1. Resumen
Esta página describe las medidas de seguridad que protegen sus datos en Brainpercent, operado por Brainpercent, LLC (Delaware, EE.UU.). Describimos solo lo que realmente existe hoy. No afirmamos tener certificaciones que no poseemos. Para saber cómo procesamos datos personales, consulte nuestra Política de Privacidad y el Anexo de Procesamiento de Datos (DPA).
2. Cifrado
Sus datos están cifrados en cada etapa:
- En reposo: cifrado AES-256 para la base de datos y el almacenamiento de archivos (Supabase Postgres y Storage, alojados en la UE, región de Fráncfort).
- Tokens de cuentas conectadas: los tokens OAuth de sus cuentas sociales conectadas se cifran adicionalmente a nivel de aplicación con AES-256-GCM, con un vector de inicialización único y una etiqueta de autenticación por secreto.
- En tránsito: TLS 1.2 o superior para todas las conexiones entre su navegador, nuestros servidores y nuestros proveedores de servicios.
3. Control de Acceso
El acceso a sus datos está restringido en múltiples capas:
- Seguridad a nivel de fila: la seguridad a nivel de fila (RLS) de Postgres limita cada consulta a su propio usuario a nivel de base de datos, de modo que un usuario no puede leer las filas de otro.
- Separación de roles: los clientes de base de datos están separados por roles. El cliente que se ejecuta en su navegador nunca posee credenciales administrativas; las operaciones privilegiadas se ejecutan solo en el servidor.
- Secretos cifrados: las claves API y los secretos de entorno se almacenan cifrados en Vercel y Supabase y nunca se incluyen en el control de versiones.
4. Seguridad de la Aplicación
La aplicación y sus integraciones están reforzadas:
- Cabeceras de seguridad: HSTS y cabeceras de seguridad adicionales se establecen en las respuestas para forzar HTTPS y reducir la superficie de ataque web común.
- Validación de firmas de webhooks: los webhooks entrantes (Stripe, Inngest) se verifican contra sus firmas criptográficas antes de cualquier procesamiento.
- Limitación de tasa: la limitación de tasa distribuida en los endpoints de autenticación ralentiza el relleno de credenciales y los ataques de fuerza bruta.
5. Seguridad de Pagos
Los datos de tarjetas de pago son gestionados íntegramente por Stripe, un procesador de pagos con certificación PCI-DSS. Los números de tarjeta nunca tocan nuestros servidores y nunca los almacenamos. Solo guardamos las referencias no sensibles que Stripe proporciona (como IDs de cliente y de suscripción).
6. Monitoreo y Respuesta a Incidentes
Vigilamos los problemas y nos comprometemos a notificarle cuando importan:
- Monitoreo de errores: los errores de la aplicación se capturan y monitorizan mediante Sentry.
- Notificación de brechas: si una brecha de datos afecta a sus datos personales, notificaremos a los usuarios afectados y a las autoridades pertinentes dentro de las 72 horas cuando la ley lo exija (como el Artículo 33 del RGPD).
7. Limitaciones Actuales
Preferimos la honestidad al teatro de seguridad. Esto es lo que aún no tenemos:
- Empresa de un solo operador: Brainpercent está actualmente construido y operado por una sola persona. No hay equipo de seguridad 24/7 ni separación de funciones entre varias personas. El acceso a producción está limitado a esa única persona, lo que también mantiene mínima la superficie de ataque interna.
- SOC 2 / ISO 27001: aún no disponible. No afirmamos tener SOC 2, ISO 27001 ni ninguna otra certificación que no poseamos, y no hemos completado una prueba de penetración de terceros.
8. Divulgación Responsable
Si cree que ha encontrado una vulnerabilidad de seguridad, escriba a edward@brainpercent.com con el asunto "Security".
Incluya los pasos para reproducirla. Por favor no acceda a datos de otros usuarios, no degrade el Servicio ni divulgue públicamente el problema antes de que hayamos tenido una oportunidad razonable de corregirlo. Leemos cada informe y procuramos responder en 72 horas.