Encriptación at-rest · AES-256
Toda la base Postgres y el bucket de storage cifran al disco con AES-256. La gestión de claves la hace el proveedor de infraestructura (Supabase / Vercel).
§ 01 — Datos
Cómo guardamos tu marca.
Activo
Encriptación in-transit · TLS 1.3
Toda la red entre tu navegador y nuestros servidores pasa por TLS 1.3. HSTS preload activo desde el primer día. Certificados de Let's Encrypt rotados automáticamente.
Region · São Paulo (sa-east-1)
La base de datos vive en São Paulo. Los servers de aplicación corren en Vercel edge global, pero la persistencia es regional. Para enterprise con requisitos de residencia, podemos mover la región.
Backups · diarios + point-in-time
Snapshots diarios de la DB con 7 días de retención. Point-in-time recovery con granularidad de 2 minutos en la ventana de retención. Backup offsite encriptado a un segundo proveedor.
§ 02 — Acceso
Quién puede ver qué.
Row-level Security por Brandcenter
Cada query a la DB pasa por policies de Postgres RLS que filtran filas por membership. No hay un endpoint donde el código del producto pueda ver datos de un brandcenter ajeno — la base es la que niega.
Auth · Supabase + Google OAuth
Sesiones con cookies HTTPOnly, SameSite=Lax. Magic links opcionales. Password reset con tokens de un solo uso (15 min de vida). Lockout suave tras intentos fallidos.
Roles + scopes ortogonales
5 roles (owner / brand manager / editor / guest / reader) × scope por capítulo, mercado o submarca. Una persona puede ser owner en su marca y reader en otra. Detalles en /roles.
SSO · SAML / OIDC
Para clientes enterprise que pidan SSO con su IdP (Okta, Azure AD, Google Workspace). Plan Enterprise incluye configuración asistida.
2FA obligatorio por brandcenter
El dueño puede forzar que todos los miembros tengan 2FA activado antes de poder leer/editar. App-based (TOTP), no SMS.
§ 03 — Auditoría
Quién hizo qué, cuándo.
Activity log append-only
Toda acción que cambie estado (decisión firmada, capítulo publicado, miembro invitado) deja una fila en activity_log. No hay UPDATE ni DELETE — la memoria es archivo, no editable.
Histórico de decisiones
Las decisiones de marca tienen autor, firma, supersede chain y scope. Cambiar una decisión firme requiere supersede (versión nueva), nunca edición destructiva.
Export de log para legal
El dueño puede exportar el activity log completo como CSV firmado por hash para custodia de cadena. Útil para auditoría, legal y compliance.
§ 04 — Compliance
Lo que estamos certificando.
SOC 2 Type I
En proceso con auditor externo. Auditoría ya cerrada en infraestructura cloud; faltan controles internos de gestión. Esperamos report en 2026 Q3.
GDPR · Ley 25.326 (Argentina)
Soporte de export y borrado de datos personales del usuario. DPA disponible para clientes enterprise. Procesamos datos en SA pero podemos garantizar región específica.
Penetration testing · anual
Audit externo de seguridad ofensiva todos los años. Última pasada Q4 2025, sin findings críticos. Report resumido disponible bajo NDA.