Cuando tu administrador te añade como empleado, recibes un email con un enlace mágico de 7 días. Para activar tu cuenta:
Abre el enlace que recibiste por email.
Verás los datos de tu invitación (nombre de la empresa, tu rol).
Define tu contraseña personal (mínimo 8 caracteres, mayúscula, minúscula y dígito).
Acepta los términos.
Click Activar mi cuenta → entras directo a la app.
Tu email queda verificado automáticamente. El administrador nunca ve tu contraseña — solo tú la conoces.
Si el enlace ha caducado, pídele al admin que te envíe una invitación nueva.
Ve a signup.html y rellena los datos: nombre de la empresa, email de administrador, contraseña. En menos de 60 segundos tu workspace estará listo con un empleado admin (tú) y un departamento por defecto que podrás renombrar.
El plan Free es gratuito para siempre hasta 5 empleados. Cuando crezcas, puedes pasar a Pro o Enterprise sin perder datos.
Te recomendamos esta secuencia:
Configura la empresa: nombre, logo, color corporativo, dirección, CCAA (para festivos). Ve a Configuración → Branding.
Crea departamentos: Ventas, RRHH, Operaciones… Ve a Departamentos.
Invita a tus empleados: Empleados → Invitar empleado. Cada uno recibirá un magic-link.
Configura horarios estándar: Horarios. Por defecto 9-18 con 1h pausa.
Importa festivos: Festivos → Importar para CCAA. Carga los oficiales de tu comunidad.
Activa Compliance si tienes plan Pro/Enterprise: Cumplimiento → Convenios + Contratos.
Fichaje
Desde la app (o app.html):
Al empezar tu turno → click Fichar entrada (botón verde).
Si haces pausa para comer → click Pausa, vuelve a fichar al volver.
Al terminar → click Fichar salida (botón rojo).
Si tu empresa tiene geofence activo, debes estar dentro del radio configurado (típicamente 100-300m de la oficina). Si estás fuera, el botón aparecerá deshabilitado con un aviso.
Tu administrador ha activado geofencing: solo puedes fichar dentro de un radio determinado alrededor de la ubicación de la oficina. Esto es habitual en empresas con presencia física obligatoria.
Posibles soluciones:
Asegúrate de tener el GPS de tu dispositivo activado.
Da permisos de ubicación al navegador (Safari, Chrome).
Si trabajas en remoto autorizado, pídele al admin que añada tu ubicación a las ubicaciones permitidas o suba el radio.
Si tu empresa usa kiosko tablet (tablet compartida en la entrada), ese kiosko tiene ubicación fija y no se mueve.
Tienes dos opciones según los permisos que te haya dado tu empresa:
Solicitar corrección: ve a Mis jornadas → click en el día problemático → Solicitar corrección. Tu manager recibe la solicitud por email y aprueba o rechaza.
Si tienes permiso de auto-edición: puedes editar directamente añadiendo motivo. Queda en el log de auditoría (edited_by + edit_reason) y cuenta a efectos de compliance.
Si llevas semanas acumulando jornadas sin corregir, contacta con tu manager — el RD 8/2019 obliga a registrar la jornada real.
El modo kiosko es una tablet compartida (típicamente en la entrada de la oficina) donde los empleados fichan con un PIN o QR personal. Útil cuando:
Los empleados no tienen móvil corporativo.
Trabajos físicos sin pantalla (almacén, planta).
Empresa quiere consolidar fichajes en un solo dispositivo.
El admin lo configura en Configuración → Kiosko, genera el PIN/QR de cada empleado y lanza la URL app.html?kiosk=1 en pantalla completa.
Vacaciones y ausencias
Ve a Vacaciones en el menú lateral → Nueva solicitud:
Selecciona el tipo: vacaciones, baja médica, permiso, asuntos propios, formación…
Selecciona fechas de inicio y fin.
Opcional: añade un motivo.
Click Enviar solicitud.
Tu manager recibe email con la solicitud y puede aprobar/rechazar desde la app o desde el email directamente.
Puedes consultar tu saldo de vacaciones en el dashboard (cuántos días te quedan).
Recibirás notificación por email + aparecen en tu Bandeja de aprobaciones dentro del panel admin. Cada solicitud muestra:
Quién la solicita + cuántos días.
Saldo restante del empleado.
Otros empleados del equipo ausentes en esas fechas (avisos de cobertura).
Click Aprobar o Rechazar con motivo. El empleado recibe email automático con la decisión.
Como admin, ve a Festivos → Importar para CCAA. Selecciona la comunidad autónoma y el año (2025, 2026…) y se cargarán automáticamente los festivos nacionales + autonómicos oficiales.
Puedes añadir festivos locales manuales (ej. fiesta del municipio) con el botón Añadir festivo.
Si tienes varias oficinas en distintas CCAA, usa Ubicaciones para asignar a cada oficina su catálogo de festivos.
Compliance RD 8/2019
El Real Decreto-Ley 8/2019 obliga a registrar la jornada de todos los trabajadores en España, con garantías de integridad e inalterabilidad. TimeTrack lo cumple así:
Firma criptográfica: cada fichaje queda firmado con HMAC-SHA256.
Chain-hash inalterable: cada fichaje encadena el hash del anterior (Merkle-style). Cualquier modificación posterior rompe la cadena y es detectable.
Audit log inmutable de todas las ediciones (con motivo obligatorio + editor + timestamp).
Resumen mensual firmable por el empleado (PDF con QR de verificación).
Export Inspección de Trabajo en formato oficial (CSV con BOM + UTF-8 + separador semicolon).
Retención 4 años + anonimización automática conforme al Art. 17 RGPD.
Festivos oficiales por CCAA + convenio colectivo configurable.
El día 1 de cada mes recibirás un email con tu resumen del mes anterior. Para firmarlo:
Ve a Mis jornadas → Resumen mensual.
Verifica que las horas trabajadas, esperadas y balance son correctas.
Click Firmar resumen. Se sella un acknowledgment con timestamp + tu user_id.
Si detectas errores, NO firmes — antes solicita correcciones a tu manager. Una vez firmado, queda como conforme conforme al RD 8/2019.
Solo admins/payroll: ve a Cumplimiento → Export Inspección. Selecciona:
Rango de fechas (típicamente requeridos los últimos 4 años o un periodo específico).
Empleados (todos o filtrar).
Descargarás un CSV con: DNI/NIE, nombre completo, fechas, horas de entrada/salida, signature_hash, chain_index. Formato BOM+UTF-8+semicolon (abre en Excel sin problemas).
El export queda registrado en el audit_log con tu user_id + IP por trazabilidad.
Nóminas
Tenemos exportadores nativos para:
A3 Nóminas (Wolters Kluwer) — formato .DAT
Sage Nóminas — formato CSV oficial
ContaPlus (Sage Despachos) — formato XLS
Cegid Net (ex Meta4) — formato CSV
NominaPlus — formato CSV genérico
Para CCC/SS también exportamos Sistema RED. Y cualquier ERP que acepte CSV puede consumir nuestro export genérico.
El admin configura cada concepto con su multiplicador y condiciones de aplicación. TimeTrack calcula automáticamente al cierre del mes y los incluye en el export de nóminas.
Cuenta y acceso
En la pantalla de login click ¿Olvidaste tu contraseña?. Introduce tu email y recibirás un link de recuperación válido 1 hora. Click el link → define una contraseña nueva → entras directo a la app.
Si no recibes el email en 5 minutos: revisa spam, verifica que el email es el correcto, contacta al admin de tu empresa por si la cuenta está desactivada.
Ve a Mi perfil → Email. Verás:
Si tu email está verificado: badge verde "Verificado".
Si no lo está: aparece un banner amarillo permanente con botón "Reenviar verificación".
Para cambiar email: introduce el nuevo email + click "Solicitar cambio". Recibirás verificación en la nueva dirección. Hasta que confirmes, el email antiguo sigue activo.
Ve a Mi perfil → Seguridad → 2FA. Verás un QR para escanear con tu app TOTP preferida (Google Authenticator, Authy, 1Password, Bitwarden).
Escanea el QR.
Introduce el código de 6 dígitos que muestra tu app.
Guarda los códigos de backup en un lugar seguro (te servirán si pierdes el teléfono).
2FA queda activo. En tu próximo login te pedirá el código.
Si tu empresa tiene plan Enterprise, el admin puede forzar 2FA obligatorio para todos.
Ve a Mi perfil → Sesiones. Verás un listado de todas tus sesiones activas con:
Dispositivo (iPhone, MacBook, Chrome Windows…)
IP + ubicación aproximada
Última actividad
Badge "Esta sesión" en la actual
Click el botón rojo "Cerrar" en cualquier sesión sospechosa → queda revocada inmediatamente (JWT inválido). Si todas son sospechosas, cierra TODAS (excepto esta) y luego cambia la contraseña.
Administración
Alta: ve a Empleados → Nuevo. Rellena nombre, email, departamento, fecha de incorporación. Recomendamos marcar la casilla "Enviar invitación por email" → recibe magic-link y se autoactiva.
Baja: en lugar de borrar (rompe históricos), desactiva al empleado: Empleados → click empleado → Toggle "Activo" OFF. Sus fichajes históricos siguen disponibles, no aparece en bandejas activas, y no cuenta en tu facturación Pro.
Solo borra empleados que se crearon por error o duplicados.
Manager: gestiona su equipo — aprueba ausencias, ve jornadas, edita horarios. No accede a nóminas ni compliance.
Payroll/RRHH: ve y exporta jornadas + nóminas + compliance. No modifica configuración técnica.
Empleado: ficha, solicita ausencias, consulta documentos y resumen mensual.
Los permisos son granulares — el admin puede asignar al manager permisos extra (ej. ver nóminas de su equipo) desde Configuración → Permisos → Roles personalizados.
Sí. Ve a Administración → Audit log. Verás todas las acciones críticas:
Logins / logouts / revocaciones de sesión.
Creación / modificación / eliminación de empleados, horarios, fichajes.
Cambios de configuración (geofence, branding, integraciones).
Exports masivos (Inspección, nóminas, PDF).
Cambios de roles + permisos.
Cada entrada tiene timestamp + user_id + IP + acción + recurso + diff (qué cambió). Inmutable: no puede borrarse desde la UI (solo retention automática a los 4 años).
API e integraciones
1. Ve a Administración → API Tokens y crea un Personal Access Token (PAT) con los scopes que necesites.
2. Usa el token como Authorization: Bearer pat_xxx en tus requests.
3. Consulta la documentación OpenAPI 3.1 con 67 endpoints documentados — incluye "Try it out" inline para probar sin Postman.
Rate-limit: 600 requests/minuto por defecto. Headers X-RateLimit-* en cada response. El consumer dashboard en admin te muestra tus consumos.
Ve a Administración → Webhooks salientes. Crea un endpoint:
URL: la URL que recibirá los POST.
Eventos: selecciona de la lista (time_entry.created, absence.approved, employee.created, account.session.revoked, auth.password.changed, etc.). 17 eventos disponibles.
Secret: TimeTrack firma cada payload con HMAC-SHA256 — verifica el header X-TimeTrack-Signature en tu endpoint.
Reintentos automáticos con backoff exponencial 1m → 5m → 30m → 2h hasta 24h. Visualiza fallos en el panel.
Adapters pre-configurados: Slack, Microsoft Teams, Discord. Pega solo la webhook URL del canal y TimeTrack mappea los eventos a mensajes formateados automáticamente.
Google Sign-In (todos los planes): disponible en la pantalla de login si el admin lo activa.
Microsoft / Azure AD (Plan Pro): SSO OAuth2 con tu tenant Azure.
SAML 2.0 (Plan Enterprise): integración con Okta, OneLogin, Ping Identity, JumpCloud, Auth0, Keycloak. Auto-provisioning de empleados desde el IdP.
Configuración en Configuración → Identidad → SSO.
Seguridad y privacidad
Hosting en la Unión Europea (España + Alemania como zonas redundantes). No usamos proveedores fuera del EEE para los datos primarios. Sub-processors detallados en Información Legal → Sub-processors.
Cumplimos RGPD (Art. 6.1.b, 13, 15, 17, 20, 28, 32) y la sentencia LG München 20/01/2022 evitando Google Fonts (usamos Bunny Fonts) y Google Maps (usamos Leaflet+OpenStreetMap).
En tránsito: TLS 1.3 obligatorio. HSTS con preload. CSP estricta. SAMEORIGIN.
En reposo: las contraseñas con bcrypt cost 12. Tokens (reset, verify, invitations, PAT) almacenados como SHA-256 hash — el plaintext nunca persiste.
Backups: cifrados AES-256 + retención 30 días + rotación de clave anual.
Documentos uploadeados: cifrado en reposo + acceso solo con JWT del propietario + permisos.
Gracias por la disclosure responsable. Tenemos un programa de bug bounty:
Reporta la vuln por email cifrado a security@timetrack.app (PGP key en security.txt).
Te respondemos en 24h con acknowledgment.
Tras validación + fix, te enviamos la recompensa según severidad (CVSS).
Con tu permiso, te listamos en el Hall of Fame.
NO uses Twitter / GitHub Issues / formulario de contacto público para reportes de seguridad.
Facturación
Ve a Configuración → Facturación → Plan. Verás tu plan actual y los disponibles.
Free → Pro: instantáneo, prorrateamos lo que queda del mes. Empieza una prueba de 14 días sin tarjeta.
Pro → Enterprise: contacta con ventas (ventas@timetrack.app) para negociar términos.
Pro → Free (downgrade): efectivo al final del periodo actual. Si tienes > 5 empleados, debes desactivar los excedentes antes.
Ve a Configuración → Facturación → Histórico. Verás todas tus facturas mensuales descargables en PDF.
Asegúrate de tener razón social + NIF + dirección fiscal rellenos en Configuración → Empresa → Datos fiscales para que las facturas se emitan correctamente.
IVA 21% se aplica solo si tu NIF es español. Empresas UE con NIF intracomunitario validado pueden activar el reverse charge (sin IVA en factura).
Lamentamos verte ir. Como admin de tu workspace:
Ve a Configuración → Facturación → Plan → click Cancelar suscripción. Mantienes acceso hasta el final del periodo pagado.
Antes de borrar datos, te recomendamos exportar tu información: jornadas, empleados, documentos. Ve a Configuración → Datos → Export RGPD.
Para borrado total: Configuración → Datos → Eliminar workspace. Confirmación con password. Ejecuta el right-to-erasure del Art. 17 RGPD.
Procesamos la eliminación en máximo 30 días (típicamente 24h). Datos en backups cifrados pueden tardar hasta 90 días en purgar.