Seguridad y Cumplimiento
Tus datos son el alma de tu negocio. Los tratamos como los nuestros — porque operamos nuestra propia cartera activa de cobros sobre la misma plataforma. Aquí te explicamos exactamente cómo los protegemos.
Certificaciones y estándares
Infraestructura
RentingOS se ejecuta sobre Microsoft Azure (región East US 2) con los siguientes controles de defensa en profundidad:
- Azure App Service con TLS gestionado, parcheo automático y protección DDoS
- Azure Database for PostgreSQL Flexible Server con réplicas de alta disponibilidad, copias de seguridad diarias automatizadas y restauración a un punto en el tiempo de 30 días
- Azure Blob Storage para carga de archivos con replicación geo-redundante
- Azure Key Vault para gestión de secretos (sin credenciales en texto plano en el código ni en el entorno)
- Azure Front Door / CDN para caché global en el borde + protección WAF
Cifrado
En tránsito
- TLS obligatorio en todos los endpoints (HTTPS, TLS 1.2+)
- HSTS preload para app.rentingos.com y api.rentingos.com
- Cabeceras CSP estrictas, X-Frame-Options, X-Content-Type-Options
En reposo
- Cifrado en reposo para el almacenamiento de la base de datos (claves gestionadas por Azure)
- Archivos cargados por clientes cifrados en reposo en Blob Storage
- Instantáneas de respaldo cifradas con claves KMS separadas
Pagos y cumplimiento PCI
RentingOS nunca almacena ni procesa números de tarjeta de crédito en bruto. Todos los datos de pago son tokenizados por Stripe antes de llegar a nuestros servidores (alcance PCI DSS SAQ-A). Esto significa:
- Números de tarjeta, CVV y datos completos de banda — nunca tocan nuestra infraestructura
- Solo vemos los últimos 4 dígitos, la marca y la fecha de vencimiento (para recibos)
- Stripe está certificado en PCI DSS Nivel 1 (el nivel más alto)
- Postura de cumplimiento: stripe.com/security
Control de acceso
- Aislamiento multi-tenant — cada consulta se delimita por tenant_id en la capa ORM; verificado mediante pruebas automatizadas en cada despliegue
- Control de acceso basado en roles (RBAC) — OWNER, ADMIN, MEMBER, VIEWER por espacio de trabajo
- SSO con Microsoft Entra ID — en el roadmap para Enterprise (SAML / OAuth 2.0 / OIDC)
- 2FA — basado en TOTP, opcional en Starter, obligatorio en Enterprise
- Registro de auditoría — cada creación/actualización/eliminación registrada con actor + marca de tiempo + IP, conservado 12 meses
- Expiración de sesión — 30 días de inactividad, límite máximo de 90 días
Seguridad de la aplicación
- Escaneo de dependencias en cada commit (Dependabot + Snyk)
- Análisis estático (CodeQL) como requisito para fusionar a main
- Protección contra inyección SQL mediante consultas parametrizadas (Prisma ORM)
- Tokens CSRF en todos los endpoints que modifican estado
- Límite de tasa en endpoints de autenticación y API (100 req/min/IP por defecto)
- Firmas de webhook verificadas para todos los eventos entrantes de Stripe
Copias de seguridad y recuperación ante desastres
- Base de datos: instantáneas diarias automatizadas, retención de 30 días, PITR de 35 días
- Archivos: replicación geo-redundante (East US 2 ↔ West US 2)
- Objetivo RTO: 4 horas
- Objetivo RPO: 1 hora
- Simulacro trimestral de recuperación con verificación de restauración desde copia de seguridad
Retención y eliminación de datos
- Datos de clientes activos: conservados mientras la suscripción esté activa
- Cuentas canceladas: periodo de gracia de 30 días para exportar, luego eliminación permanente
- Registros financieros: conservados 7 años según los requisitos fiscales de EE. UU. (solo lectura tras la cancelación)
- Copias de seguridad: rotadas dentro de los 35 días de la eliminación del origen
- Exportación autoservicio: portabilidad del Artículo 20 del GDPR desde la configuración de la cuenta
Respuesta a incidentes
Si un incidente de seguridad afecta tus datos, nos comprometemos a:
- Notificación inicial dentro de 72 horas de una brecha confirmada (estándar del Artículo 33 del GDPR)
- Correo directo al propietario de la cuenta + actualización de la página de estado en status.rentingos.com
- Informe post-incidente dentro de 14 días describiendo causa raíz, impacto y remediación
- Notificaciones regulatorias según se requiera (autoridades de protección de datos, fiscales estatales, CCPA, etc.)
Divulgación responsable
¿Encontraste una vulnerabilidad? Queremos saberlo. Escribe a [email protected] con:
- Pasos para reproducirla
- Endpoint o función afectada
- Tu información de contacto para dar seguimiento
Nos comprometemos a: acusar recibo en 48h, triar en 5 días hábiles y parchear problemas críticos en 14 días. Aún no tenemos un programa de recompensas pagadas (somos una etapa temprana) pero acreditaremos públicamente a los investigadores y enviaremos merchandising.
Sub-procesadores
Usamos los siguientes terceros verificados para ofrecer el Servicio:
- Microsoft Azure — alojamiento, cómputo, almacenamiento, base de datos
- Stripe, Inc. — pagos con tarjeta, facturación
- Brevo (Sendinblue) — correo transaccional
- WhatsApp Business (Meta) — mensajes de cobranza
- Siigo — facturación electrónica (Colombia)
Roadmap (aún no en uso): integraciones de IA, sincronización contable con QuickBooks y verificación bancaria/ACH se sumarán a esta lista a medida que se habiliten.
Lista completa con regiones y enlaces a los DPA: solicítala a [email protected].
Contacto
- Consultas de seguridad: [email protected]
- Privacidad / DPO: [email protected]
- Legal: [email protected]