TallerPro← Volver al inicio

Seguridad

Última actualización: 25 de mayo de 2026

La seguridad de la información de tu taller y de tus clientes es central en cómo construimos TallerPro. Esta página describe en términos claros qué medidas técnicas aplicamos y cuáles son sus límites.

Arquitectura multi-tenant

Cada taller (tenant) opera en un espacio lógico aislado. Toda consulta a la base de datos filtra por el identificador del tenant del usuario autenticado. Adicionalmente las tablas del dominio tienen políticas de Row-Level Security a nivel base de datos como segunda capa de defensa.

Cifrado

  • Tráfico en tránsito: HTTPS/TLS 1.2+ para todo el sistema. Las cookies de sesión son httpOnly, secure y SameSite=Lax.
  • Datos at-rest: la base de datos PostgreSQL gestionada por Neon cifra el almacenamiento en disco con AES-256.
  • Contraseñas: nunca se almacenan en texto plano. Usamos hash bcrypt con factor de costo 12.
  • Secretos TOTP (2FA): se cifran con pgcrypto antes de persistirse en la base de datos.

Autenticación y control de acceso

  • Inicio de sesión protegido con captcha (Cloudflare Turnstile) y rate-limiting fail-closed contra fuerza bruta.
  • 2FA TOTP disponible para todos los usuarios. Obligatorio para personal de TallerPro con acceso administrativo.
  • Sistema de roles diferenciados (11 roles) con permisos granulares y validación tanto en UI como en cada server action. Cambios de rol auditados.
  • Bloqueo automático tras intentos fallidos consecutivos y notificación al usuario cuando una sesión se inicia desde un dispositivo nuevo.

Auditoría

  • Audit log inmutable: cada acción mutativa importante (crear OT, cerrar caja, editar cliente, aprobar presupuesto) queda registrada en una tabla append-only con trigger que bloquea UPDATE y DELETE a nivel base de datos.
  • Registramos IP y user-agent en cada decisión crítica (aprobaciones de cliente, cambios de rol, eliminación de datos).
  • Logs técnicos de acceso conservados por 90 días, accesibles solo para personal autorizado bajo principio de mínimo privilegio.

Aprobaciones de cliente vía WhatsApp

  • Cada link de aprobación es un token aleatorio criptográfico de 256 bits, único e irrenovable. La base de datos guarda solo el hash SHA-256, nunca el token plano.
  • Vigencia limitada (72 horas por defecto). Tras la decisión, el token queda invalidado.
  • Rate-limiting por IP para impedir fuerza bruta sobre el espacio de tokens.
  • Decisión guardada con IP, user-agent y timestamp para trazabilidad legal de la aprobación.

Prácticas OWASP

Revisamos el código siguiendo las recomendaciones del OWASP Top 10. En particular validamos en cada server action:

  • Aislamiento de tenant (A01 — Broken Access Control).
  • Validación de entrada con Zod (A03 — Injection).
  • Sin información sensible expuesta en mensajes de error.
  • Logs de actividad para detección y respuesta.

Subprocesadores e infraestructura

Operamos sobre proveedores tecnológicos auditados con prácticas de seguridad reconocidas:

  • Vercel — plataforma de aplicación (SOC 2 Type II).
  • Neon — base de datos PostgreSQL gestionada (SOC 2 Type II).
  • Cloudflare — anti-bot, DDoS mitigation.
  • Upstash — rate-limiting en edge.

Continuidad y respaldo

  • Respaldos automáticos diarios con retención de 14 días.
  • Recuperación point-in-time disponible durante esa ventana.
  • Plan de continuidad documentado para incidentes de mayor escala.

Reporte de vulnerabilidades

Si descubres una vulnerabilidad de seguridad, te pedimos reportarla de forma responsable a seguridad@tallerpro.io. Nos comprometemos a responder en 48 horas hábiles. Agradecemos la divulgación coordinada antes de hacer pública cualquier información sobre el incidente.

Notificación de incidentes

En caso de un incidente que comprometa datos personales, notificaremos a los afectados y a la autoridad competente (APDP) en los plazos previstos por la Ley N° 29733 y su Reglamento.

Lo que no afirmamos

Ningún sistema en internet es 100% invulnerable. No afirmamos “seguridad bancaria absoluta” ni cumplimiento certificado de estándares que no hemos auditado formalmente. Lo que sí hacemos es aplicar prácticas de seguridad reconocidas, mejorar continuamente, y ser transparentes sobre los riesgos. Si tu taller maneja datos altamente sensibles que requieran certificaciones específicas (ISO 27001, PCI DSS), contáctanos para discutir si TallerPro encaja con esos requisitos.

Contacto

Para consultas sobre nuestra postura de seguridad: seguridad@tallerpro.io.