REPRICING.app
Iniciar sesiónEmpieza gratis

Seguridad en cada capa

Tus cuentas de vendedor y tus datos de precios están protegidos en cada capa de la plataforma, desde la base de datos hasta tu navegador.

Capas de seguridad

Seis capas entre un atacante y tus datos

Tratamos la seguridad como una pila de revisiones independientes. Cada capa aguanta aun cuando la de arriba falla.

  • Límites de organización dentro de la base de datos

    Cada tabla que guarda tus datos está acotada a tu organización dentro del motor de la base de datos. Aun si nuestro código de aplicación tuviera un bug, la base de datos misma se negaría a filtrarlos.

  • Credenciales de canal en un vault cifrado

    Tus tokens de vendedor y secretos de API viven en un vault cifrado dedicado. Nunca se guardan junto a tus registros principales y solo se descifran cuando un servicio en segundo plano los necesita.

  • Inicia sesión sin contraseña

    Inicias sesión con un magic link o con Google. No hay contraseña que se filtre o se reuse. Un captcha discreto bloquea intentos automatizados antes de que lleguen al formulario.

  • Roles enforced de punta a punta

    Cuatro roles (owner, admin, manager, analyst) y 27 permisos granulares. Cada acción se revisa en el servidor, en la base de datos y en la UI antes de ejecutarse.

  • Rate limits en cada acción sensible

    Las acciones sensibles como crear organizaciones y enviar invitaciones tienen su propio presupuesto por usuario. Las llamadas a canales de vendedor se mantienen por debajo de la cuota publicada de cada plataforma.

  • Criptografía fuerte en tránsito y en reposo

    El tráfico entre tu navegador y nuestros servidores corre sobre TLS moderno. Los registros y archivos subidos se cifran en disco. A los navegadores se les indica rechazar cualquier intento que no sea HTTPS.

Autenticación

Inicia sesión sin el eslabón más débil

Sin contraseñas involucradas. Inicias sesión con un magic link o con Google y vigilamos cada intento que llega al formulario.

Login con magic link

Haz clic en el enlace en tu email y ya estás dentro. Cada enlace es de un solo uso y se verifica en nuestro servidor.

Login con Google

Si tu equipo ya usa Google Workspace, inicia sesión con Google en su lugar. Las reglas de seguridad son idénticas.

Captcha en el formulario de login

Un reto invisible detiene los intentos automatizados de inicio de sesión antes de que lleguen al formulario. Los usuarios reales rara vez lo ven.

Cookies de sesión bloqueadas

Tu sesión vive en una cookie que el JavaScript de la página no puede tocar. Expira rápido cuando te alejas.

Alertas de login

Cada inicio de sesión exitoso te envía un email con la IP aproximada, el navegador y la zona horaria.

Redirecciones seguras después del login

El parámetro "a dónde ir después" solo acepta rutas dentro de la app. Las URLs externas se rechazan.

Aislamiento de datos

Una base de datos, muchos muros

Tus registros están etiquetados a tu organización y filtrados por la propia base de datos. Las credenciales y las acciones de admin siguen la misma regla.

Límites de organización

Cada registro se etiqueta a una organización. La base de datos filtra cada consulta a tu org antes de devolver cualquier fila.

Servicios en segundo plano aislados

Los servicios en segundo plano usan una conexión separada que nunca llega al navegador. Las llamadas internas están firmadas y verificadas.

Trazabilidad inmutable de admin

Cada acción de admin interno se escribe en una tabla de auditoría inmutable con quién actuó, qué cambió y cuándo.

El contenido público se mantiene público

Los artículos de ayuda y los changelogs viven en un área separada de solo lectura. Nunca comparten tabla con tus datos de negocio.

Credenciales por cuenta

Cada cuenta de vendedor tiene su propio secreto cifrado. Solo se descifra en el momento de uso y nunca se cachea.

Locks en operaciones críticas

Las actualizaciones de credenciales y los cambios de plan usan locks a nivel de base de datos para que dos procesos nunca se pisen.

Infraestructura

Endurecida en tránsito, en reposo y al frente

TLS moderno en cada conexión. Cifrado en reposo en cada registro. Un CDN gestionado al frente de la app.

Cifrado de punta a punta

TLS moderno protege cada conexión. Los registros y archivos subidos se cifran en disco. Las credenciales reciben una segunda capa.

Headers HTTP endurecidos

Cada respuesta sale con strict transport security, reglas de framing, una permissions policy y un CSP con nonces.

Protección en el edge al frente

Un CDN gestionado está al frente de nuestros servidores. Termina TLS, absorbe picos de tráfico y filtra abuso automatizado.

Pagos manejados por Stripe

Los detalles de la tarjeta van directo a Stripe (PCI DSS Level 1) y nunca tocan nuestros servidores. Los webhooks se verifican por firma.

Secretos nunca en el código

Cada secreto se inyecta en runtime y nunca vive en el repositorio. Escaneamos el código en cada cambio.

Rastreo de errores depurado

Los crashes van a un servicio dedicado de rastreo de errores con los campos sensibles eliminados antes de salir de la app.

Prácticas

Hábitos que mantienen la plataforma segura

Lo que hacemos cada día para que las protecciones de arriba sigan funcionando a medida que la plataforma crece.

  • Revisiones de seguridad en cada cambio de schema

    Las tablas nuevas no se lanzan hasta que tienen las políticas correctas de base de datos, los índices y las reglas de acceso. La checklist corre después de cada migración.

  • Tipado estricto de punta a punta

    Tanto la web app como los servicios en segundo plano corren bajo strict type checking. Los errores de tipo hacen fallar el build antes de llegar a producción.

  • Dependencias fijadas y auditadas

    Cada dependencia está fijada a una versión exacta. Las actualizaciones pasan por escaneos de seguridad automatizados antes de mergear al código.

  • Incidentes automáticos visibles para el usuario

    Cuando un token expira o un evento de billing falla, la plataforma crea un incidente claro con un mensaje y una acción. Se limpia solo cuando la condición se resuelve.

  • Visibilidad en vivo de la salud de los workers

    Cada servicio en segundo plano envía un heartbeat. Los servicios stale se marcan automáticamente en la vista de on-call en minutos.

  • Solo los datos que realmente necesitamos

    Los snapshots de mercado, los logs y los registros de jobs de corta vida expiran solos después de siete días. Eliminar tu cuenta elimina tus datos de verdad.

En números

Algunos números que hacen el panorama concreto

46

Tablas de base de datos con políticas a nivel de fila enforced en el motor.

27

Permisos granulares distribuidos en cuatro roles de acceso.

0

Contraseñas guardadas en cualquier parte del sistema.

100%

Acciones de admin interno escritas en un log de auditoría inmutable.

Cada login

Dispara un email de alerta con la IP aproximada y el dispositivo.

7 días

Ventana de retención en logs y snapshots de datos de mercado.

FAQ

Preguntas de seguridad, respondidas

Viven en un vault cifrado separado. Los registros que puedes ver solo tienen una referencia, nunca el valor en sí. El token se descifra brevemente dentro de un servicio en segundo plano cuando necesita llamar al canal.

No. Cada registro está etiquetado con una organización y la base de datos misma filtra todo lo que no te pertenece. Aun si nuestro código de aplicación tuviera un bug, la base de datos seguiría haciendo cumplir el límite.

Las contraseñas son la credencial más reusada y más phisheada de internet. Los magic links eliminan ese problema por completo. Cada enlace es de un solo uso y el intercambio ocurre en nuestro servidor, así que tu bandeja de entrada se vuelve lo único que un atacante tendría que comprometer.

Recibes un email en el momento en que un login se realiza con éxito, con la IP aproximada y el dispositivo. Si no fuiste tú, escríbenos a security@repricing.app y matamos la sesión de inmediato. Las acciones de admin interno sobre tu cuenta también se escriben en un log de auditoría permanente.

En infraestructura dedicada que manejamos nosotros mismos, detrás de un CDN gestionado que termina TLS y absorbe tráfico abusivo. Los registros y archivos subidos se cifran en reposo. Los pagos pasan por Stripe.

Sí. Envía reportes de vulnerabilidades, preguntas de cumplimiento o cualquier cosa sospechosa en tu cuenta a security@repricing.app. Respondemos en un día hábil. Los reportes críticos reciben respuesta el mismo día.

¿Listo para automatizar tus precios?

Únete a los vendedores que dejaron de ajustar precios manualmente y dejan que la plataforma haga el trabajo por ellos.

Empieza gratisSin tarjeta de crédito. 30 días de prueba gratis.