← Volver a Fitenza

Política de Cookies

Fitenza · Última actualización disponible en el panel de administración

Información Técnica de la Plataforma Fitenza


Última actualización: Junio 2026



Arquitectura del Sistema


Fitenza está construido sobre una infraestructura multi-tenant moderna, desacoplada y altamente escalable, diseñada bajo estándares de desarrollo avanzados para garantizar un aislamiento estricto de datos, seguridad perimetral de grado bancario y un rendimiento óptimo con mínima latencia en la carga de interfaces de usuario.



Stack Tecnológico y Proveedores



  • Servidor y Backend: Arquitectura Next.js con React, optimizada para renderizado híbrido (SSR/SSG) y ejecutada de forma robusta sobre la infraestructura en la nube de Railway, garantizando procesos activos sin tiempos de inactividad.

  • Base de Datos Principal: Motor relacional PostgreSQL gestionado por la infraestructura de Supabase, con servidores e instancias localizados de forma estricta dentro de la Unión Europea (nodo de Frankfurt, Alemania).

  • Autenticación y Sesiones: Supabase Auth mediante el uso de JSON Web Tokens (JWT) firmados, con tokens de acceso de corta duración y refresh tokens seguros gestionados mediante cookies cifradas en el navegador.

  • Red y Capa Perimetral: Infraestructura de Cloudflare utilizada como pasarela DNS, red de entrega de contenido (CDN) para recursos estáticos y escudo de seguridad perimetral.

  • Comunicaciones y Emails: Plataforma tecnológica de Brevo (Sendinblue) para el procesamiento, almacenamiento técnico y envío inmediato de los correos electrónicos transaccionales del sistema (alertas de reservas, notificaciones de bonos contratados y facturas), con servidores ubicados en la Unión Europea y registros SPF, DKIM y DMARC correctamente configurados.

  • Almacenamiento de Archivos (Object Storage): Supabase Storage con políticas de acceso privado para la custodia e intercambio seguro de documentos firmados del centro, imágenes y recursos multimedia.



Seguridad y Protección de Datos Avanzada



  • Aislamiento estricto de organizaciones (Multi-tenancy): El aislamiento de los datos se ejecuta directamente en el motor de la base de datos mediante políticas de seguridad por fila (Row Level Security - RLS) vinculadas estrictamente al identificador único de cada centro (centro_id) mediante la función server-side get_user_centro_id(). Un centro deportivo jamás podrá leer, modificar o listar información perteneciente a otra organización.

  • Cifrado en tránsito y Cabeceras de Seguridad: Todas las conexiones se realizan obligatoriamente bajo canales seguros cifrados mediante protocolo TLS 1.3. La plataforma implementa políticas estrictas de HTTP Strict Transport Security (HSTS), Content Security Policy (CSP), X-Frame-Options y Referrer-Policy para mitigar ataques de inyección, clickjacking o suplantación.

  • Cifrado en reposo: Los volúmenes de almacenamiento de la base de datos, sistemas de archivos y copias de seguridad se encuentran encriptados mediante el estándar criptográfico AES-256.

  • Protección Perimetral y Control de Acceso: Mitigación activa de ataques de denegación de servicio (DDoS), control de tasa de peticiones en endpoints críticos de compra (Rate Limiting extendido en API proxy) y bloqueo de scripts automatizados maliciosos.



Disponibilidad y Acuerdos de Nivel de Servicio (SLA)



  • Disponibilidad objetivo (Uptime): 99,5% de tiempo de actividad mensual de la infraestructura para planes estándar. Para Clientes del Plan Premium, se garantiza contractualmente un SLA del 99,9% mensual.

  • Ventanas de mantenimiento ordinario: Reservadas exclusivamente para los domingos en horario de baja actividad operativa (03:00 a 05:00 CET). Las actualizaciones de infraestructura que requieran paradas técnicas programadas se comunican con un preaviso mínimo de 24 horas.

  • Objetivo de Punto de Recuperación (RPO): Máximo de 1 hora de pérdida potencial de datos en escenarios extremos de desastre técnico catastrófico en el centro de datos.

  • Objetivo de Tiempo de Recuperación (RTO): Menor a 4 horas para el restablecimiento completo de las funciones críticas del sistema ante incidencias críticas de severidad alta.



Backups, Respaldos y Recuperación



  • Copias de seguridad automatizadas diarias con una política de retención y custodia completa de 30 días.

  • Capacidad técnica de recuperación en el tiempo (Point-in-time recovery) disponible para restaurar el estado exacto del sistema ante corrupciones de datos imprevistas.

  • Réplicas de los respaldos alojadas de forma redundante en zonas geográficas separadas del centro de datos principal para contingencias de fuerza mayor o desastres naturales.



Actualizaciones e Integración Continua (CI/CD)


La plataforma evoluciona mediante despliegues continuos controlados (CI/CD) utilizando metodologías de despliegue sin tiempo de inactividad (Zero-Downtime Deployments). Los cambios estructurales en el esquema de PostgreSQL se aplican de forma aislada mediante migraciones secuenciales estrictamente auditadas. Cualquier modificación técnica que altere los flujos operativos existentes es documentada y comunicada con antelación en las notas de lanzamiento del panel de gestión.



Monitorización Activa


Fitenza dispone de monitorización proactiva y telemetría 24/7 que evalúa constantemente los indicadores clave de rendimiento (KPI): latencia de respuestas de la API, volumen de consultas de base de datos, tasas de error en las llamadas de red y disponibilidad de servicios externos asociados. El sistema dispara alertas automatizadas inmediatas ante cualquier anomalía para su resolución proactiva por el equipo técnico.



Cumplimiento Normativo de la Infraestructura



  • Cumplimiento estricto del RGPD (Reglamento General de Protección de Datos) de la Unión Europea y de la LOPDGDD en España.

  • Estándar PCI DSS: Fitenza no almacena, transmite ni procesa datos de tarjetas bancarias directamente en sus servidores. Toda la infraestructura tecnológica de recaudación y pasarela integrada por los centros (Stripe Connect) opera bajo cumplimiento certificado de Nivel 1 de PCI DSS, el estándar más estricto de la industria financiera.