K
KANDIMA
Iniciar sesiónEmpezar gratis
KANDIMA · Legal

Seguridad

Última actualización: 13 de mayo de 2026

Tu data financiera y de marketing es lo más sensible que nos confías. Esta página resume cómo protegemos esa información, qué controles técnicos aplicamos y cómo reportar vulnerabilidades.

1. Cifrado

  • En reposo: AES-256 sobre todo el storage de Postgres (Supabase).
  • En tránsito: TLS 1.3 para todo tráfico HTTP. HSTS habilitado en kandima.ai.
  • Tokens OAuth: los access/refresh tokens de tus integraciones (Shopify, Meta, Google, etc.) se cifran con AES-256-GCM antes de persistirse.

2. Aislamiento entre clientes

KANDIMA usa Postgres con Row-Level Security (RLS) habilitado en cada tabla con datos de cliente. Toda query incluye un check `user_id = auth.uid()` impuesto por el motor de DB — no podés ver datos de otro merchant aunque lo intentes con SQL injection.

3. Autenticación

  • Clerk como proveedor de identidad — passwords bcrypt, 2FA disponible, email verification obligatorio.
  • JWTs firmados con rotación automática de keys.
  • Soporte para passkeys (WebAuthn), GitHub OAuth y Google OAuth para login federado.

4. Acceso a infraestructura

  • Acceso humano a producción restringido al founder + 2FA obligatorio.
  • Audit log inmutable de toda operación admin (panel `/dashboard/admin/audit`).
  • Sin SSH abierto a internet — toda la infra es serverless (Vercel + Supabase).

5. Compliance

  • GDPR (UE) — base legal documentada por flujo, derecho a portabilidad y eliminación cumplidos vía /data-deletion.
  • LGPD (Brasil) — equivalente a GDPR, mismas garantías.
  • Ley 25.326 (Argentina) — cumplida.
  • SOC 2 Type II — en evaluación con auditor externo, ETA Q4 2026.

6. Backups y disaster recovery

  • Backups automáticos diarios con retención de 30 días (Supabase).
  • Point-in-time recovery (PITR) hasta 7 días atrás.
  • RPO < 24h · RTO < 4h.

7. Política de retención

  • Datos de cuenta: mientras dure la suscripción + 30 días post-cancelación.
  • Datos analíticos crudos: 90 días, después agregados anónimos.
  • Logs operacionales: 30 días.
  • Audit logs (compliance): 7 años.

8. Reportar una vulnerabilidad

Si encontrás una vulnerabilidad escribinos a security@kandima.ai con detalles técnicos y, si es posible, un proof-of-concept. Te respondemos en menos de 48h hábiles. No tenemos bug bounty público formal todavía pero reconocemos públicamente y compensamos materialmente cualquier reporte responsable que confirme un issue de impacto real.

9. No hagas

  • Pentests automatizados sin coordinarlo previamente con nosotros.
  • DoS / DDoS contra producción.
  • Acceso a datos de otros usuarios (si encontrás cómo, reportalo, no lo explotes).
  • Ingeniería social a empleados o usuarios.

10. Status del sistema

Uptime y status público en /status.