Quick TransferPunta Cana

Política de Seguridad

Última actualización: Marzo 2026

La seguridad de los datos de nuestros clientes, choferes y operaciones es fundamental. Esta política describe las medidas técnicas y organizativas que implementamos.

1. Encriptación

  • En tránsito: TLS 1.3 en toda comunicación.
  • En reposo: Encriptación Supabase (AES-256).
  • Contraseñas: bcrypt con salt aleatorio.
  • Tokens: JWT firmados con expiración.

2. Autenticación

  • Supabase Auth con JWT
  • Google OAuth soportado
  • httpOnly cookies con refresh automático
  • Rate limiting (5 niveles) contra ataques de fuerza bruta
  • Password reset vía email con token temporal

3. Control de Acceso

Implementamos Row Level Security (RLS) en PostgreSQL:

  • Customer: solo sus propias reservas y perfil.
  • Driver: solo servicios asignados, sin datos de pago.
  • Admin: acceso completo con audit log.
  • Super Admin: configuración de sistema.

4. Seguridad de Pagos (PCI-DSS)

  • NO almacenamos datos de tarjetas de crédito.
  • Procesamiento vía Stripe (PCI-DSS Nivel 1).
  • Procesamiento vía PayPal (PCI-DSS Nivel 1).
  • Webhooks con idempotencia y verificación de firma.

5. Infraestructura

  • Base de datos: Supabase (PostgreSQL) con RLS y backups.
  • Backend: Vercel Serverless con aislamiento por request.
  • Frontend: Vercel CDN con HTTPS forzado y protección DDoS.

6. Backups

  • Frecuencia: diaria automática.
  • Retención: 30 días.
  • Encriptación: sí.
  • Verificación: pruebas de restauración periódicas.

7. Chat IA: Guardas de Seguridad

  • Anti-injection: detecta prompt injection.
  • Topic guard: limita temas al servicio.
  • Audit logging: registra conversaciones.
  • Rate limiting: previene abuso.
  • Fallback chain: Gemini → GPT-4o → Claude.

8. Cumplimiento Normativo

  • Ley 172-13 — Protección de Datos RD
  • Ley 53-07 — Crímenes Informáticos
  • PCI-DSS (vía Stripe/PayPal)
  • OWASP Top 10 (en curso)
  • HTTPS obligatorio en todas las comunicaciones

9. Respuesta a Incidentes

Plazo de notificación a usuarios afectados: 72 horas desde confirmación de brecha, conforme a Ley 172-13.

10. Programa de Divulgación Responsable

Si descubre una vulnerabilidad, queremos saberlo:

  • Email: security@quicktransferprlc.com
  • Asunto: [SECURITY] Breve descripción
  • Incluir: pasos para reproducir, impacto, capturas

Respondemos en 48 horas. No tomaremos acciones legales contra investigadores de buena fe.

11. Reglas para Investigadores

  • No acceder a datos de otros usuarios.
  • No realizar pruebas que degraden el servicio.
  • No exfiltrar datos reales.
  • Reportar antes de divulgar públicamente.

12. Recomendaciones para Usuarios

  • Use contraseña fuerte y única (mínimo 10 caracteres).
  • No comparta credenciales.
  • Cierre sesión en dispositivos compartidos.
  • Reporte actividad sospechosa inmediatamente.

Vulnerabilidades: security@quicktransferprlc.com
Consultas: support@quicktransferprlc.com

Documentación legal generada por THEMIS — SoulCore.dev