Modari
Seguridad y cumplimiento

Tus datos, protegidos por diseño

Construimos Modari aplicando los principios de privacidad y seguridad por diseño desde el primer día. A continuación describimos los controles técnicos y organizativos que protegen tu información, los pagos y la operación del servicio.

TLS 1.2+

Cifrado en tránsito

AES-256

Cifrado en reposo

bcrypt

Hash de contraseñas

TOTP

MFA estándar RFC 6238

Estándares y auditorías

Modari hereda y se alinea con marcos reconocidos internacionalmente para gestión de seguridad de la información, protección de datos y procesamiento de pagos. Algunas certificaciones se heredan a través de nuestros subprocesadores; otras representan el marco con el que operamos internamente nuestros controles. Detallamos a continuación cuál es el estado de cada una:

PCI DSS Level 1

Heredado

Toda la captura y procesamiento de datos de tarjeta ocurre dentro de Stripe, certificado PCI DSS Level 1 — el nivel más alto del estándar. Modari nunca recibe ni almacena el PAN; solo conserva un token referenciado y los últimos 4 dígitos para visualización.

SOC 2 Trust Services Criteria

Alineado

Nuestros controles de seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad se diseñan en línea con los Trust Services Criteria publicados por AICPA. Estamos preparados para iniciar una auditoría SOC 2 Type II cuando el negocio lo requiera contractualmente.

ISO/IEC 27001

Alineado

Aplicamos los dominios del Anexo A relevantes: control de acceso (A.9), criptografía (A.10), seguridad de operaciones (A.12), gestión de incidentes (A.16) y cumplimiento (A.18). El marco guía nuestra política interna de seguridad de la información.

RGPD / GDPR (UE)

Conforme

Cumplimos el Reglamento (UE) 2016/679: bases legales documentadas, registro de actividades de tratamiento, derechos del interesado, notificación de brechas en 72 horas, transferencias internacionales mediante Cláusulas Contractuales Tipo y Acuerdo de Tratamiento de Datos (DPA) disponible bajo solicitud.

UK GDPR + ICO

Conforme

Aplicamos el régimen del Reino Unido conforme a la guía del Information Commissioner's Office (ICO), con tratamiento equivalente al RGPD para titulares con residencia en Reino Unido.

Habeas Data — Ley 1581/2012 (Colombia)

Conforme

Cumplimos la Ley 1581 de 2012 y el Decreto 1377 de 2013. Atendemos peticiones, consultas y reclamos en los plazos legales (15 días hábiles para consultas, 15 días hábiles para reclamos) a través de nuestro canal de PQRs.

CCPA / CPRA (California)

Conforme

Reconocemos los derechos del California Consumer Privacy Act y su modificatoria CPRA: derecho a saber, derecho a borrar, derecho a corregir, derecho a optar por no compartir y derecho a no ser discriminado. Respetamos automáticamente la señal Global Privacy Control (GPC) del navegador.

LGPD (Brasil)

Conforme

Aplicamos la Lei Geral de Proteção de Dados con bases legales documentadas, derechos del titular y mecanismos del Capítulo V para transferencias internacionales hacia jurisdicciones sin nivel adecuado.

OWASP Application Security Verification Standard

Alineado

Nuestro ciclo de desarrollo se guía por el OWASP ASVS y las recomendaciones del OWASP Top 10: validación de entrada en frontera, codificación de salida, gestión segura de sesiones, criptografía aprobada y mínimo privilegio.

WCAG 2.1 nivel AA

En progreso

Aspiramos a cumplir las Web Content Accessibility Guidelines 2.1 nivel AA. Auditamos contraste, navegación por teclado, etiquetado semántico y compatibilidad con lectores de pantalla en cada release.

Controles técnicos y operacionales

Cifrado de datos

Toda comunicación con Modari se realiza sobre canales cifrados, y los datos en reposo se almacenan con cifrado simétrico fuerte gestionado a nivel de plataforma.

  • TLS 1.2 o superior obligatorio en todas las conexiones, con redirección automática desde HTTP a HTTPS.
  • Cifrado en reposo AES-256 sobre las bases de datos relacionales y el almacenamiento de archivos.
  • Secretos y credenciales sensibles cifrados con AES-256-GCM antes de persistirse en disco.
  • Cabeceras de seguridad: HTTP Strict Transport Security (HSTS), Content Security Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.

Autenticación y control de acceso

Las contraseñas nunca se almacenan en texto plano. Aplicamos defensa en profundidad para prevenir accesos no autorizados.

  • Hash de contraseñas con bcrypt y factor de costo elevado.
  • Política mínima: 8 caracteres, al menos una mayúscula y un número.
  • Limitación de intentos fallidos por dirección de origen (5 / 15 minutos).
  • Notificación por correo electrónico ante cambios de contraseña, con dirección de origen enmascarada.

Aislamiento de infraestructura

Modari opera sobre infraestructura dedicada y aislada por organización. Reducimos al mínimo la superficie expuesta a internet y separamos datos por inquilino a nivel de base de datos.

  • Aislamiento por organización mediante Row Level Security a nivel de cada tabla.
  • Credenciales privilegiadas restringidas al backend; nunca expuestas al cliente.
  • Acceso administrativo bajo MFA y registros de auditoría inmutables.
  • Segmentación lógica entre módulos para limitar el alcance de cualquier compromiso.

Aislamiento de datos por organización

Cada organización opera dentro de su propio espacio lógico. Las consultas a la base de datos validan automáticamente que la información solicitada pertenezca al inquilino autenticado.

  • Row Level Security activo en todas las tablas con datos de cliente.
  • Validación de pertenencia (workspace / organization) en cada Server Action.
  • Auditoría de acciones administrativas con identificador del actor y timestamp.
  • Llaves de acceso por entorno separadas y rotables.

Respaldos y continuidad

Mantenemos copias cifradas de la base de datos para garantizar recuperación ante incidentes operativos o errores irrecuperables del usuario.

  • Respaldo diario automático de la base de datos relacional.
  • Cifrado de respaldos en reposo con AES-256.
  • Política de retención alineada con la Política de Privacidad (rotación tras cancelación).
  • Pruebas periódicas de restauración para validar integridad y tiempo de recuperación.

Pagos seguros con Stripe

Modari nunca recibe ni almacena el número completo de tu tarjeta. Toda la captura, almacenamiento y procesamiento de medios de pago ocurre dentro de Stripe.

  • Stripe certificado PCI DSS Level 1 — el más alto nivel del estándar.
  • Modari guarda únicamente un token de referencia, marca y últimos 4 dígitos para visualización.
  • Validación HMAC SHA-256 de todos los webhooks recibidos desde Stripe.
  • Soporte para 3D Secure 2 cuando el emisor lo requiere para autenticación reforzada (PSD2 SCA en la UE).

Notificación de brechas

Cumplimos la obligación de notificar incidentes de seguridad que afecten datos personales en los plazos exigidos por la normativa aplicable.

  • Notificación a las autoridades de control en 72 horas (Art. 33 RGPD).
  • Comunicación al titular sin demora indebida cuando exista alto riesgo (Art. 34 RGPD).
  • Reporte ante la Superintendencia de Industria y Comercio (Colombia) cuando aplique.
  • Análisis post-mortem y plan de remediación documentado.

Tus derechos sobre tus datos

Independientemente de tu jurisdicción, te garantizamos los derechos descritos en nuestra Política de Privacidad. Puedes ejercerlos a través del canal de PQRs o escribiéndonos a [email protected].

  • Acceso, rectificación, supresión, oposición y portabilidad.
  • Revocatoria del consentimiento sin afectar la licitud del tratamiento previo.
  • Derechos ARCO con respuesta en 15 días hábiles (Habeas Data Colombia).
  • Derechos del CCPA/CPRA aplicables a residentes de California.

Verificación en dos pasos (2FA)

Soportamos autenticación multifactor mediante el estándar abierto TOTP (Time-based One-Time Password, RFC 6238), compatible con cualquier aplicación autenticadora del mercado.

  • TOTP estándar RFC 6238 — interoperable con apps de autenticación de uso común.
  • Secret cifrado con AES-256-GCM antes de almacenarse.
  • Códigos de recuperación de uso único entregados al activar el factor.
  • Opción de recordar dispositivo de confianza por 30 días.

Divulgación responsable de vulnerabilidades

Si crees haber identificado una vulnerabilidad en Modari, te pedimos no divulgarla públicamente y reportárnosla por escrito. Investigamos cada reporte recibido y respondemos al investigador con la mayor celeridad posible. No emprendemos acciones legales contra investigadores que actúen de buena fe siguiendo este canal y respetando la confidencialidad mientras dura el proceso.

Reportar a [email protected]

Marco normativo aplicable

  • Reglamento (UE) 2016/679 — RGPD / GDPR.
  • California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA).
  • Ley 1581 de 2012 y Decreto 1377 de 2013 — Habeas Data (Colombia).
  • Lei Geral de Proteção de Dados — LGPD (Brasil).
  • Ley 1480 de 2011 — Estatuto del Consumidor (Colombia).
  • PCI DSS Level 1 — heredado vía Stripe.
  • Trust Services Criteria del SOC 2 — alineamiento.

Última actualización: 2026-04-26