Legal

Seguridad

Cómo protegemos tus datos financieros y los de tus clientes.

Última actualización:

Resumen rápido

  • Encriptación en tránsito: TLS 1.3 obligatorio en todos los endpoints (web, API, dashboard)
  • Encriptación en reposo: AES-256 sobre toda data persistida (resultados, archivos temporales)
  • Gestión de credenciales: API keys hasheadas con bcrypt; nunca almacenadas en texto plano
  • SOC 2 Type II: en roadmap; auditoría programada para los siguientes 12 meses
  • Disclosures responsables: programa formal con SLA de respuesta de 48 horas

Arquitectura

finO$ corre sobre infraestructura cloud auditada (residencia regional configurable: MX, US, EU). Separación estricta entre:

  • Plano de control (autenticación, billing, dashboard)
  • Plano de procesamiento (extracción de PDFs)
  • Plano de almacenamiento (resultados extraídos)

Los PDFs originales no se retienen después del procesamiento, salvo que actives explícitamente retención para entrenamiento de modelos (opt-in con confirmación explícita).

Controles de acceso interno

  • Autenticación 2FA obligatoria para todo el equipo de finO$
  • Principle of least privilege en todos los sistemas internos
  • Revisión trimestral de accesos
  • Logs de acceso retenidos por 12 meses
  • Background checks para empleados con acceso a producción

Cumplimiento

finO$ se diseña conforme a los marcos regulatorios aplicables en LATAM:

  • México: LFPDPPP — ver nuestro aviso de privacidad
  • Colombia: Ley 1581 de 2012 (Habeas Data)
  • Argentina: Ley 25.326
  • Chile: Ley 19.628
  • Perú: Ley 29733
  • Internacional: GDPR cuando aplique; DPA disponible bajo solicitud

Roadmap de certificaciones

  • Q3 2026: SOC 2 Type I kickoff
  • Q1 2027: SOC 2 Type II
  • 2027: ISO 27001 (evaluando)

Mientras tanto, podemos firmar Data Processing Agreements (DPA) con cláusulas equivalentes y enviar nuestra documentación de controles bajo NDA. Contacta security@getfinos.com.

Disclosures responsables

Si encuentras una vulnerabilidad en finO$, te pedimos reportarla de forma responsable:

  • Email: security@getfinos.com
  • Detalles formales en security.txt
  • SLA de primera respuesta: 48 horas
  • Reconocemos a los reporters en nuestro hall of fame (con permiso)

No tenemos bug bounty monetario formal todavía, pero podemos compensar reportes críticos caso por caso. Por favor no pruebes técnicas que puedan afectar a otros usuarios (no scanning agresivo, no DoS).

Reporte de incidentes

Si detectamos un incidente de seguridad que afecte tus datos:

  • Notificación por email en menos de 72 horas
  • Reporte público en status.getfinos.com
  • Post-mortem detallado en menos de 14 días
  • Cumplimiento de obligaciones de notificación a autoridades (INAI MX, SIC CO, etc.) según jurisdicción

Contacto

Asuntos de seguridad: security@getfinos.com. Cualquier otra duda: privacy@getfinos.com.