Seguridad
Última actualización: 10 de junio de 2026
1. Cifrado
Todo el tráfico entre sus dispositivos y Buildero se cifra en tránsito con TLS 1.2 o superior; las conexiones con protocolos más antiguos se rechazan. Los datos en reposo, incluida la base de datos y los archivos subidos, se cifran con AES-256. Los datos de tarjetas de pago nunca pasan por nuestros servidores: se envían directamente a Stripe a través de su propia conexión cifrada, y nosotros solo guardamos una referencia tokenizada.
2. Infraestructura
Buildero opera sobre Vercel (alojamiento y entrega de la aplicación) y Supabase (base de datos PostgreSQL, autenticación y almacenamiento de archivos). Ambos proveedores mantienen cumplimiento SOC 2 Tipo II, y todos los datos de producción se alojan en regiones de Estados Unidos. No operamos servidores físicos propios: la actualización de sistemas, la seguridad de red y los controles de acceso físico están a cargo de estos proveedores bajo sus programas de cumplimiento.
3. Aislamiento Multiempresa
Buildero es un sistema multiempresa, y el aislamiento entre compañías se aplica a nivel de base de datos, no solo en el código de la aplicación. Cada consulta a la base de datos pasa por la seguridad a nivel de fila (RLS) de PostgreSQL, con la identidad de la empresa solicitante establecida en la conexión antes de ejecutar la consulta. Incluso si el código de la aplicación tuviera un error, la propia base de datos se niega a devolver o modificar registros que pertenecen a otra empresa.
4. Autenticación
El inicio de sesión está a cargo de Supabase Auth. Las contraseñas se almacenan como hashes bcrypt con sal y nunca se guardan ni se registran en texto plano. Las sesiones usan cookies seguras de tipo HTTP-only, y todas las solicitudes que modifican datos están protegidas contra falsificación de solicitudes entre sitios (CSRF). En las aplicaciones móviles puede activar el desbloqueo biométrico (Face ID, Touch ID o huella digital); las credenciales se guardan en el almacenamiento seguro del dispositivo, nunca en texto plano. Dentro de su cuenta, el control de acceso por roles (Propietario, Administrador, Capataz, Trabajador) limita lo que cada miembro del equipo puede ver y hacer.
5. Subprocesadores
Dependemos de los siguientes subprocesadores para operar el Servicio. Cada uno recibe únicamente los datos necesarios para su función: • Supabase — base de datos, autenticación, almacenamiento de archivos • Vercel — alojamiento y entrega de la aplicación • Stripe — procesamiento de pagos • Anthropic — funciones de IA (modelos Claude) • Resend — correo electrónico transaccional • PostHog — analítica de producto • Sentry — monitoreo de errores • Cloudflare — protección contra bots (Turnstile) • Upstash — limitación de velocidad • Twilio — mensajería SMS No vendemos sus datos, y ningún subprocesador está autorizado a usarlos con fines publicitarios.
6. Divulgación Responsable
Si cree haber encontrado una vulnerabilidad de seguridad en Buildero, escriba a security@buildero.ai con una descripción y los pasos para reproducirla. Procuramos confirmar la recepción de los reportes dentro de 72 horas, y no emprenderemos acciones legales contra la investigación de seguridad realizada de buena fe. Los datos de contacto en formato legible por máquina están publicados en /.well-known/security.txt conforme al RFC 9116. Por favor, realice pruebas únicamente con su propia cuenta y nunca acceda a datos que pertenezcan a otros clientes.
7. Retención y Eliminación de Datos
Sus datos permanecen en su cuenta mientras usted la mantenga. Cuando elimina registros — o su cuenta completa — los datos activos se borran, y las copias de seguridad cifradas que los contienen expiran automáticamente según un calendario continuo, en lugar de conservarse indefinidamente. Para solicitar la eliminación total de los datos de su empresa, escriba a support@buildero.ai; completamos las solicitudes de eliminación dentro de 30 días.