Seguridad

Cuatro principios guían cada decisión de seguridad en Bellafy:

Minimización de datos. Recopilamos la menor cantidad posible de datos personales. Los usuarios finales de tus clientes solo proporcionan un nombre y un número de teléfono — sin dirección, sin correo electrónico, sin apellidos, sin fecha de nacimiento. Menos datos recopilados significa menos datos en riesgo.

Delegar en especialistas. Nunca intentamos superar a Stripe en pagos ni a Supabase en infraestructura de bases de datos. Usamos socios líderes en su categoría y construimos sobre ellos.

Defensa en profundidad. Ninguna capa por sí sola es suficiente. Combinamos protección a nivel de red, controles a nivel de aplicación, aislamiento a nivel de base de datos y prácticas operativas para que una debilidad en una capa no comprometa todo el sistema.

Transparencia por encima del marketing. Preferimos decirte lo que no tenemos antes que fingir que sí. Esta página enumera controles concretos, no promesas abstractas, e incluye una sección sobre lo que aún no hemos implementado.

La seguridad empieza por no recopilar lo que no necesitas. Este es el alcance exacto de los datos personales procesados por Bellafy.

De los propietarios de clínicas (nuestros clientes directos): nombre, dirección de correo electrónico, contraseña (hasheada, nunca almacenada en texto plano), información de facturación del negocio necesaria para las facturas y credenciales opcionales para la autenticación de dos factores. Las tarjetas de pago para tu suscripción a Bellafy son gestionadas por Stripe — nunca vemos ni almacenamos tu número de tarjeta.

De los usuarios finales (tus clientes, que se registran en la mini-app de tu clínica): nombre y número de teléfono. Esa es la lista completa. Sin apellidos, sin dirección, sin correo electrónico, sin fecha de nacimiento, sin identificadores gubernamentales. El número de teléfono se usa para la recuperación de la cuenta y nada más.

De los pagos dentro de la mini-app: todos los datos de tarjeta están tokenizados y almacenados por Stripe. Bellafy nunca recibe, almacena ni transmite números de tarjeta en bruto, códigos CVV ni fechas de expiración. Solo recibimos identificadores de transacción de Stripe y metadatos (importe, moneda, estado).

De la analítica web: datos técnicos estándar (dirección IP, navegador, páginas vistas) mediante Google Analytics, sujetos a tu consentimiento de cookies. No se utilizan datos personalmente identificables para analítica.

Bellafy no es un procesador de pagos, y deliberadamente lo mantenemos así.

Todos los pagos — tanto suscripciones de clínicas como transacciones dentro de tu mini-app — son procesados por Stripe, Inc., un proveedor PCI DSS Nivel 1 (el nivel más alto de certificación en la industria de tarjetas). La información de la tarjeta se introduce directamente en iframes seguros de Stripe renderizados en nuestras páginas; los datos nunca pasan por los servidores de Bellafy.

Este diseño significa que heredamos la seguridad de Stripe para los datos de tarjetas, incluyendo cifrado punto a punto, tokenización, 3D Secure cuando es requerido y tokens de red. También significa que incluso en el peor caso, donde un servidor de Bellafy esté completamente comprometido, no podría exponerse ningún dato de tarjeta — porque no está ahí.

La cuenta de Stripe Connect de tu clínica es tuya. Los fondos fluyen directamente desde la tarjeta del cliente a tu saldo en Stripe (menos las comisiones de procesamiento de Stripe y la comisión de aplicación del 3,49% de Bellafy). Bellafy nunca custodia tu dinero.

Bellafy funciona sobre una pila serverless moderna alojada en Estados Unidos.

Alojamiento de la aplicación: Vercel, Inc., con servidores en EE.UU. Vercel proporciona protección contra DDoS, gestión automática de certificados TLS y una red global edge para activos estáticos.

Base de datos y autenticación: Supabase Inc., alojado en una región de EE.UU. Supabase funciona sobre PostgreSQL gestionado con cifrado en reposo (AES-256) y failover gestionado. Nuestro entorno de producción usa el plan Pro de Supabase con recuperación punto en el tiempo (PITR) activada (ver copias de seguridad más abajo).

Correo transaccional: Resend, operado en EE.UU.

Protección contra bots y CDN: Cloudflare, Inc., con Turnstile protegiendo todos los endpoints de autenticación y de alto riesgo frente a ataques automatizados.

Todo el tráfico entre tu navegador y Bellafy está cifrado con TLS 1.3, forzado mediante HSTS. No aceptamos conexiones HTTP sin cifrar.

Autenticación del panel (propietarios de clínicas). Bellafy usa correo electrónico y contraseña como método principal, con contraseñas hasheadas usando algoritmos estándar de la industria (bcrypt) y nunca almacenadas ni registradas en texto plano. Los restablecimientos de contraseña se realizan mediante enlaces mágicos de duración limitada enviados a través de Resend — sin pistas de contraseña, sin preguntas de seguridad y sin recuperación por SMS (vulnerable a ataques de SIM swap).

Autenticación de dos factores (2FA). Está disponible para todas las cuentas de clínicas, usando aplicaciones estándar (Google Authenticator, Authy, 1Password o cualquier app compatible con TOTP). Recomendamos activarla. Cuando está activa, iniciar sesión requiere tu contraseña y un código temporal generado en tu dispositivo.

Autenticación en la mini-app (usuarios finales). Los usuarios finales acceden con su número de teléfono mediante un código de verificación de un solo uso. No hay contraseñas, eliminando por completo ese vector de ataque.

Gestión de sesiones. Las sesiones están vinculadas al dispositivo que las crea. Desde la configuración puedes ver todas las sesiones activas y revocar cualquiera individualmente. Acciones sensibles (cambiar email, eliminar cuenta, modificar 2FA) requieren reautenticación.

Aislamiento multi-tenant. Todas las tablas con datos de clínicas están protegidas por políticas de seguridad a nivel de fila (RLS) en PostgreSQL mediante Supabase. Es una garantía a nivel de base de datos: incluso si hay un fallo en la aplicación, la base de datos no devolverá datos de otra clínica. RLS está activo en todas las tablas multi-tenant, sin excepción.

Más allá de la infraestructura, aplicamos varios controles a nivel de aplicación:

Protección contra bots y abusos. Todos los flujos de registro e inicio de sesión están protegidos por Cloudflare Turnstile, una alternativa moderna a CAPTCHA que bloquea ataques automatizados sin exigir resolver puzzles.

Limitación de tasa. Los endpoints sensibles — autenticación, restablecimiento de contraseña, formulario de contacto, solicitud de partners — están limitados por IP e identificador para prevenir enumeración, credential stuffing y abusos.

Validación de entradas. Todas las entradas de usuario se validan en el servidor antes de llegar a la base de datos. Usamos esquemas tipados (TypeScript + validación en tiempo de ejecución).

Política de seguridad de contenido. Aplicamos cabeceras estrictas como Content-Security-Policy, Strict-Transport-Security, X-Content-Type-Options y Referrer-Policy.

Gestión de secretos. Credenciales (API keys, secretos de webhooks) se almacenan solo como variables de entorno en Vercel. Nunca se suben al repositorio y se rotan cuando alguien pierde acceso.

Higiene de dependencias. Ejecutamos escaneos automáticos de vulnerabilidades y aplicamos parches con rapidez. Mantenemos pocas dependencias — menos librerías, menos superficie de ataque.

Bellafy utiliza un conjunto reducido de subprocesadores cuidadosamente seleccionados. Todos son líderes en su categoría o alternativas de primer nivel. Están contractualmente obligados a procesar datos solo bajo nuestras instrucciones y mantener controles adecuados.

Stripe, Inc. (Estados Unidos) — procesamiento de pagos, tokenización de tarjetas y Stripe Connect. PCI DSS Nivel 1.

Supabase Inc. (Estados Unidos) — base de datos, autenticación y almacenamiento.

Vercel Inc. (Estados Unidos) — hosting y distribución edge.

Resend (Estados Unidos) — correo transaccional.

Cloudflare, Inc. (Estados Unidos) — protección contra bots y CDN.

Google LLC (Estados Unidos) — analítica web (Google Analytics), sujeto a consentimiento.

Lista actualizada disponible también en nuestra Política de Privacidad. Notificaremos a los clientes activos antes de añadir o cambiar un subprocesador.

Cuánto tiempo viven los datos y qué ocurre cuando se eliminan:

Datos de la clínica (tus datos): se conservan mientras tu suscripción esté activa. Tras cancelación, hay 30 días en modo solo lectura y luego se eliminan permanentemente — salvo registros legales, que se conservan anonimizados hasta 7 años.

Datos de usuarios finales: los controlas tú. Cuando eliminan su cuenta, los datos se eliminan inmediatamente — sin periodo de gracia. Solo se conservan registros anonimizados de reservas.

Registros de pago en Stripe siguen sus propias reglas.

Logs y eventos de seguridad se conservan temporalmente y luego se eliminan.

Nuestra base de datos usa Supabase Pro con PITR:

Snapshots diarios automáticos.

Recuperación a cualquier momento dentro del periodo.

Backups cifrados y aislados.

Verificamos periódicamente la restauración.

En caso de incidente:

Detección y contención inmediata.

Investigación interna.

Notificación sin demora (incluyendo ventana GDPR de 72h cuando aplique).

Revisión posterior.

Registro y auditoría detallada.

Aceptamos reportes de vulnerabilidades.

Cómo reportar: enviar email a support@bellafy.app con detalles.

Qué esperar: respuesta en 3 días, evaluación en 10.

Pedimos actuar de buena fe.

Disponible también security.txt según RFC 9116.

No tenemos SOC 2 ni ISO 27001.

No somos HIPAA compliant.

No hemos hecho pentest externo aún.

Se actualizará cuando cambie.

Usa contraseña fuerte.

Activa 2FA.

No compartas cuentas.

Protege Stripe.

Reporta actividad sospechosa.

Actualizamos cuando haya cambios.

Notificamos cambios importantes.

Contacta en support@bellafy.app.

Bellafy LLC

[Dirección del agente registrado, Wyoming]

En caso de conflicto, prevalece la versión en inglés.