Política de Seguridad de la Información
Versión 1.1
Última actualización: Enero 2026
Esta Política de Seguridad de la Información establece los controles de seguridad, procedimientos y responsabilidades para proteger los datos de usuarios, información financiera y recursos del sistema dentro de Casike. Estamos comprometidos a mantener los más altos estándares de seguridad para proteger tus datos y cumplir con los requisitos de la industria, incluyendo los estándares de seguridad de datos de Plaid.
Clasificación de Datos
Clasificamos los datos en tres categorías: Datos Sensibles: • Credenciales de autenticación de usuario • Información de cuentas financieras (vía Plaid) • Datos de transacciones y detalles bancarios • Información de identificación personal (PII) Datos de Negocio: • Registros de facturas y métricas financieras • Registros de gastos y recibos • Información de presupuesto Datos Públicos: • Materiales de marketing y documentación
Autenticación y Control de Acceso
Implementamos medidas robustas de autenticación: • Autenticación Magic Link: Autenticación sin contraseña mediante tokens de email seguros • Integración OAuth: Autenticación federada segura con proveedores de confianza • Autenticación Multi-Factor (MFA): MFA basado en TOTP mediante apps autenticadoras • Gestión de Sesiones: Cierre automático de sesión después de un período de inactividad • Dispositivos de Confianza: Gestión opcional de dispositivos de confianza para usuarios verificados • Seguridad a Nivel de Fila (RLS): Aplicación a nivel de base de datos asegurando que los usuarios solo puedan acceder a sus propios datos
Protección de Datos
Tus datos están protegidos mediante múltiples capas: • Cifrado en Tránsito: Todos los datos transmitidos sobre HTTPS/TLS 1.2+ • Cifrado en Reposo: Cifrado a nivel de base de datos proporcionado por nuestra infraestructura • Claves API: Variables de entorno almacenadas de forma segura, nunca en el código fuente • Ubicación Geográfica: Residencia de datos en Estados Unidos • Almacenamiento Seguro de Archivos: Recibos almacenados en buckets de almacenamiento autenticados
Seguridad de Infraestructura
Nuestra infraestructura está construida sobre plataformas seguras de nivel empresarial: • Hosting de Aplicación: Plataforma edge con HTTPS automático • Base de Datos: Servicio gestionado con cifrado en reposo • CDN: Red de distribución de contenido con protección DDoS Cabeceras de Seguridad: • HSTS con preload habilitado • X-Frame-Options: DENY • Content-Security-Policy con scripts basados en nonce • Límite de Velocidad: Implementado para prevenir abuso
Seguridad de API
Todos los endpoints de API están protegidos: • Validación de Entrada: Validación estricta de esquemas en todas las entradas • Seguridad de Tipos: Verificación de tipos en tiempo de compilación • Protección CSRF: Tokens anti-CSRF en todas las operaciones que cambian estado • Seguridad de Webhooks: Verificación de firma para todas las integraciones de terceros • Prevención de Inyección SQL: Consultas parametrizadas en todas las operaciones de base de datos
Integraciones de Terceros
Gestionamos cuidadosamente las integraciones de terceros: Integración Plaid: • Acceso de solo lectura a transacciones y saldos • Tokens de acceso almacenados cifrados • Tokens revocados bajo solicitud del usuario Integración Stripe: • Procesamiento de pagos compatible con PCI DSS • No se almacenan datos de tarjetas de crédito localmente • Verificación de firma de webhooks Integración OpenAI: • Sin datos financieros sensibles en prompts de IA • Datos de usuario no usados para entrenar IA
Registro de Auditoría y Monitoreo
Mantenemos registros de auditoría completos: • Eventos de Autenticación: Inicio de sesión, cierre de sesión, inscripción MFA, intentos fallidos • Operaciones Financieras: Vinculación de cuentas, creación de facturas, registro de gastos • Acceso a Datos: Exportaciones, descargas, vistas de datos sensibles • Eventos de Seguridad: Violaciones de seguridad, denegaciones de acceso Los registros de auditoría se retienen según los requisitos de cumplimiento regulatorio y son inmutables.
Respuesta a Incidentes
Nuestro proceso de respuesta a incidentes: 1. Detección: Monitoreo de aplicación y registro de autenticación 2. Identificación: Confirmar y evaluar el incidente de seguridad 3. Contención: Aislar sistemas/cuentas afectadas 4. Erradicación: Eliminar amenaza y vulnerabilidades 5. Recuperación: Restaurar operaciones normales 6. Lecciones Aprendidas: Documentar y mejorar procesos Notificación: • Usuarios notificados dentro de 72 horas de violación de datos confirmada • Autoridades regulatorias notificadas según lo requiera la ley
Cumplimiento
Mantenemos cumplimiento con: • GDPR: Derechos del sujeto de datos para usuarios de la UE • CCPA: Derechos de privacidad para usuarios de California • SOC 2 Tipo II: Vía proveedores de infraestructura • OWASP Top 10: Vulnerabilidades de seguridad abordadas • PCI DSS: Vía integración de Stripe • Requisitos de Plaid: Estándares de manejo de datos financieros
Contáctanos
Para inquietudes de seguridad o reportar vulnerabilidades: Email: seguridad@casike.com Tiempo de respuesta: Dentro de 24 horas para reportes de seguridad Privacidad: privacidad@casike.com
Políticas relacionadas:
Esta política de seguridad fue revisada y actualizada por última vez en enero de 2026.