Informara a todos los usuarios activos del servicio con la misma antelacion.
- Garantizara que los usuarios puedan descargar la totalidad de sus certificados antes de la fecha efectiva de cese.
- Mantendra los certificados archivados durante el periodo legal de conservacion (minimo 6 anos) o transferira la custodia a otro prestador de servicios de confianza con el consentimiento de los titulares.
- Comunicara el cese efectivo al Ministerio una vez completado el proceso.
8. Modificaciones de esta DPS
Bermatu se reserva el derecho de modificar la presente Declaracion de Practicas de Servicios para adaptarla a cambios normativos, tecnicos u organizativos. Las modificaciones sustanciales seran comunicadas a los usuarios con un preaviso minimo de 30 dias y se publicaran en esta misma pagina con actualizacion de la tabla de control de versiones.
Las modificaciones sustanciales incluyen: cambios en los prestadores cualificados utilizados (TSA, certificados), cambios en los niveles de seguridad, modificaciones en el tratamiento de datos personales, y cambios en las condiciones de conservacion de los certificados.
9. Informacion de contacto
| Canal | Datos |
|---|---|
| Contacto general | info@aby.group |
| Incidentes de seguridad | dpd@aby.group |
| Proteccion de datos / DPD | dpd@aby.group |
| Direccion postal | Hijas de la Caridad 108, 48003 Bilbao |
| Sitio web | https://bermatu.com |
Bermatu es un servicio de Aby Marketing Dreams, S.L. — Bilbao, Bizkaia
Documentos relacionados: Condiciones · Privacidad · Cookies · Contacto