Seguridad

1

Cifrado de datos

Tus datos financieros nunca viajan ni se guardan en texto plano. Todo está cifrado, siempre.

En tránsito

Toda comunicación entre tu dispositivo y los servidores de FinanzApp usa TLS 1.2 o superior. Esto incluye la app web, la app Android y las llamadas al asistente Bruno. No se admiten conexiones HTTP sin cifrar.

En reposo

Los datos almacenados en Firebase Firestore están cifrados en reposo con AES-256, el estándar de cifrado simétrico más utilizado a nivel mundial. Google gestiona las claves de cifrado bajo sus propios controles de seguridad.

Contraseñas

FinanzApp no almacena tu contraseña en ningún formato. Firebase Authentication maneja el proceso de autenticación por correo: las contraseñas se procesan mediante bcrypt con salt único por usuario y nunca llegan a nuestros servidores en texto legible.

2

Autenticación

Firebase Authentication

El acceso a la app se gestiona íntegramente a través de Firebase Authentication. Cuando inicias sesión, recibes un JSON Web Token (JWT) firmado por Google que expira cada hora y se renueva automáticamente mientras usas la app.

Google Sign-In

Si te registras con Google, FinanzApp nunca recibe ni almacena tu contraseña de Google. El proceso de autenticación ocurre directamente entre tu dispositivo y Google usando el protocolo OAuth 2.0.

Capas de protección de la sesión

1

Token de acceso de corta duración Expira en 1 hora. Se renueva de forma silenciosa si el usuario está activo.

2

Token de refresco revocable Al cerrar sesión, el token de refresco se invalida inmediatamente. Nadie puede reutilizarlo.

3

Verificación en cada petición Cada operación de lectura o escritura en Firestore verifica el token del usuario en tiempo real.

4

Detección de sesiones sospechosas Firebase bloquea automáticamente cuentas con intentos de acceso inusuales o credenciales comprometidas conocidas.

3

Infraestructura

FinanzApp está construida 100% sobre Google Firebase y Google Cloud Platform. No operamos servidores propios, lo que significa que la seguridad física y de red es responsabilidad de Google.

Certificaciones de Firebase / Google Cloud

ISO/IEC 27001 — Gestión de seguridad de la información
SOC 1, SOC 2 y SOC 3 — Controles de sistemas y organización
PCI DSS Nivel 1 — Estándar de seguridad de datos para pagos
GDPR — Cumplimiento con la regulación europea de protección de datos

Puedes revisar el detalle completo en el centro de privacidad y seguridad de Firebase.

Disponibilidad

Firebase ofrece un SLA de disponibilidad del 99.95% para Firestore. Puedes consultar el estado en tiempo real de la infraestructura de Google en status.firebase.google.com.

4

Control de acceso a los datos

La capa más crítica de seguridad de FinanzApp son las Reglas de Seguridad de Firestore. Estas reglas se ejecutan en los servidores de Google antes de permitir cualquier operación de lectura o escritura.

Aunque alguien obtuviese el identificador de tu colección en Firestore, no podría leer ni modificar tus datos sin tu token de sesión válido. Las reglas lo bloquean en el servidor.

Principio de mínimo privilegio

Cada usuario solo puede leer y escribir en su propio espacio de datos (usuarios/{uid}/).
Las operaciones entre colecciones requieren validación cruzada del uid del token activo.
Las escrituras masivas o borrados de colecciones completas están deshabilitados desde el cliente.

Acceso del equipo de FinanzApp

El equipo de FinanzApp puede acceder a datos de usuarios únicamente a través de la consola de Firebase con autenticación de dos factores, y solo para resolver incidentes de soporte técnico con consentimiento explícito del usuario. No accedemos a datos financieros de forma rutinaria.

5

Seguridad en cuentas compartidas

Las cuentas compartidas tienen su propia colección en Firestore con reglas de acceso independientes:

Solo el propietario puede invitar o remover miembros y eliminar la cuenta compartida.
Un co-administrador puede registrar y editar transacciones, pero no puede cambiar los miembros ni eliminar la cuenta.
Cuando se revoca el acceso a un miembro, su token deja de ser válido para esa colección en la siguiente verificación del servidor (máximo 1 hora).
Tu cuenta personal siempre está aislada: ningún miembro de una cuenta compartida puede ver tus datos privados, aunque sea el propietario de la cuenta compartida.

6

Seguridad en IA y OCR

Asistente Bruno (Gemini)

Las peticiones a Bruno se envían a la API de Google Gemini a través de una conexión TLS desde el backend. Nunca se expone la clave de API al cliente (navegador o app móvil).

Solo enviamos a Gemini el resumen financiero relevante para responder la pregunta; no el historial completo de datos.
No incluimos nombre, correo ni ningún identificador personal en las peticiones al modelo.
Google no usa estas peticiones para entrenar sus modelos sin un acuerdo explícito de procesamiento de datos.

Escáner de recibos (Cloud Vision)

Las imágenes de recibos se envían directamente desde el dispositivo a Google Cloud Vision API bajo conexión TLS. El flujo es:

Imagen capturada → enviada a Cloud Vision → texto extraído → imagen descartada.
La imagen no se almacena en Firestore ni en ningún bucket de Google Cloud Storage de FinanzApp.
Solo los datos extraídos (monto, fecha, descripción) quedan en tu cuenta para que los revises antes de guardar.

7

Tu parte en la seguridad

La seguridad es una responsabilidad compartida. Nosotros protegemos la infraestructura; tú proteges tu acceso.

🔑

Usa una contraseña fuerte y única

Mínimo 12 caracteres, con números y símbolos. No la reutilices en otros servicios.

📱

Activa el bloqueo de pantalla

Usa PIN, huella o reconocimiento facial en tu dispositivo para proteger el acceso físico.

🚪

Cierra sesión en dispositivos compartidos

Si usas FinanzApp en un equipo público o prestado, cierra sesión al terminar.

📧

Protege tu correo electrónico

Tu correo es la llave maestra de tu cuenta. Activa verificación en dos pasos en tu proveedor de correo.

🔗

Cuidado con los enlaces

FinanzApp nunca te pedirá tu contraseña por correo. Si recibes un mensaje así, no hagas clic.

🔄

Mantén la app actualizada

Las actualizaciones incluyen parches de seguridad. Activa las actualizaciones automáticas en tu dispositivo.

¿Sospechas que accedieron a tu cuenta? Cambia tu contraseña inmediatamente y escríbenos a thefinanzapp@gmail.com con el asunto "Cuenta comprometida". Revisaremos los registros de acceso y, si corresponde, invalidaremos todas las sesiones activas.

8

Reporte de vulnerabilidades

Si encontraste una vulnerabilidad de seguridad en FinanzApp, te lo agradecemos. Practicamos divulgación responsable: no tomaremos acciones legales contra investigadores que actúen de buena fe.

Por favor sigue este proceso:

1. Escríbenos en privado

Envía el reporte a thefinanzapp@gmail.com con el asunto "Security Report". Incluye pasos para reproducir el problema, impacto potencial y, si es posible, una prueba de concepto.

2. Confirmamos recepción

Te respondemos en un máximo de 48 horas hábiles confirmando que recibimos el reporte y asignándole un número de seguimiento.

3. Investigamos y corregimos

Evaluamos la severidad, desarrollamos el parche y lo desplegamos. El tiempo varía según la complejidad: desde horas para críticos hasta 30 días para issues menores.

4. Reconocimiento público

Con tu permiso, te mencionamos como colaborador en las notas de la actualización. No ofrecemos recompensas económicas en este momento, pero valoramos enormemente cada reporte.

Alcance del programa: vulnerabilidades en app.thefinanzapp.com, la app Android de FinanzApp y las reglas de Firestore. No incluye infraestructura de Google (repórtala directamente a Google).

9

Respuesta a incidentes

En caso de un incidente de seguridad que afecte datos de usuarios, nuestro protocolo es:

Contención inmediata: aislamos el problema tan pronto lo detectamos, incluyendo la suspensión temporal del servicio si es necesario.
Evaluación del impacto: determinamos qué datos fueron afectados y cuántos usuarios están involucrados.
Notificación: informamos a los usuarios afectados por correo electrónico en un plazo máximo de 72 horas desde que confirmamos el incidente, con detalle de qué ocurrió y qué deben hacer.
Remediación: corregimos la causa raíz y reforzamos los controles para evitar que se repita.
Transparencia: publicamos un post-mortem cuando el incidente está completamente resuelto.

Hasta la fecha, FinanzApp no ha sufrido ninguna brecha de seguridad que haya expuesto datos de usuarios.

10

Contacto de seguridad

Para cualquier consulta o reporte relacionado con la seguridad de FinanzApp:

Correo: thefinanzapp@gmail.com
Asunto para reportes: "Security Report"
Asunto para cuenta comprometida: "Cuenta comprometida"
Tiempo de respuesta: máximo 48 horas hábiles para reportes de seguridad

Para temas de privacidad y manejo de datos, consulta nuestra Política de Privacidad. Para el marco general del servicio, los Términos y Condiciones.

Cifrado extremo a extremo

Infraestructura de Google

Reglas de acceso estrictas