Última actualización: junio de 2026
Describimos las medidas técnicas y organizativas que aplicamos hoy para proteger el Servicio y los datos. Solo enumeramos controles efectivamente implementados; las mejoras planificadas se identifican como tales.
Todo el tráfico viaja sobre HTTPS/TLS, con cabeceras de seguridad en el frontend (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy). El cifrado de los datos en reposo lo gestiona nuestra infraestructura de base de datos y almacenamiento (Supabase/PostgreSQL).
La autenticación usa Supabase Auth con tokens JWT y renovación de sesión. El aislamiento entre clientes se aplica con Row Level Security (RLS) por identificador de usuario en las tablas sensibles, reforzado con guardas internas en las funciones privilegiadas de base de datos. Un test automatizado de aislamiento verifica que un tenant no pueda leer ni escribir datos de otro.
Las funciones de servidor (edge) validan su autorización mediante JWT, firma HMAC en los webhooks (Meta, Mercado Pago, Paddle) o un secreto de cron, según el caso. Una auditoría automatizada verifica que cada función exponga una guarda explícita. El acceso entre orígenes se restringe con una lista de orígenes permitidos.
Aplicamos enmascaramiento de PII (maskPII) sobre teléfonos y emails en los registros de procesamiento, y redacción de secretos (claves, tokens) antes de cualquier registro. El monitoreo de errores (Sentry) está configurado para no enviar PII de forma automática.
Aplicamos límites de tasa, un cortacircuitos (circuit breaker) y un presupuesto central anti-abuso que frena de forma segura el consumo de IA, archivos, embeddings y envíos. Un guarda de entrada bloquea inyección de prompts y cargas maliciosas; los intentos reiterados de manipular el asistente derivan en bloqueo.
Mantenemos una batería de pruebas automatizadas que se ejecutan en integración continua: aislamiento entre tenants, auditoría de autorización de funciones edge, control del presupuesto anti-abuso y pruebas adversariales contra los modelos de IA.
No declaramos certificaciones (p. ej. SOC 2) a la fecha. La verificación en dos pasos TOTP opcional está disponible para cuentas y es obligatoria para eliminar una cuenta; los backups gestionados con recuperación a un punto en el tiempo (PITR) y la protección contra contraseñas filtradas se habilitan al pasar a Supabase Pro, antes de incorporar clientes con datos reales en producción.
Usamos cookies esenciales y de analítica para mejorar tu experiencia. Más información