Seguridad en Zentro
EnglishÚltima actualización: 6 de mayo de 2026
Nuestro enfoque
Zentro procesa datos operativos de pedidos para empresarios de e-commerce en LATAM. Tratamos la seguridad como parte del producto, no como un anexo. Esta página resume las medidas técnicas y organizativas que aplicamos. Para detalles legales sobre tratamiento de datos personales ver nuestra Política de Privacidad.
Protección de datos
- Encriptación en reposo: AES-256 para la base de datos, almacenamiento de archivos y backups.
- Encriptación en tránsito: TLS 1.2+ en todas las conexiones; HSTS habilitado.
- Secretos e tokens de integración: encriptados a nivel de aplicación con AES-256-GCM antes de almacenarse.
- Base de datos: PostgreSQL administrado por un proveedor con certificaciones SOC 2 / ISO 27001 (región EE.UU.).
- Backups: point-in-time recovery automatizado; retención de 7 días.
Autenticación y control de acceso
- Hashing de contraseñas: bcrypt con salt único por usuario.
- Sesiones: cookies
httpOnly,SameSiteySecureen producción. - Control de acceso por roles (RBAC): ADMIN, SUPERVISOR, SELLER y LOGISTICS, cada uno con el conjunto mínimo de permisos.
- Aislamiento multi-tenant: cada query de aplicación filtra por organización; nunca se cruzan datos entre merchants.
- Registros de auditoría: trazabilidad de acciones sensibles (cambios de estado, edición de pagos, accesos administrativos) retenida 90 días.
- Acceso de ingeniería a producción: requiere SSO + 2FA y se concede al mínimo personal indispensable.
Infraestructura
- Hosting: infraestructura serverless con auto-escalamiento.
- Red de borde: CDN con protección DDoS y WAF de capa de aplicación.
- Observabilidad: monitoreo de errores y rendimiento de aplicación con alertas a oncall.
- Cabeceras HTTP de seguridad:
X-Frame-Options: DENY,X-Content-Type-Options: nosniff,Referrer-Policyestricto yPermissions-Policyque desactiva cámara, micrófono y geolocalización por defecto.
Sub-procesadores
Trabajamos con los siguientes proveedores. Mantenemos esta lista actualizada.
| Proveedor | Función | Ubicación |
|---|---|---|
| Vercel Inc. | Hosting y CDN | EE.UU. / Global edge |
| Neon (PostgreSQL) | Base de datos administrada | EE.UU. |
| Vercel Blob | Almacenamiento de comprobantes de pago e imágenes | EE.UU. |
| Sentry | Monitoreo de errores y rendimiento | EE.UU. |
| Browserbase | Automatización segura de navegador (integración Zeus) | EE.UU. |
| Resend | Envío de notificaciones por email | EE.UU. |
Cumplimiento
- Cumplimiento con la Ley N° 29733 (Protección de Datos Personales del Perú) y su reglamento.
- Tratamiento alineado con GDPR para titulares de datos en la Unión Europea.
- Notificación de brechas dentro de las 48 horas a la Autoridad Nacional de Protección de Datos Personales (ANPDP) cuando aplique.
- Adhesión a la Google API Services User Data Policy incluyendo los requisitos de Limited Use.
- SOC 2 Type I en preparación.
Reportar una vulnerabilidad
Recibimos reportes de investigadores de seguridad con respeto y prontitud. Para reportar un hallazgo escribe a privacy@zentro.one con el asunto “Security — Reporte de vulnerabilidad”. Pedimos:
- Descripción clara del hallazgo y pasos para reproducir.
- No interrumpir el servicio ni acceder a datos de otros usuarios.
- Darnos un plazo razonable para corregir antes de divulgación pública.
Acusamos recibo dentro de 3 días hábiles y proveemos una fecha estimada de remediación.
Coordenadas oficiales (RFC 9116)
El archivo security.txt está publicado en /.well-known/security.txt.