En esta página
- 1.Nuestro enfoque de seguridad
- 2.Arquitectura multi-tenant y aislamiento por empresa
- 3.Row Level Security en la base de datos
- 4.Roles y permisos (control de acceso)
- 5.Autenticación
- 6.Cifrado en tránsito y en reposo
- 7.Respaldos
- 8.Bitácoras de auditoría
- 9.Mínimo privilegio y acceso interno
- 10.Seguridad de la infraestructura
- 11.Respuesta a incidentes
- 12.Tu parte: responsabilidades del cliente
- 13.Reportar una vulnerabilidad
Así protegemos los datos de tu negocio: aislamiento por empresa aplicado en la base de datos, permisos granulares verificados en cada capa, cifrado, respaldos y trazabilidad. Sin promesas vagas: lo que describimos aquí es lo que está implementado.
1. Nuestro enfoque de seguridad
En WELLFLEX ERP vive la operación completa de tu negocio: ventas, inventario, nómina, contabilidad. Por eso la seguridad no es una capa añadida sino parte del diseño: el aislamiento entre empresas se aplica en la base de datos, no solo en la aplicación, y cada permiso se verifica en múltiples capas.
Esta página describe con precisión las prácticas vigentes de la plataforma, sin prometer capacidades que no están implementadas. Los objetivos futuros de cumplimiento se publican por separado en la página de Cumplimiento.
2. Arquitectura multi-tenant y aislamiento por empresa
La plataforma es multi-tenant: cada empresa (tenant) tiene sus datos lógicamente aislados. Toda fila de datos operativos está asociada a una empresa, y el acceso siempre se evalúa contra la membresía y los permisos del usuario en esa empresa.
Un usuario puede pertenecer a varias empresas, pero solo ve los datos de la empresa en la que está trabajando y que sus permisos le permiten ver.
3. Row Level Security en la base de datos
El aislamiento se aplica con Row Level Security (RLS) de PostgreSQL en las tablas de datos: políticas a nivel de fila verifican la pertenencia a la empresa y los permisos del usuario en la propia base de datos. Aunque existiera un defecto en la capa de aplicación, la base de datos rechaza consultas que crucen el límite de la empresa.
Las operaciones críticas (ventas, caja, compras, nómina, contabilidad) se ejecutan en funciones de base de datos que revalidan permisos antes de escribir.
4. Roles y permisos (control de acceso)
El acceso dentro de cada empresa se controla con permisos granulares:
- Cinco roles del sistema (Propietario, Administrador, Cajero, Contador, Jefe de inventario) con matrices de permisos predefinidas.
- Roles personalizados: cada empresa puede crear roles combinando permisos del catálogo, sin depender de nombres de rol fijos.
- Los permisos se verifican en cuatro capas: políticas RLS en la base de datos, funciones de base de datos, acciones del servidor y la interfaz.
- Las funciones de inteligencia artificial respetan los mismos permisos del usuario que las invoca (ver Política de IA).
5. Autenticación
- Autenticación gestionada con Supabase Auth: correo y contraseña con verificación de correo obligatoria, o inicio de sesión con Google (OAuth con PKCE).
- Las contraseñas se almacenan con hash seguro; nunca en texto plano.
- Restablecimiento de contraseña por enlace seguro de un solo uso.
- Sesiones basadas en cookies seguras con renovación de tokens.
Evaluamos continuamente controles de autenticación adicionales para las cuentas de usuario.
6. Cifrado en tránsito y en reposo
- En tránsito: todo el tráfico entre tu navegador y la plataforma, y entre la plataforma y sus proveedores, viaja cifrado con TLS (HTTPS).
- En reposo: la base de datos y los archivos se almacenan en la infraestructura de nuestros proveedores (Supabase sobre nube pública), que aplica cifrado en reposo a nivel de disco.
7. Respaldos
WELLFLEX ERP mantiene prácticas de respaldo y recuperación diseñadas para apoyar la continuidad del servicio y la restauración de datos, con respaldos automáticos gestionados por el proveedor de infraestructura. Los periodos de retención de los respaldos pueden variar según requisitos operativos, técnicos, legales, de seguridad y contractuales.
8. Bitácoras de auditoría
La plataforma registra la actividad relevante para trazabilidad:
- Bitácora de auditoría de acciones significativas dentro de cada empresa (quién hizo qué y cuándo).
- Registro de acciones de IA: cada herramienta ejecutada por el asistente queda registrada y es consultable por los administradores de la empresa.
- Registro de correos transaccionales enviados por la plataforma.
9. Mínimo privilegio y acceso interno
- Las credenciales privilegiadas (claves de servicio de la base de datos, llaves de API de proveedores) existen solo en el servidor, nunca en el navegador.
- Los flujos que requieren privilegios elevados pasan por servicios de servidor específicos y acotados, no por acceso genérico.
- El acceso del personal interno de WELLFLEX a datos de clientes está restringido a lo necesario para operar y dar soporte, mediante un panel interno con roles propios.
10. Seguridad de la infraestructura
WELLFLEX ERP corre sobre proveedores de nube con certificaciones de seguridad reconocidas:
- Vercel — hosting de la aplicación, red global y protección del borde.
- Supabase — base de datos PostgreSQL, autenticación y almacenamiento de archivos, sobre nube pública (AWS).
Los archivos adjuntos se guardan en buckets privados: solo se accede a ellos mediante URLs temporales firmadas, tras verificar los permisos del usuario. La lista completa de proveedores está en Subencargados.
11. Respuesta a incidentes
Ante un incidente de seguridad confirmado que afecte datos personales o información de clientes, WELLFLEX tomará medidas razonables para:
- Investigar, contener y mitigar el incidente con prioridad máxima.
- Notificar a los clientes afectados sin dilación indebida, con la información disponible sobre alcance e impacto y las medidas tomadas.
- Notificar a las autoridades competentes cuando la ley lo exija (incluida la Superintendencia de Industria y Comercio en Colombia).
12. Tu parte: responsabilidades del cliente
La seguridad es compartida. De tu lado está:
- Usar contraseñas fuertes y únicas, y no compartir credenciales.
- Asignar a cada usuario el rol con los permisos mínimos que necesita.
- Revocar de inmediato el acceso de personas que salen de tu equipo.
- Mantener actualizados los correos de contacto para recibir avisos de seguridad.
- Verificar la exactitud de los datos que registras y de las exportaciones que compartes.
- Proteger los dispositivos desde los que accedes a la plataforma.
13. Reportar una vulnerabilidad
Si crees haber encontrado una vulnerabilidad de seguridad, escríbenos a soporte@wellflex.co con el detalle técnico. Nos comprometemos a investigar todo reporte de buena fe y a no emprender acciones legales contra investigaciones responsables que no comprometan datos de clientes.