Seguridad

Seguridad de infraestructura y datos

Su cartera de proyectos es información estratégica. Bubline está construido con seguridad desde el primer día — no como una capa añadida después. Esta página describe las protecciones activas hoy, sin promesas vacías.

Encriptación

TLS 1.3 en tránsito para toda la comunicación. AES-256 en reposo para la base de datos y los archivos, gestionado por Supabase sobre infraestructura AWS.

Autenticación

Email + contraseña con política de complejidad, y verificación en dos pasos (MFA con TOTP) con códigos de recuperación de un solo uso. Las empresas pueden exigir MFA a todos sus usuarios. SSO SAML en el roadmap.

Aislamiento multi-tenant

Row Level Security estricto en cada tabla: los datos de cada empresa son invisibles para cualquier otra a nivel de base de datos, no solo de aplicación. El aislamiento tiene su propia suite de tests automatizados.

Backups y recuperación

Respaldo lógico propio y automático de los datos de negocio cada día, con verificación de integridad periódica y copia descargable fuera de la plataforma. Se apoya además en los backups nativos diarios de la plataforma (Supabase/AWS) en el plan de producción. Contamos con un plan de recuperación ante desastres documentado, con procedimiento de restauración y objetivos de recuperación definidos. La restauración a un punto exacto en el tiempo (PITR) y la retención extendida están disponibles como upgrade.

Registros de auditoría

Doble capa: triggers a nivel de base de datos sobre clientes, proyectos y deadlines, más registro de aplicación de acciones sensibles como activar o desactivar la verificación en dos pasos. Cada entrada guarda autor y timestamp.

Gestión de secretos

Los tokens OAuth de integraciones (HubSpot, Salesforce) se almacenan cifrados con Supabase Vault. Nunca en texto plano, nunca en logs.

Rate limiting

Límites de velocidad activos en login (5 intentos / 15 min), recuperación de contraseña, formularios públicos y API. En producción el sistema es fail-closed: sin rate limiting configurado, la aplicación no arranca.

Headers de seguridad

Content-Security-Policy con allowlist de orígenes, HSTS con preload, X-Frame-Options DENY, nosniff y Permissions-Policy activos en todas las respuestas.

Portabilidad y derecho al olvido

Desde Configuración › Mis datos, los usuarios pueden descargar una copia de sus datos (ZIP con JSON y CSV) y solicitar la eliminación permanente de su cuenta —el administrador de la cuenta debe transferir la administración antes si quedan otros usuarios activos. La exportación excluye secretos y tokens; la eliminación anonimiza las referencias de autoría y borra los datos personales.

Compliance

Preparación para SOC 2 Type I en planificación. Exportación de datos (portabilidad) y derecho de eliminación GDPR ya disponibles, y consentimiento de cookies granular activo.

¿Encontró una vulnerabilidad?

Agradecemos la divulgación responsable. Escríbanos y responderemos en menos de 48 horas hábiles.

security@bubline.com

Última actualización: 16 de julio de 2026 · Consulte también el estado del servicio y la lista de subprocesadores.