Seguridad y privacidad
La postura de seguridad y privacidad de Flipzy con detalle. Lo que ya tenemos, lo que estamos implementando y lo que está en hoja de ruta. Sin marketing — los datos sensibles que confías en nosotros se merecen claridad, no eufemismos.
Seguridad
Cifrado en tránsito (TLS 1.3)
ActivoTodas las conexiones a Flipzy usan HTTPS con TLS 1.3 obligatorio. HSTS preload activado en flipzy.io.
Cifrado en reposo (AES-256)
ActivoLa base de datos PostgreSQL está cifrada con AES-256. Los backups se cifran antes de almacenarse.
Tokens OAuth con scopes mínimos
ActivoSolo solicitamos los permisos OAuth estrictamente necesarios para publicar y leer métricas. Nunca pedimos acceso a DMs o lista de seguidores completa.
Sin venta de datos a terceros
ActivoNo vendemos, alquilamos ni cedemos datos de usuarios a terceros para publicidad o análisis. Punto.
Autenticación multi-factor (MFA)
En cursoSoporte de OAuth con Google. MFA adicional con TOTP llegará en Q3 2026.
Auditoría SOC 2 Type II
PlaneadoIniciamos el proceso de certificación SOC 2 Type II en Q4 2026 para clientes Enterprise.
Privacidad
GDPR compliant
ActivoCumplimos con el Reglamento General de Protección de Datos europeo. Servidores en la UE (Frankfurt) para usuarios europeos.
Subcontratistas transparentes
ActivoLista pública de procesadores de datos: Vercel (hosting), Supabase (base de datos), Stripe (pagos), Anthropic (IA), Resend (email transaccional).
Notificación de brechas en 72h
ActivoEn caso de incidente que afecte a datos personales, notificación a usuarios y autoridad competente en menos de 72 horas conforme al GDPR.
Derecho al olvido (24h)
ActivoSolicita el borrado completo de tus datos en cualquier momento. Eliminación efectiva en menos de 24 horas, incluyendo backups.
Export completo de datos
ActivoDescarga todos tus datos en JSON desde Configuración > Privacidad. Sin lock-in, sin condiciones.
Data Processing Agreement (DPA)
ActivoDPA listo para firma electrónica para clientes Pro, Agent y Enterprise. Solicítalo en soporte@flipzy.io.
Subcontratistas
Estos son los procesadores de datos que usamos. Ningún proveedor que no esté en esta lista recibe tus datos. Si añadimos alguno nuevo, notificaremos con 30 días de antelación.
| Proveedor | Propósito | Región | DPA |
|---|---|---|---|
| Vercel | Hosting y CDN | EU + Global | Ver DPA |
| Supabase | Base de datos PostgreSQL | EU (Frankfurt) | Ver DPA |
| Stripe | Procesamiento de pagos | EU + USA | Ver DPA |
| Anthropic | Generación de contenido con IA | USA | Ver DPA |
| fal.ai | Generación de vídeo e imagen IA | USA | Ver DPA |
| Resend | Email transaccional | EU + USA | Ver DPA |
| Sentry | Monitorización de errores | EU | Ver DPA |
| Google OAuth | Login social opcional | Global | Ver DPA |
¿Has encontrado un fallo de seguridad?
Reporta cualquier vulnerabilidad de seguridad de forma responsable a security@flipzy.io. Respondemos en menos de 24 horas en días laborables. Recompensamos disclosures válidos según la gravedad (programa de bug bounty informal).
security@flipzy.io