Política de seguridad

1. Cifrado

En tránsito: todo el tráfico entre tu navegador y nuestros servidores viaja sobre TLS 1.3. Forzamos HTTPS en todos los dominios.

En reposo: la base de datos y los archivos subidos por los usuarios se almacenan cifrados con AES-256 por nuestro proveedor de plataforma (Supabase, sobre AWS).

Contraseñas: nunca se almacenan en texto plano. El hash y la verificación los gestiona el sistema de autenticación de Supabase con algoritmos modernos de derivación de clave.

2. Infraestructura

Rodaje corre sobre Supabase (base de datos, autenticación, almacenamiento) y Vercel (frontend). Supabase aloja la infraestructura en Amazon Web Services (AWS), región sa-east-1 (São Paulo). AWS posee certificaciones ISO 27001, SOC 2 y PCI DSS Nivel 1; Supabase y Vercel cuentan con SOC 2 Type II.

La base de datos no tiene acceso público directo: el acceso ocurre a través de la API de Supabase con políticas de Row Level Security multi-tenant, que garantizan que cada concesionaria sólo puede ver sus propios datos.

3. Controles de acceso

• Para vos: autenticación por mail + contraseña con confirmación obligatoria. Roles de admin y vendedor por concesionaria. Aislamiento total entre concesionarias a nivel base de datos.
• Para nosotros: el acceso a la consola de Supabase está restringido al equipo técnico responsable, con mail + contraseña fuerte y revisión periódica de quién tiene acceso.

4. Backups

• Backups automáticos diarios gestionados por Supabase.
• Posibilidad de point-in-time recovery dentro de la retención del plan contratado.
• Apuntamos a tener tu información disponible aun ante incidentes; esto se complementa con el procedimiento de la sección 6.

5. Desarrollo

• Cambios al código revisados antes de mergear a producción.
• Dependencias monitoreadas para vulnerabilidades conocidas.
• Buenas prácticas OWASP Top 10 aplicadas en código y queries.

6. Continuidad del servicio

Apuntamos a alta disponibilidad apoyándonos en los SLAs de Supabase y Vercel. Si ocurre un incidente que afecte tu acceso, te avisamos por mail.

7. Respuesta a incidentes

Si ocurre un incidente que afecta tus datos personales, te notificamos a la brevedad razonable y, cuando corresponde, a la AAIP conforme a la Ley 25.326.

8. Borrado seguro

Cuando cancelás tu cuenta, mantenemos los datos durante 30 días para que puedas exportarlos o reactivar la cuenta. Pasado ese plazo, se eliminan de la base activa. Los backups que conserven copias se purgan según la retención del proveedor de plataforma.

9. Reportar una vulnerabilidad

Si descubrís una vulnerabilidad en Rodaje, agradecemos que la reportes responsablemente:

• Escribí a security@rodaje.app.
• Dale tiempo razonable para investigar y mitigar antes de hacerlo público.
• No accedas, modifiques ni divulgues datos de otros usuarios.
• No uses ataques de denegación de servicio ni ingeniería social contra el equipo.

10. Compliance

• Argentina: Ley 25.326 y disposiciones de la AAIP.
• Pagos: los procesa Mercado Pago. Nosotros no almacenamos datos completos de tarjetas.

11. Contacto del equipo de seguridad

Para temas de seguridad: security@rodaje.app.
Para temas de privacidad y protección de datos: privacidad@rodaje.app.