Certflo
EN ES

Seguridad

Los datos de tu transportista, blindados por defecto.

Cada documento en Certflo está cifrado, los datos de cada transportista están aislados y cada acceso queda auditado. Aquí va exactamente cómo.

Última actualización · abril de 2026

Cifrado

En tránsito. Todo el tráfico entre tu navegador, la API de Certflo y la capa de almacenamiento de documentos viaja sobre TLS 1.2 o más alto. Las conexiones que bajen de TLS 1.2 se rechazan. HSTS está activo en cada endpoint público.

En reposo. Cada documento que subes se cifra con AES-256 en la capa de almacenamiento. Cada registro en la base de datos Postgres se cifra con AES-256. Los respaldos se cifran con el mismo estándar. No existe una ruta sin cifrar de extremo a extremo.

Aislamiento de inquilinos

Cada transportista es un espacio separado. Los datos no fluyen entre espacios. El aislamiento se aplica de tres formas:

  • Seguridad por fila en Postgres. Cada tabla con datos de usuario tiene una política RLS que controla lecturas y escrituras según la membresía del usuario autenticado a su espacio. La base de datos no devuelve filas de un espacio del que el usuario no es miembro, aunque el código de la aplicación tenga un bug.
  • Aislamiento por ruta de almacenamiento. Cada documento en object storage se guarda en <workspace_id>/<document_id>/<archivo>. La política RLS de almacenamiento revisa la membresía al espacio antes de cualquier lectura o escritura.
  • Sin credenciales compartidas. Cada usuario se autentica de forma individual. Ningún transportista comparte una cuenta de servicio o llave de API.

Acceso por rol

Dentro de un espacio, el acceso se restringe aún más por rol (gerente de sucursal, supervisor, despacho, conductor). Los conductores ven solo sus propios archivos. Despacho ve la asignación de cargas y el estado de cumplimiento, no los detalles de varianzas médicas. Los gerentes de sucursal ven todo lo de su espacio. La aplicación del rol pasa en la capa de datos (políticas RLS), no solo en la interfaz.

Residencia de datos

Toda la infraestructura de Certflo (base de datos, almacenamiento, cómputo) está alojada en Estados Unidos. Tus documentos no salen de centros de datos en EE. UU. en operación normal. La replicación de respaldo entre regiones, si está activa, se queda dentro de regiones de EE. UU.

Respaldos y recuperación

Los respaldos de la base de datos corren a diario y se retienen por 7 días en una ventana móvil por defecto. La recuperación a un punto en el tiempo está disponible para los últimos 7 días. El almacenamiento de documentos tiene copias redundantes en zonas de disponibilidad. Probamos los procedimientos de restauración periódicamente.

Subprocesadores

Certflo usa los siguientes servicios externos para entregar el producto. Cada uno se enlista con su rol y documentación pública de seguridad.

Subprocesador Propósito Ubicación
Supabase Base de datos Postgres, autenticación, object storage Estados Unidos
Cloudflare Hospedaje del sitio de marketing, CDN, protección DDoS Edge global, origen en EE. UU.
Stripe Procesamiento de pagos y facturación Estados Unidos

Certflo no guarda tus datos de tarjeta de crédito. Stripe maneja cada flujo de pago bajo PCI DSS Nivel 1.

Autenticación y sesiones

Las cuentas se autentican con correo y contraseña a través de Supabase Auth. Las contraseñas se hashean con bcrypt y sales por usuario. Las sesiones usan tokens JWT firmados con llaves asimétricas rotativas. Los usuarios que cierran sesión pierden acceso al instante; los tokens comprometidos se pueden revocar desde el servidor.

Limitación de tasa y prevención de abuso

Los endpoints críticos (registro, inicio de sesión, extracción de documentos, aceptación de invitaciones) tienen límite de tasa por IP y por cuenta. Las solicitudes en exceso se rechazan antes de tocar la base de datos. CORS está restringido al origen de la aplicación de Certflo.

Acceso de empleados

Solo los tres co-propietarios de Certflo tienen acceso a la base de datos en producción. Cada acceso queda registrado. No leemos tus documentos como práctica. Si un caso de soporte requiere que veamos registros específicos, te pedimos consentimiento por escrito primero.

Certificaciones de cumplimiento

Certflo es un producto nuevo y aún no completa auditorías independientes como SOC 2 Tipo I. Nuestros proveedores de infraestructura subyacente (Supabase, Cloudflare, Stripe) cuentan con certificaciones SOC 2, ISO 27001 y PCI DSS. Conforme crezca nuestra base de clientes, planeamos buscar SOC 2 directamente.

Respuesta a incidentes

Si ocurre una brecha de datos que afecte los registros de tu transportista, notificaremos a los dueños del espacio afectado por el correo en archivo dentro de las 72 horas posteriores a la detección confirmada. El aviso incluirá qué datos se vieron afectados, lo que sabemos sobre la causa y los pasos que estamos tomando.

Divulgación responsable

¿Encontraste un problema de seguridad? Repórtalo en privado a través del sistema de mensajería dentro de la app o contactando a Mesquite Dev LLC directamente. No abras issues públicos en GitHub ni publiques en público antes de que tengamos oportunidad de responder. Apreciamos a los investigadores que nos dan tiempo para arreglar antes de divulgar.

Tus responsabilidades

La seguridad es un modelo compartido. Tú eres responsable de:

  • Mantener tus credenciales de acceso privadas y únicas
  • Quitar a empleados terminados de tu espacio sin demora
  • Asignar roles de manera apropiada (no le des acceso de despacho a los conductores)
  • Usar un dispositivo de confianza para iniciar sesión

Preguntas

Para preguntas de seguridad o privacidad, escríbenos en el sistema de mensajería dentro de la app o contacta al equipo en Mesquite Dev LLC. Respondemos preguntas de seguridad dentro de un día hábil.

Esta página refleja la postura de seguridad de Certflo a la fecha de la última actualización arriba. Las prácticas pueden cambiar; los cambios materiales se reflejarán aquí y se comunicarán a los clientes activos.