Política de Seguridad

En SAFFI, la seguridad de los datos de tu negocio y de tus clientes es nuestra máxima prioridad. Gestionamos información sensible de operaciones de car wash y detailing, incluyendo datos de clientes, vehículos y transacciones financieras.

Implementamos medidas de seguridad técnicas y organizativas conforme a los estándares actuales de la industria SaaS.

• Hosting: la plataforma se despliega sobre Vercel Edge Network, con nodos distribuidos globalmente para minimizar la latencia y maximizar la disponibilidad.
• Base de datos: Supabase (PostgreSQL gestionado), desplegado sobre AWS con alta disponibilidad.
• Backups: copias de seguridad automáticas diarias con retención de 30 días. Los planes Enterprise incluyen backups adicionales bajo demanda.
• Disponibilidad: objetivo de uptime del 99.5% mensual. El estado del sistema está disponible en status.saffi.app.

En tránsito

• Todas las comunicaciones entre tu navegador/app y los servidores de SAFFI usan HTTPS con TLS 1.3.
• Los certificados SSL son gestionados automáticamente y renovados antes de su vencimiento.
• No se permiten conexiones sin cifrar (HTTP).

En reposo

• Todos los datos almacenados en la base de datos están cifrados con AES-256.
• Las contraseñas de usuario nunca se almacenan en texto plano — se usa hashing seguro con bcrypt.
• Los datos de pago son gestionados exclusivamente por Stripe (certificación PCI DSS Level 1). SAFFI nunca almacena datos de tarjetas de crédito.

• Autenticación segura: gestionada por Supabase Auth con tokens JWT de corta duración y refresh tokens rotados.
• Contraseñas: mínimo 8 caracteres. Recomendamos el uso de gestores de contraseñas.
• Sesiones: expiración automática por inactividad.
• Row Level Security (RLS): aislamiento estricto de datos por tenant implementado a nivel de base de datos. Ningún usuario puede acceder a los datos de otro negocio, incluso en caso de error de aplicación.
• Roles granulares: dentro de cada negocio, puedes asignar permisos específicos a cada miembro del equipo (Admin, Manager, Técnico, etc.).

SAFFI utiliza Stripe para el procesamiento de pagos, uno de los proveedores más seguros del mundo:

• Certificación PCI DSS Level 1 (el nivel más alto).
• Los datos de tarjetas de crédito nunca pasan por los servidores de SAFFI.
• Detección de fraude integrada mediante Stripe Radar.
• Autenticación 3D Secure cuando aplica.

• El acceso de empleados de SAFFI a los datos de producción está restringido al mínimo necesario (principio de mínimo privilegio).
• El acceso administrativo a la base de datos requiere autenticación de múltiples factores.
• Todos los accesos internos quedan registrados en logs de auditoría.
• El personal de soporte solo accede a los datos de un cliente con su consentimiento explícito y para resolver incidencias.

En caso de detectarse una brecha de seguridad:

• Tiempo de respuesta: evaluación inicial en menos de 4 horas.
• Notificación: informaremos a los clientes afectados en un plazo máximo de 72 horas desde la detección, conforme a los requisitos legales aplicables.
• Transparencia: publicaremos un informe post-incidente con las medidas adoptadas.
• Remediación: implementaremos las correcciones necesarias para evitar recurrencias.

La seguridad es una responsabilidad compartida. Te recomendamos:

• Usar una contraseña única y robusta para tu cuenta SAFFI.
• No compartir tus credenciales con otras personas — cada usuario debe tener su propia cuenta.
• Cerrar sesión cuando uses dispositivos compartidos.
• Revocar el acceso de empleados que ya no formen parte de tu equipo desde Configuración → Equipo.
• Revisar periódicamente los permisos asignados a cada usuario.
• Notificarnos inmediatamente si sospechas que tu cuenta ha sido comprometida.

SAFFI cumple con las principales normativas de protección de datos aplicables a nuestros clientes:

• RGPD / GDPR: para clientes en la Unión Europea.
• LOPD-GDD: para clientes en España.
• CCPA: para clientes en California (EE.UU.).

Actualizamos continuamente nuestras prácticas de seguridad para adaptarnos a los cambios normativos y a la evolución del panorama de amenazas.