Skip to main content
◆ ARIA Analyst
Iniciar sesiónEmpieza ahora
  1. Inicio
  2. ›
  3. Seguridad

Seguridad y confianza

Las plataformas de inversión tocan tu dinero y tus datos. Tratamos ambos con rigor de ingeniería. Esta página documenta cada práctica de seguridad implementada — sin palabrería de marketing, sin buzzwords de cifrado militar, solo especificaciones.

Prácticas de seguridad

01

Seguridad de contraseñas

Las contraseñas se hashean con bcrypt a 12 rondas. Nunca almacenamos contraseñas en texto plano. El reset de contraseña usa tokens criptográficamente aleatorios de un solo uso + expiración de 1 hora.

02

Seguridad de sesión

JWT HS256 con tokens de acceso de 15 minutos + tokens de refresh de 30 días. Los tokens de refresh son revocables por dispositivo. Las sesiones activas son visibles en /profile.

03

Autenticación de dos factores

2FA basado en TOTP (Google Authenticator, Authy, 1Password). Se emiten códigos de recuperación en la activación. Muy recomendado para todos los usuarios.

04

Cifrado de credenciales de broker

Las claves API del broker se cifran en reposo con Fernet (AES-128 simétrico) usando una clave maestra de servidor. Solo se descifran en memoria en el momento de la sumisión de la orden. Puedes desconectar cualquier broker en cualquier momento desde /settings/broker.

05

Cabeceras de seguridad

X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, HSTS (Strict-Transport-Security) y Content-Security-Policy están configuradas. TLS 1.2+ aplicado vía Cloudflare con rotación automática de certificados.

06

Rate limiting

Límites de tasa granulares por endpoint: 5/min login, 3/min registro, 10/min análisis. Previene ataques de fuerza bruta y DoS. Las firmas de webhook de Stripe se verifican en cada llamada.

07

Hosting EU y residencia de datos

Producción alojada en Hetzner (Falkenstein, Alemania). Todos los datos de usuario permanecen en la UE. CDN vía Cloudflare global edge con residencia de datos en la UE donde está soportado.

08

Cifrado de base de datos

PostgreSQL con conexiones cifradas TLS. Snapshots diarios cifrados en reposo. Campos PII sensibles (credenciales de broker, secretos 2FA) cifrados a nivel de columna.

09

Registro de auditoría

Cada acción de administrador y cada evento de autenticación se registra de forma inmutable para revisión forense. Logs conservados un mínimo de 90 días.

10

Cumplimiento GDPR / RGPD

Artículo 17 (derecho al olvido) — eliminación de cuenta por autoservicio en /profile. Artículo 20 (portabilidad de datos) — exportación completa de datos en /account/export. Artículo 21 (derecho de oposición) — flags de opt-out en cada solicitud de consentimiento.

11

Sin venta de datos

No vendemos, alquilamos ni compartimos tus datos con terceros más allá de la operación del servicio (Stripe para pagos, Resend para emails transaccionales, proveedor de servidor). Ver /privacy para la lista completa de sub-procesadores.

12

Divulgación de vulnerabilidades

Reporta problemas de seguridad a [email protected]. Respondemos en 48 horas, reconocemos los hallazgos y acreditamos la divulgación responsable (sin programa de bounty aún — próximamente).

Sub-procesadores

Servicios de terceros que procesan tus datos en nuestro nombre. Lista completa — sin compartición oculta.

ServicioPropósitoDatos compartidosUbicación
StripeProcesamiento de pagosInformación de facturaciónEU/US
ResendEmail transaccionalDirección de emailEU/US
HetznerHosting de servidorTodos los datos de usuarioGermany
CloudflareCDN + protección DDoSMetadatos de solicitudEdge global
SentryMonitorización de erroresStack traces de error (PII eliminado)EU

Lo que no hacemos

  • No vendemos datos de usuario a terceros.
  • No compartimos datos con redes publicitarias ni intermediarios de datos.
  • No rastreamos a los usuarios por la web con cookies de terceros (solo cookies de sesión propias).
  • No almacenamos credenciales de broker en texto plano en ninguna capa.
  • No saltamos el 2FA para solicitudes de soporte. Punto.
  • No aceptamos acceso a cuentas con solo verificación por email — siempre con desafíos 2FA.

Divulgación responsable

¿Encontraste un problema de seguridad? Lo tomamos en serio:

  • [email protected] — Envía un email a [email protected] con los detalles.
  • Confirmamos la recepción en 48 horas.
  • No emprendemos acciones legales contra investigadores de buena fe.
  • Hall of Fame para divulgaciones acreditadas en cuanto tengamos nuestro primer informe válido.
  • Programa de bug bounty: previsto para Q3 2026.

Roadmap de seguridad

  • Q2 2026: Test de penetración por tercero independiente.
  • Q3 2026: Preparación SOC 2 Type 1 (inicio de programa de cumplimiento formal).
  • Q3 2026: Programa público de bug bounty.
  • Q4 2026: Hardware Security Module (HSM) para claves maestras de cifrado.
  • 2027: Auditoría SOC 2 Type 2.

Relacionado

  • Política de Privacidad completa →
  • Términos de Servicio →
  • Aviso de riesgo de inversión →
  • Equipo y fundador →