Seguridad y cumplimiento
Protegemos los datos de nuestros clientes con encriptación de grado bancario, aislamiento total entre cuentas, y monitoreo continuo por agentes de IA.
27/27
Controles activos
6
Certificaciones
6
Proveedores SOC 2
Tokenización de pagos — nunca almacenamos datos de tarjeta
Procesamos pagos exclusivamente a través de Stripe, Clip y MercadoPago. Los datos de tarjeta nunca tocan nuestros servidores. Cumplimos con PCI-DSS SAQ-A como comerciantes que no almacenan, procesan ni transmiten datos de tarjetahabiente.
Facturación electrónica conforme al SAT
Generamos CFDI 4.0 vía PAC autorizado. El cliente escanea un QR en su ticket, ingresa sus datos fiscales (RFC, régimen, CP, uso CFDI) y la factura se emite automáticamente. XML y PDF disponibles.
Ley Federal de Protección de Datos Personales
Cumplimos con la LFPDPPP y su Reglamento. Implementamos derechos ARCO completos (Acceso, Rectificación, Cancelación, Oposición). Aviso de privacidad publicado y accesible.
Ver documento10 políticas implementadas — auditoría programada
Hemos implementado las 10 políticas requeridas: Seguridad de la Información, Control de Acceso, Gestión de Incidentes, Continuidad del Negocio, Gestión de Riesgos, Gestión de Cambios, Seguridad Física, Privacidad de Datos, Gestión de Proveedores, Gestión de Activos. Auditoría con Vanta en proceso.
Encriptación de grado bancario en tránsito y reposo
Todos los datos se transmiten con TLS 1.3 (HTTPS forzado). Los datos en reposo están encriptados con AES-256 en Supabase PostgreSQL. Credenciales y tokens nunca se exponen en logs ni respuestas de API.
Aislamiento total de datos entre clientes
Cada cliente accede únicamente a sus propios datos. Row Level Security habilitado en las 55+ tablas de Supabase. Imposible acceder a datos de otro cliente, ni siquiera con acceso directo a la API.
| Proveedor | Certificación | Rol |
|---|---|---|
| Supabase | SOC 2 Type II | Base de datos PostgreSQL + Auth + Storage |
| Vercel | SOC 2 Type II | Hosting + CDN global + Edge Functions |
| Cloudflare | SOC 2 Type II | DNS + WAF + DDoS protection + DNSSEC |
| GitHub | SOC 2 Type II | Código fuente + CI/CD + GitHub Actions |
| Anthropic | SOC 2 Type II | IA con zero-retention policy |
| Groq | SOC 2 | Agentes autónomos + briefings |
Encriptación en tránsito
TLS 1.3 forzado en todas las conexiones
Encriptación en reposo
AES-256 en Supabase PostgreSQL
Autenticación multi-capa
JWT + PIN por empleado + PIN gerente para acciones críticas
Row Level Security
55+ tablas con aislamiento por cliente
Audit trail inmutable
Cada acción POS registrada con timestamp + actor + detalles
Anti-fraude automático
Agente IA detecta cancelaciones y descuentos sospechosos
Backups automáticos
Diarios con retención 30 días + point-in-time recovery
WAF (Web Application Firewall)
Cloudflare protege contra OWASP Top 10
Rate limiting
Protección contra abuso en APIs públicas
CSP Headers
Content Security Policy previene XSS e inyección
Zero data retention (IA)
Anthropic/Groq no almacenan prompts ni respuestas
HTTPS Only
Redirección automática HTTP → HTTPS
5 roles de acceso
Dueño, gerente, capitán, cajero, mesero — cada uno con permisos específicos
Aviso de privacidad LFPDPPP
Publicado con derechos ARCO completos
Exportación de datos
El cliente puede exportar toda su información en CSV en cualquier momento
MFA en infraestructura
Activo en GitHub, Supabase, Vercel y Cloudflare
Rate limiting en APIs
100 requests/min por IP en rutas /api/
Input sanitization
XSS prevention, SQL injection protection, validación de RFC/email/CP
Permissions-Policy
Cámara, geolocation, USB, payment — restringidos por política
HSTS Preload
Strict-Transport-Security con max-age 2 años + includeSubDomains + preload
X-Frame-Options DENY
Previene clickjacking — el sitio no puede ser embebido en iframes
Agent Audit Trail
23 agentes registran START, SELECT, INSERT, END en log inmutable (agent_audit_log)
AI Action Controls
Bot constreñido a 23 tablas whitelisted. SQL injection patterns bloqueados automáticamente.
Safe Execution Architecture
Input sanitizado (2,000 chars max), ejecución aislada por agente en GitHub Actions.
Least Privilege DB Roles
Roles fullsite_readonly (solo SELECT) y fullsite_agent (SELECT + log) creados en PostgreSQL.
Table Whitelist (Bot)
El bot de queries solo puede leer 23 tablas específicas. Acceso a tablas fuera de lista es bloqueado y registrado.
Injection Protection
Queries via Supabase REST parametrizado (no SQL directo). Patrones DROP/DELETE/TRUNCATE filtrados en input.
Si descubres una vulnerabilidad de seguridad en nuestra plataforma, te pedimos que nos la reportes de manera responsable a seguridad@fullsite.mx. Nos comprometemos a investigar y responder dentro de 48 horas hábiles. No tomaremos acciones legales contra investigadores de seguridad que actúen de buena fe.
Última actualización: 27 de mayo de 2026
Preguntas sobre seguridad? seguridad@fullsite.mx