Seguridad

Seguridad en Rentas Cloud

La información de tus propiedades, contratos, arrendatarios y pagos es sensible. Esta página describe, de forma honesta y sin tecnicismos innecesarios, los controles que aplicamos para proteger tus datos en Rentas Cloud (rentas.cloud).

Última actualización: [fecha]

1. Cifrado en tránsito y en reposo

Toda la comunicación entre tu navegador o dispositivo y nuestros servidores viaja cifrada mediante TLS (HTTPS). Esto protege tus datos frente a interceptación mientras circulan por la red. El acceso por conexiones sin cifrar se redirige automáticamente a HTTPS.

En el almacenamiento, la base de datos PostgreSQL y los archivos que subes (contratos, comprobantes, identificaciones) se conservan cifrados en reposo a nivel de disco y de servicio de almacenamiento de objetos. Las credenciales y secretos de la aplicación nunca se almacenan junto al código fuente.

2. Autenticación de usuarios (Auth0)

El inicio de sesión y la gestión de identidades se delegan en Auth0 (Okta), un proveedor especializado en autenticación. Rentas Cloud no almacena contraseñas en su propia base de datos: la verificación de credenciales ocurre del lado de Auth0, que aporta prácticas robustas de manejo de contraseñas, detección de accesos sospechosos y soporte para autenticación reforzada.

Cada sesión se gestiona mediante tokens firmados y de duración limitada, lo que reduce el riesgo asociado al robo de credenciales.

3. Control de acceso por roles

Rentas Cloud es una plataforma multiempresa: cada organización trabaja dentro de su propio espacio de trabajo (workspace) aislado. Todos los datos importantes (propiedades, contratos, pagos, tickets) están asociados a un workspace, y las consultas a la base de datos se filtran por ese identificador para garantizar el aislamiento entre inquilinos del sistema.

Dentro de cada workspace, los miembros tienen roles que determinan qué pueden ver y hacer. El acceso se valida en el servidor antes de ejecutar cualquier operación, de modo que una persona solo accede a la información de las organizaciones a las que pertenece y conforme al rol que le fue asignado.

4. Registros de auditoría

Las acciones relevantes sobre entidades clave —por ejemplo, la actividad sobre tickets y los cambios en pagos y contratos— quedan registradas con su autor y marca de tiempo. Estos registros de auditoría permiten reconstruir qué ocurrió, cuándo y por quién, tanto para fines de soporte como para investigar cualquier incidente.

5. Respaldos

Realizamos respaldos periódicos de la base de datos para poder recuperar la información ante una falla o un borrado accidental. Los respaldos se conservan de forma cifrada. Ten en cuenta que ciertos datos pueden conservarse en respaldos durante un periodo adicional aun después de una solicitud de eliminación, conforme a lo descrito en nuestro Aviso de Privacidad.

6. Infraestructura detrás de Cloudflare

La plataforma opera detrás de Cloudflare, que actúa como red de distribución de contenido (CDN) y capa de seguridad de red. Esto nos aporta:

  • Mitigación de ataques de denegación de servicio (DDoS).
  • Filtrado de tráfico malicioso antes de que llegue a la aplicación.
  • Terminación de TLS y entrega de contenido optimizada por geografía.
  • Almacenamiento de archivos en Cloudflare R2, con acceso mediante URLs firmadas y de duración limitada en lugar de exponer los archivos públicamente.

La aplicación está construida con Next.js y PostgreSQL en un esquema autoalojado, lo que nos da control directo sobre la configuración de seguridad del servidor y de la base de datos.

7. Manejo de secretos

Las llaves de API, cadenas de conexión y demás credenciales se gestionan exclusivamente como variables de entorno en el servidor, separadas del código. No se incluyen en el repositorio ni se exponen al navegador. Cuando una funcionalidad depende de una llave que no está presente en el entorno, simplemente queda deshabilitada en lugar de operar de forma insegura.

8. Sub-procesadores

Para operar, Rentas Cloud se apoya en proveedores externos que procesan ciertos datos en nuestro nombre (por ejemplo, autenticación, almacenamiento, pagos y correo). Publicamos la lista completa, con su propósito y ubicación, en la página de Sub-procesadores.

9. Certificaciones

Queremos ser claros: actualmente no contamos con certificaciones formales como ISO/IEC 27001 o SOC 2. Estas certificaciones están en nuestro roadmap, pero hoy no las tenemos vigentes y no afirmamos lo contrario. Los controles descritos en esta página reflejan prácticas razonables para una aplicación autoalojada de este tipo, no la acreditación de un auditor independiente.

10. Reporte de vulnerabilidades

Si descubres una posible vulnerabilidad o tienes una pregunta sobre la seguridad de la plataforma, escríbenos a [email protected]. Agradecemos el reporte responsable y respondemos a la brevedad posible.

Última actualización: [fecha]

← Volver al inicio