Seguridad
Seguridad y protección de datos
⚠️ Traducción en revisión legal. Este documento es una traducción de la versión original en inglés. La revisión legal para tu jurisdicción está en curso. Hasta que se complete, en caso de discrepancia, prevalece la versión en inglés. Ver la versión en inglés.
Última actualización: 27 de abril de 2026
1. Nuestro enfoque de seguridad
VetScan maneja información personal sobre vos e información de salud sobre tu perro. Tratamos ambas como datos sensibles. Esta página documenta lo que hacemos para proteger esos datos y cómo reportar problemas de seguridad.
2. Cifrado
- En tránsito: Todas las conexiones usan TLS 1.3 (la última versión de HTTPS). El sitio se sirve exclusivamente sobre HTTPS — HTTP redirige automáticamente.
- En reposo: Todos los datos almacenados están cifrados en reposo con AES-256, el mismo estándar de cifrado que usa el gobierno de EE.UU. para datos clasificados.
- Respaldos de la base de datos: Cifrados con claves separadas, almacenados en ubicaciones geográficamente distintas.
3. Infraestructura
Nos apoyamos en proveedores de infraestructura con fuertes posturas de seguridad:
- Hosting: Vercel — cumple SOC 2 Type II, certificado ISO 27001, opera sobre un CDN global con protección contra DDoS
- Email: Google Workspace — SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018, FedRAMP
- Domain & DNS: Namecheap with DNSSEC available; CDN traffic routed through Cloudflare
- Base de datos (post-lanzamiento): Un proveedor certificado SOC 2 Type II; selección de proveedor en proceso (objetivo: Q2 2026)
4. Controles de acceso
- Autenticación de dos factores obligatoria en todas las cuentas de equipo (Google Workspace, GitHub, Vercel, hosting)
- Principio de privilegio mínimo — los miembros del equipo solo tienen acceso a lo que necesitan para su trabajo
- Registros de auditoría para operaciones sensibles (acciones de administrador, exportación de datos, rotación de claves)
- Revisiones regulares de acceso — al menos trimestralmente, más a menudo durante cambios en el equipo
5. Privacy by design
- Recopilación mínima de datos — recopilamos solo lo necesario para que el servicio funcione
- Opción de evaluación de urgencia anónima — la evaluación básica no requiere cuenta; podés usar la herramienta sin crear un registro de identidad
- Eliminación automática de cuentas inactivas después de 24 meses
- Exportación de datos disponible bajo solicitud — podés pedir tus datos y llevarlos a otro lugar
- Sin rastreadores publicitarios de terceros — no incrustamos Facebook Pixel, Google Ads o rastreadores similares sin consentimiento explícito (banner de cookies)
6. Cumplimiento
- GDPR — cumplimos; Acuerdo de Procesamiento de Datos (DPA) completo disponible bajo solicitud para socios B2B
- CCPA — cumplimos para residentes de California; enlace "Do Not Sell" en el pie de página (no vendemos datos en ningún caso)
- SOC 2 Type II — auditoría en proceso; finalización objetivo Q3 2026
- HIPAA — formalmente no aplica (HIPAA cubre datos médicos humanos, no de mascotas); sin embargo, aplicamos voluntariamente salvaguardas administrativas, físicas y técnicas equivalentes
7. Programa de divulgación de vulnerabilidades
Si descubrís una vulnerabilidad de seguridad, reportala de manera responsable:
- Email: hello@vetscan.app con asunto "Security: [resumen de la vulnerabilidad]"
- Qué incluir: una descripción de la vulnerabilidad, pasos para reproducirla y (si es posible) mitigación sugerida
- Nuestro compromiso: acusamos recibo en 48 horas, hacemos triage en 5 días hábiles y damos actualización de estado al menos cada 14 días hasta la resolución
- Ventana de divulgación: pedimos a los investigadores que esperen 90 días antes de la divulgación pública; vamos a trabajar con vos para resolver más rápido cuando la severidad lo amerite
- Contacto legible por máquina: publicamos
security.txtsegún RFC 9116 - Política completa y reglas: SECURITY_POLICY.md (alcance, escala de severidad, safe harbor)
- Reconocimiento: con tu permiso, listamos reportes válidos en nuestro registro público de seguridad; programa de bug bounty en desarrollo
8. Respuesta a incidentes
- Nos comprometemos a la notificación de filtración en 72 horas según el Artículo 33 del GDPR
- Vamos a notificar a los usuarios afectados individualmente ante cualquier filtración que involucre datos personales
- Mantenemos un registro público de seguridad en esta página (ver abajo)
Registro público de seguridad: Sin incidentes reportables hasta la fecha. Este registro se actualiza dentro de los 30 días posteriores a cualquier evento que califique.
9. Procesadores de terceros
Usamos un conjunto limitado de procesadores verificados:
| Procesador | Propósito | Región |
|---|---|---|
| Vercel | Hosting, CDN, edge compute | Global (configurable) |
| Google Workspace | Email, calendario, documentos | EE.UU./UE |
| Cloudflare | DNS, protección contra DDoS | Global |
| Namecheap | Registrador de dominios | EE.UU. |
Los procesadores de email marketing y analítica (por ejemplo, Kit/ConvertKit, Plausible/GA4) se agregarán a esta lista antes de integrarlos.
10. Contacto
- Vulnerabilidades de seguridad: hello@vetscan.app (asunto: Security)
- Solicitudes de privacidad y datos: privacy@vetscan.app
- Preguntas generales: hello@vetscan.app