Seguridad
Seguridad en pianel
Tu cap table contiene información sensible. Aquí explicamos cómo la protegemos en cada capa del sistema.
1. Infraestructura
pianel opera sobre infraestructura de nube administrada por proveedores con certificaciones de seguridad de nivel empresarial:
- Supabase (PostgreSQL): base de datos con backups automáticos diarios y replicación. Certificación SOC 2 Tipo II. Los datos se almacenan en regiones con cumplimiento GDPR.
- Railway: servidor de aplicación backend con despliegues inmutables y aislamiento de contenedores.
- Vercel: entrega del frontend mediante red edge global con CDN y protección DDoS integrada.
2. Encriptación
En reposo
Los campos sensibles como RUT (taxId) y número de cuenta bancaria (accountNumber) se cifran con AES-256 antes de almacenarse en la base de datos.
En tránsito
Todas las conexiones entre el cliente, el servidor y la base de datos utilizan TLS 1.3. No se admiten conexiones no cifradas.
3. Autenticación
- JWT + WebAuthn/Passkeys: autenticación basada en tokens de corta duración. Soporte nativo para passkeys (FIDO2/WebAuthn) como segundo factor.
- 2FA via passkeys: los usuarios pueden habilitar autenticación de dos factores mediante dispositivos biométricos (Touch ID, Face ID, llaves de seguridad FIDO2).
- Rate limiting: todos los endpoints de autenticación tienen rate limiting estricto (5 intentos por 15 minutos por IP) para prevenir ataques de fuerza bruta.
4. Control de acceso
pianel implementa un sistema de control de acceso basado en roles (RBAC) granular por empresa:
- Admin: acceso completo a todos los datos y configuraciones de la empresa.
- Manager: puede gestionar stakeholders, emitir equity y gestionar documentos, sin acceso a configuraciones críticas.
- Viewer: acceso de solo lectura a los datos autorizados.
Todas las acciones críticas (emisión de acciones, modificación de stakeholders, acceso a documentos) quedan registradas en un log de auditoría inmutable con timestamp y usuario responsable.
5. Gestión de API Keys
La API pública de pianel usa tokens de acceso revocables con scopes separados:
- Scope read: permite consultar datos del cap table sin poder modificarlos.
- Scope write: permite crear y modificar registros. Requiere confirmación explícita al generar el token.
Los tokens pueden ser revocados en cualquier momento desde el panel de configuración. Todos los accesos vía API quedan registrados en el log de auditoría.
6. Reporte de vulnerabilidades
Si descubres una vulnerabilidad de seguridad en pianel, te pedimos que la reportes de manera responsable siguiendo nuestro programa de responsible disclosure:
- Envía un correo a security@pianel.cl con una descripción detallada de la vulnerabilidad.
- Incluye pasos para reproducirla y el impacto potencial.
- No divulgues públicamente la vulnerabilidad hasta que hayamos confirmado y corregido el problema.
Nos comprometemos a responder en menos de 72 horas hábiles y a mantenerte informado del progreso de la corrección.
© 2026 pianel. Todos los derechos reservados.