Seguridad

OmniaIA opera sobre infraestructura cloud gestionada. Los componentes del sistema incluyen servicios de Vercel para el frontend, Supabase para la base de datos y n8n para automatizaciones.

Cada componente está configurado con las mejores prácticas de seguridad de su respectivo proveedor, incluyendo firewalls de red, acceso por IP restringida donde aplica y actualizaciones regulares de seguridad.

El acceso al panel administrativo requiere autenticación con correo y contraseña. Las contraseñas se almacenan con hash seguro (bcrypt) y nunca en texto plano.

Las sesiones se gestionan con tokens seguros HTTP-only con tiempo de expiración configurable. El sistema registra intentos de acceso fallidos.

Toda la comunicación entre los usuarios y el sistema utiliza HTTPS con TLS 1.2 o superior. Los certificados SSL son gestionados y renovados automáticamente.

Los datos sensibles almacenados en la base de datos utilizan cifrado en reposo según las capacidades del proveedor (Supabase/PostgreSQL).

La base de datos utiliza Row Level Security (RLS) para garantizar que cada cliente solo pueda acceder a sus propios datos. Los registros de diferentes centros están estrictamente aislados entre sí.

Las consultas a la base de datos se realizan mediante parámetros preparados para prevenir inyecciones SQL. Los datos de entrada son validados y sanitizados antes del procesamiento.

El sistema implementa un modelo de control de acceso basado en roles. Cada usuario tiene acceso únicamente a los recursos y acciones que corresponden a su rol.

El acceso a la infraestructura de producción está restringido al personal técnico autorizado mediante autenticación multifactor y llaves SSH.

La base de datos cuenta con respaldos automáticos periódicos. Supabase realiza point-in-time recovery (PITR) que permite restaurar el estado de la base de datos en cualquier momento dentro del período de retención.

Los procedimientos de restauración son verificados regularmente para garantizar la integridad de los respaldos.

El sistema registra eventos relevantes de seguridad, incluyendo accesos al panel, modificaciones de configuración y errores del sistema.

Los logs de actividad son conservados por un período mínimo de 30 días para permitir auditorías en caso de incidentes.

En caso de detectar un incidente de seguridad que pueda afectar datos personales, OmniaIA se compromete a:

• Contener el incidente en el menor tiempo posible
• Evaluar el alcance e impacto
• Notificar a los clientes afectados dentro de las 72 horas
• Tomar medidas correctivas para evitar recurrencia

Para reportar una vulnerabilidad o incidente de seguridad, escribe a contacto@omniaia.cl con el asunto "Reporte de seguridad".

Para reportar vulnerabilidades, consultas de seguridad o incidentes: contacto@omniaia.cl

Respondemos reportes de seguridad dentro de las primeras 48 horas hábiles.