Política de Seguridad

En FlowAds AI tomamos la seguridad muy en serio. Este documento describe las medidas técnicas y organizativas que aplicamos para proteger tu información, tu cuenta y tus datos generados.

1. Seguridad en la Transmisión de Datos

Toda la información transmitida entre tu navegador y FlowAds AI viaja a través de HTTPS con TLS 1.3, el estándar más alto de cifrado web. Esto significa que aunque alguien intercepte el tráfico, no puede leerlo.

• Certificados SSL/TLS válidos y renovados automáticamente
• Configuración HSTS (HTTP Strict Transport Security)
• Protección contra ataques downgrade

2. Almacenamiento de Contraseñas

Tu contraseña NUNCA se almacena tal cual la escribiste. La pasamos por una función de hash criptográfico (SHA-256) y solo guardamos el resultado.

3. Aislamiento Multi-Usuario

FlowAds AI está diseñado para que cada usuario solo vea sus propios datos:

• Cada cuenta tiene una carpeta exclusiva donde se guardan sus imágenes generadas
• Las queries de la base de datos filtran automáticamente por el usuario logueado
• No es posible acceder a contenido de otra cuenta aunque conozcas su nombre de archivo
• Las sesiones se invalidan al cerrar sesión

4. Manejo de Tokens de Meta

Tu token de Meta es información sensible (permite gastar dinero en tu cuenta publicitaria). Por eso aplicamos un enfoque de "zero trust":

• El token se guarda solo en localStorage de tu navegador
• Nuestros servidores NO almacenan tu token
• Cada vez que publicas un anuncio, tu navegador envía el token al backend, lo usa, y lo descarta
• Si cierras sesión y borras datos del navegador, el token desaparece

5. Protección Contra Ataques Comunes

5.1 Inyecciones SQL

No usamos SQL tradicional, pero validamos y sanitizamos todas las entradas de usuario.

5.2 XSS (Cross-Site Scripting)

Escapamos todo contenido renderizado y aplicamos Content Security Policy.

5.3 CSRF (Cross-Site Request Forgery)

Las cookies de sesión usan SameSite=Strict para prevenir CSRF.

5.4 Brute Force

Detectamos y bloqueamos intentos masivos de login con contraseñas erróneas.

5.5 DDoS

Nuestra infraestructura está protegida por Cloudflare, líder mundial en mitigación DDoS.

6. Backups y Recuperación

• 📦 Backups automáticos diarios
• 🔐 Backups cifrados antes de almacenarse
• 📍 Almacenados en geografía separada
• ♻️ Retención: 30 días rolling backup

7. Acceso del Personal

Solo el personal autorizado de FlowAds AI puede acceder a la infraestructura, bajo principio de menor privilegio posible:

• Acceso a producción solo para roles esenciales
• Autenticación en 2 pasos obligatoria para todos
• Auditoría completa de accesos
• Acuerdos de confidencialidad firmados por todo el equipo

8. Incidentes de Seguridad

Si detectamos un incidente que pueda afectar tu información, nos comprometemos a:

1. Notificarte por email en menos de 72 horas
2. Explicar qué ocurrió, qué datos pueden estar comprometidos y qué pasos tomar
3. Reportar a las autoridades correspondientes (SERNAC, autoridades de protección de datos) si la ley lo exige
4. Implementar medidas correctivas inmediatas

9. Reporta una Vulnerabilidad

10. Tus Responsabilidades

Tu seguridad también depende de ti. Te recomendamos:

• Usar contraseñas únicas y fuertes (mínimo 8 caracteres, mezcla de letras, números y símbolos)
• NO compartir tu contraseña con nadie, ni siquiera con nuestro soporte
• Cerrar sesión en computadoras compartidas
• Actualizar tu navegador regularmente
• Usar antivirus en tu PC
• Avisarnos inmediatamente si sospechas acceso no autorizado

11. Mejora Continua

La seguridad no es un destino sino un proceso. Periódicamente:

• Auditamos nuestro código en busca de vulnerabilidades
• Actualizamos dependencias y librerías
• Revisamos las mejores prácticas del sector
• Hacemos pruebas de penetración (pentesting)

12. Contacto del Equipo de Seguridad

📧 [email protected]

💬 WhatsApp +56 9 6684 2918