Política de seguridad Marketplace SMC · controles técnicos · procesos · disclosure responsable.
Aplicamos defensa en profundidad. Ningún control único nos cuida.
| Capa | Control |
|---|---|
| Tránsito | TLS 1.3 obligatorio · HSTS · cert auto-renovado |
| Storage | AES-256 at rest (Supabase + S3) |
| DB | RLS Postgres por tenant_id · service_role solo servidor |
| Auth | Supabase Auth · JWT · 2FA opcional (obligatorio admins) |
| Secrets | Variables Amplify · NUNCA en repo · rotación trimestral |
| Headers | CSP · X-Frame-Options · X-Content-Type-Options |
| Rate limit | 60 req/min user · 600 req/min IP |
| Backups | PITR Supabase 30 días · daily snapshot S3 90 días |
Si encuentras una vulnerabilidad:
No probar sobre cuentas que no sean tuyas · respetar consentimiento · cumplir Ley 19.628.