Seguridad

Tus datos, blindados.

La confianza de tus clientas es tu mayor activo. Por eso la seguridad y la privacidad son parte del diseño de CitaLash, no un añadido.

Cómo protegemos tu información

Seguridad por diseño.

Cifrado en tránsito

Todo el tráfico viaja sobre HTTPS/TLS. Forzamos HSTS para evitar conexiones inseguras.

Autenticación robusta

Contraseñas con hash, tokens JWT firmados, bloqueo de cuenta tras intentos fallidos y restablecimiento seguro de contraseña.

Pagos PCI con Stripe

No almacenamos datos de tarjetas. Los pagos los procesa Stripe, certificado PCI DSS nivel 1.

Copias de seguridad

Backups periódicos de la base de datos para que tu información esté siempre recuperable.

Aislamiento por salón

Arquitectura multi-tenant: cada salón solo accede a sus propios datos, nunca a los de otros.

Cabeceras y hardening

Helmet, límites de peticiones (rate limiting) y validación estricta de entradas en toda la API.

Buenas prácticas

  • Principio de mínimo privilegio en el acceso a sistemas internos.
  • Validación y saneamiento de datos en cada endpoint de la API.
  • Idempotencia en webhooks de pago para evitar duplicados.
  • Registros de actividad para auditoría y detección de anomalías.
  • Dependencias actualizadas y revisadas con regularidad.
  • Datos exportables por el usuario en cualquier momento (RGPD).

Divulgación responsable

¿Has encontrado una vulnerabilidad? Cuéntanoslo de forma privada antes de hacerla pública y trabajaremos contigo para resolverla lo antes posible. Agradecemos la ayuda de la comunidad de seguridad.

seguridad@citalash.app

Más detalle sobre el tratamiento de datos en la Política de Privacidad y el DPA.